Группа вымогателей Qilin, возникшая в июле 2022 года как ответвление программы-вымогателя Agenda, представляет серьезную опасность для организаций по всему миру. Эта группа функционирует по модели «Программа-вымогатель как услуга» и известна своей агрессивной тактикой, в том числе значительными требованиями о выкупе, которые иногда достигают 50 миллионов долларов. Наиболее заметный инцидент произошел с Национальной службой здравоохранения, где атака привела к массовым сбоям.
Эволюция и тактика атак
Первоначально использующая язык программирования Go, группа Qilin разработала более сложный вариант своего ПО на основе Rust, который применяется в современных атаках. Операторы Qilin активно используют уязвимости в программном обеспечении и неправильные настройки, особенно в устройствах Fortinet.
Ключевые методы атаки
- Атакуют службы удаленного доступа, используя функции SSL VPN устройств FortiGate.
- Применяют методы грубой силы для обхода защиты конечных точек VPN.
- Удаляют логи после вторжения, что усложняет судебно-медицинский анализ.
Уязвимости и распространение
Одной из особенно интересных уязвимостей является CVE-2023-27532 в Veeam Backup & Replication, которая открывает доступ к зашифрованным учетным данным. Несмотря на наличие доказательств концепции использования этой уязвимости, на данный момент нет подтвержденных случаев ее использования группой Qilin.
Как только злоумышленники получают доступ к сети, они развертывают вредоносное ПО в каталог C:temp под именем w.exe. Для запуска требуется определенный пароль, который хэшируется и сравнивается с заданным значением.
Методы скрытия и защиты
Важным этапом для повышения привилегий до системного уровня является использование встроенного модуля Mimikatz, который позволяет сбрасывать учетные данные и манипулировать токенами. Это дает возможность вредоносному ПО обходить стандартные меры безопасности. Вдобавок группа Qilin тщательно удаляет системные журналы до и после выполнения процесса шифрования, включая:
- Журналы Windows PowerShell.
- Системные журналы.
Шифрование и последствия для данных
Вредоносная программа проводит шифрование как локальных файлов, так и файлов, находящихся в общем доступе в сети. Она использует сложные алгоритмы и дополнительные конфигурации, которые усложняют процесс расшифровки.
Параметр -spread позволяет программе червеобразно распространяться по сети, используя встроенную версию Sysinternals PsExec и оптимизируя свое распространение с помощью манипуляций с реестром. Это нарушает работу службы теневого копирования томов, что в свою очередь затрудняет восстановление данных.
Рекомендации по защите
Чтобы противостоять угрозе от программы-вымогателя Qilin, организациям следует:
- Использовать EDR и антивирусные средства нового поколения для отслеживания несанкционированного поведения.
- Внедрять сегментацию для ограничения горизонтального перемещения злоумышленников.
- Обеспечить регулярное тестирование средств защиты с использованием инструментов моделирования.
- Поддерживать безопасные, неизменяемые резервные копии.
- Разработать четкий план реагирования на инциденты.
Таким образом, программа-вымогатель Qilin демонстрирует множество сложных методов, начиная с обнаружения уязвимостей и заканчивая действиями после взлома, которые ухудшают возможности восстановления. Понимание этих тактик играют ключевую роль в обеспечении надежной защиты от киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Угрозы программы-вымогателя Qilin: эволюция и новые подходы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.