Qilin (Agenda) fidye yazılımı türünün ‘Qilin.B’ olarak adlandırılan yeni Rust tabanlı sürümünün, daha güçlü şifreleme, güvenlik araçlarından daha iyi kaçma ve veri kurtarma mekanizmalarını bozma becerisine sahip olduğu saldırılarda tespit edildi.
Qilin.B, Halcyon’daki güvenlik araştırmacıları tarafından tespit edildi ve tehdit konusunda uyarıda bulunarak erken tespite yardımcı olmak amacıyla güvenlik ihlali göstergelerini paylaştı.
Qilin şifreleyicisini güncelliyor
Yeni şifreleme şemasından başlayarak Qilin.B, onu destekleyen CPU’lar için AESNI özelliklerine sahip AES-256-CTR’yi kullanarak şifrelemeyi hızlandırır.
Ancak yeni tür, AESNI için uygun donanıma sahip olmayan daha zayıf veya eski sistemler için ChaCha20’yi koruyarak her durumda güçlü şifreleme sağlar.
Qilin.B ayrıca şifreleme anahtarı koruması için OAEP dolgulu RSA-4096’yı da içerir ve özel anahtar veya yakalanan çekirdek değerler olmadan şifre çözmeyi neredeyse imkansız hale getirir.
Yeni Qilin kötü amaçlı yazılımı, yürütüldükten sonra kalıcılık sağlamak için Windows Kayıt Defterine bir otomatik çalıştırma anahtarı ekler ve kritik verileri şifreleme için serbest bırakmak ve güvenlik araçlarını devre dışı bırakmak üzere aşağıdaki işlemleri sonlandırır.
- Veeam (yedekleme ve kurtarma)
- Windows Birim Gölge Kopyası Hizmeti (sistem yedekleme ve kurtarma)
- SQL veritabanı hizmetleri (kurumsal veri yönetimi)
- Sophos (güvenlik ve antivirüs yazılımı)
- Acronis Agent (yedekleme ve kurtarma hizmeti)
- SAP (kurumsal kaynak planlaması)
Sistemin kolay geri yüklenmesini önlemek için mevcut birim gölge kopyaları silinir ve adli analizleri engellemek için Windows Olay Günlükleri temizlenir. Fidye yazılımı ikili dosyası, şifreleme işlemi tamamlandıktan sonra da silinir.
Qilin.B, hem yerel dizinleri hem de ağ klasörlerini hedefler ve işlenen her dizin için başlıktaki kurban kimliği de dahil olmak üzere fidye notları oluşturur.
Kaynak: BleepingComputer
Maksimum erişim için, ağ sürücülerinin yükseltilmiş ve yükseltilmemiş işlemler arasında paylaşılmasını sağlamak üzere Kayıt Defterini ayrı bir girişle değiştirdi.
Yukarıdakiler fidye yazılımı alanında çığır açıcı özellikler olmasa da, kötü şöhretli tehdit grupları tarafından oldukça etkili saldırılarda kullanılan bir aileye eklendiklerinde ciddi ve geniş kapsamlı bir etkiye sahip olabilirler.
Geçtiğimiz ağustos ayında Sophos, Qilin’in saldırılarda Google Chrome tarayıcısında saklanan kimlik bilgilerini toplamak ve saldırılarını tüm ağlara yaymak veya temizleme sonrasında bile ihlal edilen ağlarda kendisini yeniden tanıtmak için özel bir bilgi hırsızı kullandığını açıklamıştı.
Daha önce Qilin, Londra’daki büyük hastanelere, Avustralya’daki Court Services Victoria’ya ve otomotiv devi Yanfeng’e karşı yüksek hasar veren saldırılarda kullanılmıştı.
Grup ayrıca VMware ESXi saldırılarına odaklanan bir Linux varyantı kullanıyor ancak Halcyon’un tespit ettiği varyant Windows sistemleriyle ilgili.