Qilin fidye yazılımı, 2025’in ikinci yarısında en yıkıcı tehditlerden biri olarak ortaya çıktı ve halka açık sızıntı sitesinde ayda 40’tan fazla kurbanın ifşa edilmesiyle endişe verici bir hızla faaliyet gösteriyor.
Temmuz 2022 civarında Qilin olarak yeniden markalanmadan önce ilk olarak Agenda adı altında takip edilen bu hizmet olarak fidye yazılımı platformu, birçok kıtadaki ve endüstriyel sektördeki kuruluşları etkileyen küresel bir tehdide dönüştü.
Grubun ikili gasp modeli, dosya şifrelemeyi veri hırsızlığı ve kamuya ifşa etme ile birleştirerek, mağdurlar üzerinde haraç taleplerini ödemeleri konusunda daha da karmaşık bir baskı yaratıyor.
Tüm vakaların yüzde 23’üyle en çok etkilenen sektör imalat sektörü olurken, onu yüzde 18’le profesyonel hizmetler takip ediyor; saldırıların en yoğun olduğu ülke ise Amerika Birleşik Devletleri.
Tehdit ortamı, Qilin’in ilk erişimden veri sızdırma yoluyla son şifreleme ve kalıcılık mekanizmalarına kadar uzanan karmaşık saldırı altyapısını ortaya koyuyor.
Cisco Talos analistleri, saldırganların genellikle çok faktörlü kimlik doğrulama korumalarının yokluğuyla birlikte, karanlık web sızıntılarından kaynaklanan güvenliği ihlal edilmiş VPN kimlik bilgileri yoluyla ağa giriş elde ettiklerini belirledi.
.webp)
Kurban ağlarına girdikten sonra operatörler, etki alanı altyapısını haritalamak ve yüksek değerli hedefleri belirlemek için nltest.exe ve net.exe gibi yasal Windows yardımcı programlarını kullanarak kapsamlı keşif gerçekleştirir.
Araştırma, Qilin operatörlerinin, şifreleme veri yüklerini dağıtmadan önce sistem çapında şifrelemeyi tetiklemeden önce en hassas şirket bilgilerini belirlemelerine ve sızdırmalarına olanak tanıyan metodik bir veri toplama yaklaşımı kullandıklarını ortaya çıkardı.
Cisco Talos analistleri, saldırganların keşif aşamasında hassas dosyaları bulmak için yerleşik Windows uygulamalarından yararlandığı özellikle ustaca bir teknik tespit etti.
Araştırma, yapı günlüklerinin, ağ depolama sistemleri genelinde yüksek hassasiyetli bilgileri manuel olarak incelemek ve görüntülemek için mspaint.exe ve notepad.exe dosyalarının yürütüldüğünü sürekli olarak gösterdiğini ortaya koyuyor.
Operatörler, yalnızca otomatik dosya bulma komut dosyalarına güvenmek yerine, görünüşte zararsız olan bu uygulamaları, dosyaları açmak ve incelemek, belki de sıkıştırma ve dışarı çıkarma öncesinde veri kalitesini doğrulamak için kullanır.
Bu manuel inceleme yaklaşımı, saldırganların otomatik veri keşif araçlarıyla ilişkili ortak güvenlik imzalarından kaçınarak en değerli fikri mülkiyete, mali kayıtlara ve gizli belgelere öncelik vermesine olanak tanır.
Çift Şifreleyici Dağıtım Stratejisi
Çift şifreleyici dağıtım stratejisi ayrıca Qilin ekosistemindeki operasyonel karmaşıklığı da ortaya koyuyor.
İlk değişken olan encryptor_1.exe, PsExec’i kullanarak, yönetici ayrıcalıkları ve ikili dosyaya sabit kodlanmış dahili şifre spesifikasyonları ile güvenliği ihlal edilmiş ana bilgisayarlar arasında yanal olarak yayılır.
İkinci değişken olan encryptor_2.exe, birden fazla ağ paylaşımını aynı anda şifrelemek için tek bir sistemden çalışarak dağıtılmış altyapı genelinde kapsamı ve etkiyi en üst düzeye çıkarır.
Şifreleme başlamadan önce operatörler, TVInstallRestore adlı zamanlanmış görevler ve RUN anahtarları altındaki kayıt defteri değişiklikleri yoluyla kalıcılık oluşturarak fidye yazılımının sistem yeniden başlatmalarından sağ çıkmasını sağlar.
Kötü amaçlı yazılım, özellikle Hyper-V sanal makinelerini ve veritabanlarını barındıran Küme Paylaşılan Birimleri de dahil olmak üzere kritik altyapıyı hedef alırken, önyükleme işlevselliği için gereken sistem dosyalarını kasıtlı olarak hariç tutuyor; bu, kurbanların işletim sistemini yeniden kurarak kolayca kurtaramamalarını sağlayan hesaplı bir yaklaşım.
Veri sızdırma için Qilin operatörleri, Backblaze sunucularına yönlendirilen meşru bulut hizmeti trafiği içindeki kötü amaçlı etkinlikleri gizleyen açık kaynaklı bir dosya aktarım aracı olan Cyberduck’u kullanıyor.
Verilerin ayrılmasından önce yöneticiler, WinRAR’ı temel klasörler hariç özel parametrelerle dağıtır ve özyinelemeli alt dizin işlemeyi devre dışı bırakarak optimize edilmiş arşiv yapılandırmaları oluşturur.
Standart Windows uygulamalarını kullanan manuel dosya incelemesi, gelişmiş dağıtım taktikleri ve bulut tabanlı sızmanın birleşimi, dünya çapındaki kuruluşlardan kapsamlı tespit ve yanıt yetenekleri gerektiren olgun bir tehdit operasyonunu temsil ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
