Mart 2023’te Group-IB’nin Tehdit İstihbaratı ekibi, Qilin fidye yazılımı (Agenda fidye yazılımı) grubuna erişti ve bunun kurbanları hedeflemek için Rust tabanlı fidye yazılımı kullanan bir Hizmet Olarak Fidye Yazılımı bağlı kuruluş programı olduğunu keşfetti.
Qilin fidye yazılımı, saldırılarının bireysel kurbanlar üzerindeki etkisini optimize etmek için dosya uzantılarını değiştirmek ve hedeflenen işlemleri sonlandırmak dahil olmak üzere kişiselleştirilmiş saldırı stratejileri kullanır.
Qilin fidye yazılımının Rust çeşidi, kaçamak doğası, güçlü şifreleme yetenekleri ve kötü amaçlı yazılımı çeşitli işletim sistemleri için özelleştirme esnekliği nedeniyle özellikle güçlüdür, örneğin:-
Group-IB Tehdit İstihbaratı uzmanlarının gözlemleri, Qilin fidye yazılımının, farklı şirket kimliklerine ve sızdırılmış hesap bilgilerine sahip tescilli bir DLS’ye sahip olarak karanlık ağda tanıtıldığını ortaya koyuyor.
Fidye Yazılımı Operatörünü Öldür
Qilin fidye yazılımı operatörleri, hassas verileri şifreleyen ve sızdıran, şifre çözme için ödeme talep eden ve farklı şifreleme modları üzerinde kontrolü elinde tutarken çalınan bilgilerin ifşa edilmeyeceğine söz veren çifte gasp yöntemi kullanır.
Qilin fidye yazılımı, ağa sızmayı başlatmak, hassas verileri sızdırmak ve ardından şifrelenecek kritik bilgiler için kurbanın altyapısını keşfetmek için kötü amaçlı bağlantılara sahip kimlik avı e-postaları kullanır.
Tehdit aktörleri, şifreleme prosedürü sırasında güvenliği ihlal edilmiş her sistem dizinine bir fidye notu yerleştirir. Tehdit aktörleri tarafından yerleştirilen fidye notu, kurbanlar için şifre çözme anahtarının satın alınmasına yönelik eksiksiz kılavuzu içerir.
Qilin fidye yazılımı, sistemleri normal modda yeniden başlatmaya çalışarak, sunucuya özgü işlemleri durdurarak ve şifreleme başarılı olursa, ödeme talep etmek ve çalınan verilerin serbest bırakılmasını önlemek için çifte gasp tekniği kullanarak veri kurtarmayı daha da karmaşık hale getirebilir.
Group-IB araştırmacıları, Qilin fidye yazılımının yalnızca kurbanları hedef almadığını, aynı zamanda Mayıs 2023’te birden fazla ülkede 12 şirketten alınan verilerle grubun DLS’sinde verilerini yayınladığını keşfetti: –
- Avustralya
- Brezilya
- Kanada
- Kolombiya
- Fransa
- Hollanda
- Sırbistan
- Birleşik Krallık
- Japonya
- Birleşik Devletler
Qilin’in Yönetici Paneli
Group-IB, Qilin fidye yazılımının bir Hizmet Olarak Fidye Yazılımı (RaaS) olarak çalıştığını keşfetti ve bağlı kuruluşlarına saldırıları yönetmek için bir yönetim paneli sunuyor. Mart 2023.
Toplamda, Qilin fidye yazılımı grubunun üyeler panelinin altında bölündüğü altı bölüm vardır ve burada bunlar aşağıda belirtilmiştir:-
Bölüm 1: Hedefler
Qilin’in yönetim panelindeki bu bölüm, hedeflenen şirketler ve fidye miktarları hakkında ayrıntılar sağlarken, bağlı kuruluşların farklı yapılandırmalarla özelleştirilmiş Qilin fidye yazılımı örnekleri oluşturmasına olanak tanır.
Aşağıda, yapılandırılabilecek tüm ayrıntılardan bahsettik: –
- şirketin adı
- fidye miktarı
- fidye ödemesi için bekleme süresi
- şirketin saat dilimi
- şirketin Zoominfo web sitesinden elde ettiği gelir hakkında bilgi
- duyuru
- Saldırıya uğrayan şirketin açıklaması
- fidye notunun içeriği
- atlanacak dizinler
- atlanacak dosyalar
- atlanacak uzantılar
- öldürülecek süreçler
- durdurulacak hizmetler
- hesapların oturum açma kimlik bilgileri
- güvenli mod hariç tutulan ana bilgisayarlar
- şifreleme modu
- şifrelenecek uzantılar
- öldürülmeyecek/kapatılmayacak sanal makinelerin (VM’ler) listesi
Bölüm 2: Bloglar
Bu belirlenmiş bölümde, ortaklar, talep edilen fidyeyi yerine getiremeyen hedeflenen kuruluşlarla ilgili ayrıntıları içeren blog gönderileri oluşturabilir ve değiştirebilir.
Bölüm 3: Doldurucular
Qilin’in “Doldurucular” bölümü, saldırganların aşağıdaki görevleri gerçekleştirmesine olanak tanır:-
- Ekip üyeleri için hesaplar oluşturun
- Erişim seviyelerini kontrol edin
- Tüm saldırılara tanık olmalarını sağlayın
- Fidye yazılımı örnekleri oluşturun
- Kurban sohbetlerini görüntüle
Bölüm 4: Haberler
Nisan 2023 itibariyle, Qilin fidye yazılımının Haberler bölümünde operatörlerin genellikle fidye yazılımı ortaklıklarıyla ilgili bilgileri paylaştığı herhangi bir güncelleme veya yayınlanmış gönderi bulunamadı.
Bölüm 5: Ödemeler
Qilin fidye yazılımı bağlı kuruluşları, cüzdanlarının bakiyesi, işlemleri ve fidye yazılımı grubuna verilen ücretlerle ilgili ayrıntıları içeren Ödemeler bloğundan fidye parası çekebilir.
Bölüm 6: SSS
Aşağıdakiler gibi çeşitli şeyler hakkında ayrıntılı bilgi sağladığından, bağlı kuruluşların SSS bölümündeki desteğe ve belgelere erişmesi de mümkündür:-
- enfeksiyonların türü
- Kötü amaçlı yazılım nasıl kullanılır?
- Hedefler hakkında ek bilgi
öneriler
Aşağıda, siber güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik: –
- Daha fazla katman ekleyerek güvenlik seviyesini artırın.
- Yerinde bir “yedek” planınız olduğundan emin olun.
- Saygın bir iş e-posta koruma hizmeti kullandığınızdan emin olun.
- Gelişmiş kötü amaçlı yazılımları patlatabilecek bir çözüm uygulayın.
- Bağlı cihazlarınızı mevcut en son yama ile yamaladığınızdan emin olun.
- Çalışanlarınızı eğitmek önemlidir.
- Sistemdeki güvenlik açıklarını belirleyin ve kontrol edin.
- Bir fidye notu aldığınızda, bunu ödemeyin.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin