Group-IB’nin yeni bulgularına göre, Qilin hizmet olarak fidye yazılımı (RaaS) planıyla ilişkili fidye yazılımı bağlı kuruluşları fidye ödemelerinin %80 ila %85’ini kazanıyor.
Siber güvenlik firması, Mart 2023’te gruba sızabildiğini ve çevrimiçi takma adı Haise olan bir Qilin işe alım görevlisiyle özel bir görüşmenin ardından bağlı kuruluşların ödeme yapısı ve RaaS programının iç işleyişi hakkındaki ayrıntıları ortaya çıkardığını söyledi.
Singapur merkezli şirket yeni bir raporda, “Çoğu Qilin fidye yazılımı saldırısı, etkilerini en üst düzeye çıkarmak için her kurban için özelleştirildi.” Dedi. “Bunu yapmak için tehdit aktörleri, şifrelenmiş dosyaların dosya adı uzantılarını değiştirmek ve belirli işlem ve hizmetleri sonlandırmak gibi taktiklerden yararlanabilir.”
Agenda olarak da bilinen Qilin, Aralık 2022’de Rust’a geçmeden önce Go tabanlı bir fidye yazılımı başlatarak Ağustos 2022’de Trend Micro tarafından belgelendi.
Rust’ın benimsenmesi, yalnızca kaçırma algılama yetenekleri nedeniyle değil, aynı zamanda tehdit aktörlerinin Windows, Linux ve VMware ESXi sunucularını hedeflemesine izin verdiği için de önemlidir.
Grup tarafından düzenlenen saldırılar, ilk erişimi elde etmek ve hassas verileri şifrelemek için bir araç olarak kötü amaçlı bağlantılar içeren kimlik avı e-postalarını kullanır, ancak bunu çifte gasp modelinin bir parçası olarak sızdırmadan önce yapmaz.
Temmuz 2022 ile Mayıs 2023 arasında Qilin’in karanlık ağdaki veri sızıntısı portalında 12 farklı şirketten alınan veriler yayınlandı.
Ağırlıklı olarak kritik altyapı, eğitim ve sağlık sektörlerini kapsayan kurbanlar Avustralya, Brezilya, Kanada, Kolombiya, Fransa, Japonya, Hollanda, Sırbistan, Birleşik Krallık ve ABD’de bulunuyor.
Group-IB, Qilin aktörlerinin, ilgili hedefleri belirlemek ve saldırıları düzenlemek için işe alınan bağlı kuruluşlara, operasyonlarının çeşitli bölümlerini etkin bir şekilde denetlemeleri için bir idari panel sağladığını söyledi.
Güvenlik araştırmacısı Nikolay Kichatov, “Qilin fidye yazılımı grubunun, bağlı kuruluş ağını yönetmek ve koordine etmek için Hedefler, Bloglar, Doldurucular, Haberler, Ödemeler ve SSS gibi bölümlere ayrılmış bir bağlı kuruluş paneli vardır” dedi.
- hedefler – Diğerlerinin yanı sıra fidye notlarını, dosyaları, dizinleri ve atlanacak uzantıları, şifrelenecek uzantıları, sonlandırılacak işlemleri ve şifreleme modunu yapılandırmak için bir bölüm
- Bloglar – Bağlı kuruluşların, fidyeyi ödemeyen saldırıya uğrayan şirketler hakkında bilgi içeren blog gönderileri oluşturması için bir bölüm
- doldurucular – Tehdit aktörlerinin ekibin diğer üyeleri için hesap oluşturması ve ayrıcalıklarını yönetmesi için bir bölüm
- Haberler – Fidye yazılımı ortaklıklarıyla ilgili güncellemeleri yayınlamak için bir bölüm (şu anda boş)
- ödemeler – İşlem ayrıntılarını, bağlı kuruluş cüzdan bakiyelerini ve yasa dışı gelirleri çekme seçeneklerini içeren bir bölüm
- SSS – Fidye yazılımını kullanma adımlarını ayrıntılarıyla anlatan destek ve belge bilgilerini içeren bir bölüm
Kichatov, “Qilin fidye yazılımı, kritik sektör şirketlerini hedef almakla ün kazanmış olsa da, tüm sektörlerdeki kuruluşlar için bir tehdit oluşturuyor” dedi.
“Ayrıca, fidye yazılımı operatörünün ortaklık programı, ağına yeni üyeler eklemekle kalmıyor, aynı zamanda onları yükseltilmiş araçlar, teknikler ve hatta hizmet sunumu ile silah haline getiriyor.”