Qilin fidye yazılımı, 2025’te Ransomhub ve Lockbit gibi bir zamanlar baskın grupların çöküşü ortasında hızla öne çıkan müthiş bir güç olarak ortaya çıktı.
Ekim 2022’den bu yana aktif olan Qilin, fidye ödemelerinin% 15-20’sini talep ederken, iştiraklere gelişmiş araçlar ve altyapı sunan sofistike bir fidye yazılımı (RAAS) modeli aracılığıyla konumunu sağlamlaştırmıştır.
Pas ve C ile yazılmış özel yapım kötü amaçlı yazılımları olan Windows, Linux ve ESXI sistemlerini hedefleme yeteneği, onu ayıran teknik bir yetenek sergilemektedir.
.png
)
Fidye yazılımı manzarasında yeni bir lider
Karanlık Web Sızıntı Sitesinde listelenen 100’den fazla kuruluş ve fidye talepleri 50.000 ila 800.000 dolar arasında değişmekle birlikte, Qilin sadece düşmüş fidye yazılım devlerinin bıraktığı boşluğu değil, aynı zamanda manzarayı tam hizmet sibercrime platformuyla yeniden tanımlamakla kalıyor.
Qilin’in teknik yetenekleri, Chacha20, AES ve RSA-4096 gibi gelişmiş şifreleme algoritmalarıyla yükleri dağıttığı ve platformlar arasında kırılmaz veri kilitlemesini sağladığı için tehdit seviyesinin bir kanıtıdır.
Bağlı kuruluş paneli, yapılandırılabilir şifreleme modları (normal, adım atma, hızlı ve yüzde), güvenli mod yürütme, günlük temizleme ve ağ yayma özelliklerine sahip bir güç merkezidir.
Pust ile yazılmış Windows varyantı, solucan benzeri yayılma için Psexec gibi araçlardan yararlanır, gölge kopyalarını siler, olay günlüklerini temizler ve hatta etkiyi en üst düzeye çıkarmak için fidye notlarını bağlı yazıcılar aracılığıyla yazdırır.
Platformlar arası yıkım
Linux ve ESXI sistemlerinde, C tabanlı varyant sanallaştırma ortamlarını hedefler, VMware vCenter ve ESXI ana bilgisayarlarını numaralandırır, kök şifrelerini değiştirir, SSH’yi etkinleştirir ve kritik altyapıyı bozması için kötü amaçlı yüklerin dağıtılması.
Cybereason raporuna göre, ESXI ana bilgisayarlarında G/Ç performansını optimize eder ve MySQL, Docker ve MongoDB gibi veritabanlarını ve kapsayıcılarda maksimum bozulma sağlar.
Kötü amaçlı yazılımın ötesinde Qilin, PB ölçekli veri depolama, spam araçları, “çağrı avukatı” özelliği ile yasal yardım ve müzakere baskısı için medya desteği gibi benzersiz hizmetler sunar ve kapsamlı bir siber suç ekosistemi olarak konumlandırılır.
Özellikle, Şubat 2024’te Qilin, çalınan verileri yayınlamak için agresif gasp taktiklerini vurgulayarak bir “WikiLeaks V2” sitesi başlattı.
Fidye yazılımlarının operasyonel gizliliği, saldırıları başlatmak için bir şifre gerektirerek, sanal alan analizinden kaçınarak, platformlar arası stratejisi hem geleneksel hem de sanallaştırılmış ortamları sakatlayabilmesini sağlar.
Eski fidye yazılımı operasyonları kapanışlarla ve iç ihanetlerle karşı karşıya kaldıkça, Qilin’in son aylarda 50’den fazla saldırı ile işaretlenmiş yükselişi, sağlam savunmalar talep eden yeni bir siber tehdit çağını işaret ediyor.
Kuruluşlar, bu gelişen tehditlere karşı koymak için çok katmanlı güvenlik, düzenli yedeklemeler ve ağ izlemeye öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| IP adresi | 185.208.156.157 (FTP veri payı) 185.196.10.19 (FTP veri paylaşımı) 80.64.16.87 (WikiLeaks V2) |
| SHA-256 (Windows) | 31c357456573c89d444477772597db40f075e25c67b8de39926d2faa63ca1d8 C9707A3BC0F17E1D1A5587C61699975B1153406962D187C9A732F97D8F867C5 |
| SHA-256 (Linux) | 13cda19a9bff493f168d0b6e8b2300828017b0ef437f7548a6c50bfbb4a42a09 A7F2A21C0CD5681EAB30265432367CF4B649D2B340963A977E70A16738E955AC |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin