Siber güvenlik araştırmacıları, Qilin fidye yazılımının, tespit edilmekten kaçınmak için daha fazla karmaşıklık ve taktikler içeren gelişmiş bir sürümünü keşfetti.
Yeni varyant, Qilin.B takma adı altında siber güvenlik firması Halcyon tarafından takip ediliyor.
Halcyon Araştırma Ekibi “Özellikle Qilin.B artık AESNI yeteneklerine sahip sistemler için AES-256-CTR şifrelemesini desteklerken, bu desteğin bulunmadığı sistemler için Chacha20’yi kullanmaya devam ediyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
“Ek olarak, OAEP dolgulu RSA-4096, şifreleme anahtarlarını korumak için kullanılıyor ve saldırganın özel anahtarı veya yakalanan çekirdek değerleri olmadan dosya şifresinin çözülmesini imkansız hale getiriyor.”
Agenda olarak da bilinen Qilin, siber güvenlik topluluğunun dikkatini ilk kez Temmuz/Ağustos 2022’de çekti ve ilk sürümleri Rust’a geçmeden önce Golang’da yazıldı.
Group-IB’nin Mayıs 2023 tarihli bir raporu, hizmet olarak fidye yazılımı (RaaS) planının, gruba sızdıktan ve bir kişiyle sohbet etmeyi başardıktan sonra bağlı şirketlerinin her fidye ödemesinin %80 ila %85’ini almasına izin verdiğini ortaya çıkardı. Qilin işe alım uzmanı.
Fidye yazılımı operasyonuyla bağlantılı son saldırılar, Google Chrome tarayıcılarında küçük bir dizi tehlikeye atılmış uç noktada depolanan kimlik bilgilerinin çalınmasına neden oldu ve bu da tipik çifte gasp saldırılarından bir tür sapmanın sinyalini verdi.
Halcyon tarafından analiz edilen Qilin.B örnekleri, ek şifreleme yetenekleri ve geliştirilmiş operasyonel taktiklerle daha eski yinelemelere dayandığını gösteriyor.
Bu, şifreleme için AES-256-CTR veya Chacha20’nin kullanılmasının yanı sıra, güvenlik araçlarıyla ilişkili hizmetleri sonlandırarak, Windows Olay Günlüklerini sürekli olarak temizleyerek ve kendini silerek analiz ve algılamaya direnecek adımlar atmayı içerir.
Ayrıca Veeam, SQL ve SAP gibi yedekleme ve sanallaştırma hizmetleriyle bağlantılı süreçleri sonlandıracak ve birim gölge kopyalarını silecek, dolayısıyla kurtarma çalışmalarını karmaşıklaştıracak özellikler de içerir.
Halcyon, “Qilin.B’nin gelişmiş şifreleme mekanizmaları, etkili savunmadan kaçınma taktikleri ve yedekleme sistemlerinin sürekli kesintiye uğraması, onu özellikle tehlikeli bir fidye yazılımı çeşidi olarak işaret ediyor” dedi.
zararlı ve kalıcı doğa Fidye yazılımının oluşturduğu tehdit, fidye yazılımı gruplarının gösterdiği süregelen evrimsel taktiklerle kanıtlanıyor.
Bunun bir örneği, yeni ortaya çıkan Embargo fidye yazılımını dağıtmak için kullanılan, ancak kendi Savunmasız Sürücünüzü Getirin (BYOVD) kullanılarak ana makineye yüklenen uç nokta algılama ve yanıt (EDR) çözümlerini sonlandırmadan önce kullanılan yeni Rust tabanlı araç setinin keşfiyle örneklendirilmiştir. teknik.
Açık kaynağa olan benzerliğinden dolayı ESET tarafından MS4Killer kod adı verilen EDR katili s4killer aracı ve fidye yazılımı MDeployer adı verilen kötü amaçlı bir yükleyici aracılığıyla yürütülür.
Araştırmacılar Jan Holman ve Tomáš Zvara, “MDeployer, Embargo’nun güvenliği ihlal edilmiş ağdaki makinelere dağıtmaya çalıştığı ana kötü amaçlı yükleyicidir; saldırının geri kalanını kolaylaştırarak fidye yazılımının yürütülmesine ve dosya şifrelemesine yol açar.” söz konusu. “MS4Killer’ın süresiz olarak çalışması bekleniyor.”
“Hem MDeployer hem de MS4Killer Rust’ta yazıldı. Aynı şey fidye yazılımı yükü için de geçerli, bu da Rust’un grup geliştiricileri için tercih edilen dil olduğunu gösteriyor.”
Microsoft tarafından paylaşılan verilere göre, bu mali yılda 389 ABD sağlık kurumu fidye yazılımı saldırılarına maruz kaldı ve bu saldırıların kesinti nedeniyle günlük 900.000 dolara kadar maliyeti oldu. Hastanelere saldırmasıyla bilinen fidye yazılımı çetelerinden bazıları arasında Lace Tempest, Sangria Tempest, Cadenza Tempest ve Vanilla Tempest yer alıyor.
Teknoloji devi, “Fidyeyi ödediğini kabul eden ve ödenen fidyeyi açıklayan 99 sağlık kuruluşundan ortalama ödeme 1,5 milyon dolar, ortalama ödeme ise 4,4 milyon dolardı.” söz konusu.
