Qilin fidye yazılımları (RAAS) programının arkasındaki tehdit aktörleri, siber suç grubu faaliyetini yoğunlaştırdığı ve rakiplerinin bıraktığı boşluğu doldurmaya çalıştıkça, iştiraklerin kurbanların ödemeleri için daha fazla baskı yapmaları için hukuk müşavirliği sunuyor.
Yeni özellik, İsrail siber güvenlik şirketi Cybereason’a göre, bağlı kuruluş panelinde bir “çağrı avukatı” özelliği biçimini alıyor.
Geliştirme, e-suç grubunun yeni ortaya çıkan yeniden canlanmasını temsil ediyor, çünkü Lockbit, Black Cat, Ransomhub, Everest ve Blacklock gibi bir zamanlar popüler fidye yazılımı grupları ani atık, operasyonel başarısızlıklar ve arızalar yaşadı. Altın tüy ve su galurası olarak da izlenen grup, Ekim 2022’den beri aktif.
Fidye yazılımı grupları tarafından yürütülen karanlık ağ sızıntı sitelerinden derlenen veriler, Qilin’in Nisan 2025’te 72 kurbanla liderlik ettiğini gösteriyor. Mayıs ayında, 55 saldırının arkasında olduğu ve SafePay’ın (72) ve Luna Güve’nin (67) arkasına koyduğu tahmin ediliyor. Aynı zamanda CL0P ve Akira’dan sonra yılın başlangıcından bu yana toplam 304 kurban iddia ederek üçüncü en aktif grup.
Qualys, bu hafta grubun analizinde, “Qilin, olgun bir ekosistem, müşteriler için kapsamlı destek seçenekleri ve önemli ödemeler talep etmek için tasarlanmış yüksek hedefli, yüksek etkili fidye yazılım saldırıları sağlamak için hızlı yükselen pazarı ile geri kalanının üzerinde duruyor.” Dedi.
Ransomhub için çalışan iştiraklerin Qilin’e göç ettiğini ve son aylarda Qilin fidye yazılımı etkinliğinde artışa katkıda bulunduğunu gösteren kanıtlar var.
Araştırmacılar Mark Tsipershtein ve Evgenin ananin, “Forumlar ve fidye yazılımı etkinlik izleyicileri arasında büyüyen bir varlık ve fidye yazılımı etkinlik izleyicileri ile Qilin, teknik olarak olgun bir altyapı işletmektedir: Pas ve C’de inşa edilmiş yükler, gelişmiş kaçaklama özelliklerine sahip yükleyiciler ve güvenli mod yürütme, ağ yayma, log temizleme ve otomatik müzakere araçları sunan bir bağlı kuruluş paneli,” dedi araştırmacılar.
“Kötü amaçlı yazılımın ötesinde, Qilin spam hizmetleri, PB ölçekli veri depolama, yasal rehberlik ve tam bir operasyonel özellik seti sunar-kendisini sadece bir fidye yazılımı grubu olarak değil, aynı zamanda tam hizmet siber suç platformu olarak görür.”
Diğer grupların düşüşü ve ölümü, yeni bir yasal yardım işlevi, şirket içi gazeteciler ekibi ve dağıtılmış hizmet reddi (DDOS) saldırıları gerçekleştirme yeteneği içeren Qilin bağlı kuruluş panelinde yeni güncellemelerle tamamlanmıştır. Bir başka dikkate değer ek, kurumsal e -posta adreslerini ve telefon numaralarını spam yapmak için bir araçtır.
Özellik genişlemesi, tehdit aktörlerinin kendilerini sadece fidye yazılımlarının ötesine geçen tam teşekküllü bir siber suç hizmeti olarak pazarlama girişimini göstermektedir.
Yeni yetenekleri açıklayan bir forum yayınının tercüme edilmiş bir sürümünü, “Hedefinizle ilgili yasal danışmanlığa ihtiyacınız varsa, hedef arayüzündeki” Çağrı Avukatı “düğmesini tıklamanız yeterlidir.”
Diyerek şöyle devam etti: “Sohbette bir avukatın görünüşü, şirketler yasal işlemlerden kaçınmak istediği için şirket üzerinde dolaylı baskı uygulayabilir ve fidye miktarını artırabilir.”
Gelişme intrinsc olarak geliyor Rhysida’nın en az bir bağlı kuruluşunun, tehlikeye atılan uç noktalara erişimi korumak ve ek yükler sağlamak için muhtemel bir sonrası araç olarak göz piramidi C2 adlı açık kaynaklı bir yardımcı program kullanmaya başladığını değerlendirdi.
Göz piramidi C2’nin, 4. çeyrekte Ransomhub ekibine bağlı tehdit aktörleri tarafından konuşlandırılan aynı piton tabanlı arka kapıyı ifade ettiğini belirtmek gerekir.
Ayrıca, çevrimiçi takma adı “Tinker” ile geçen bir tehdit aktörüne ışık tutan sızdırılmış siyah Basta sohbet günlüklerinin yeni bir analizini takip ediyor. Gerçek dünya kimlikleri şu anda bilinmiyor.
Intel 471’e göre Tinker, grubun lideri Tramp’ın güvenilir yardımcılarından biri olduğu söyleniyor ve suç girişimine, şu anda yok olan Conti grubu da dahil olmak üzere çağrı merkezleri işleten çağrı merkezleri yürüttükten sonra “yaratıcı yönetmen” olarak katıldı.
Siber güvenlik şirketi, “Aktör Tinker, kuruluşlara ilk erişimin sağlanmasında önemli bir rol oynadı.” Dedi. Diyerek şöyle devam etti: “Sızan konuşmalar Tinker’in finansal verileri analiz edeceğini ve doğrudan müzakerelerden önce bir kurbanın durumunu değerlendireceğini ortaya koyuyor.”
Tehdit oyuncusu, şirketin kıdemli personeli için telefon görüşmeleri veya mesajlar yoluyla zorlamak için iletişim bilgileri elde etmek için açık kaynaklı araştırma yapmanın yanı sıra, kuruluşları ihlal etmek için tasarlanmış kimlik avı e-postaları yazmakla görevlendirildi.
Tinker, özellikle, saldırganların bir BT departmanı çalışanı olarak maskelenecekleri, kurbanlara bir spam saldırısının alıcı ucunda olduklarını ve çalışanları Anydesk gibi uzak masaüstü araçları kurmaya çağırmaları ve sistemlerini açıkça güvence altına almaya çağırmaları konusunda uyaracakları Microsoft Teams tabanlı kimlik avı senaryosuyla da geldi.
Intel 471, “RMM yazılımı kurulduktan sonra arayan, Black Basta’nın penetrasyon testçilerinden biriyle temasa geçecek ve daha sonra sisteme ve alana kalıcı erişimi sağlamak için hareket edecek.” Dedi.
Sızan mesajlar ayrıca Tinker’in 18 Aralık 2023 ve 16 Haziran 2024 arasındaki çabaları için kripto para biriminde en az 105.000 dolardan fazla almadığını ortaya koyuyor.
Bulgular, Ryuk Ransomware Group’un isimsiz bir yabancı yabancı üyesinin ilk erişim brokeri (IAB) olarak iddia ettikleri ve kurumsal ağlara erişimi kolaylaştırdıkları için Amerika Birleşik Devletleri’ne iade edilmesiyle çakışıyor. Şüpheli, ABD kolluk kuvvetlerinin talebi üzerine bu Nisan ayında KYIV’ten tutuklandı.
Ukrayna Ulusal Polisi yaptığı açıklamada, üye “kurban işletmelerinin kurumsal ağlarında güvenlik açıkları arayışında bulundu” dedi. “Hacker tarafından elde edilen veriler, suç ortakları tarafından siber saldırıları planlamak ve gerçekleştirmek için kullanıldı.”
Yetkililer, Kasım 2023’te Lockergoga, Megacortex ve Dharma Fidyeware ailelerinin üyelerini hedefleyen önceki bir baskında ele geçirilen bir ekipman analizinin ardından şüpheliyi izleyebildiklerini söylediler.
Başka yerlerde, Tayland’daki polis yetkilileri, Pattaya’da kumar denisi olarak kullanılan ve fidye yazılımı operasyonları yürütmek için bir ofis olarak kullanılan bir otele baskın düzenledikten sonra birkaç Çin vatandaşı ve diğer Güneydoğu Asya şüphelilerini yakaladılar.
Fidye yazılımı planının, şirketlere fidye yazılımı ile enfekte etmek için kötü niyetli bağlantılar gönderen altı Çinli vatandaş tarafından yürütüldüğü söyleniyor. Yerel medya raporları, Çinli firmalara bubi sıkışmış bağlantıları dağıtmak için ödenen bir siber suç çetesinin çalışanı olduklarını söylüyor.
Tayland’ın Merkez Soruşturma Bürosu (CIB), bu hafta, Firestorm Operasyonu’nun bir parçası olarak bir düzineden fazla yabancının tutuklandığını, Avustralya’daki birkaç kurbanı arayarak ve paralarını yüksek getiri vaatleriyle uzun vadeli tahvillere yatırmaya aldığı bir çevrimiçi yatırım dolandırıcılığı yürüttüğü iddiasıyla tutuklandığını duyurdu.