Группа хакеров, стоящая за Qilin — сетью программ-вымогателей как услуги (RaaS), — внедрила новую функцию юридической поддержки для партнёров, чтобы сильнее давить на жертв и вытягивать крупные выкупы. Их активность резко выросла, и они явно нацелены занять место, освободившееся после ухода с рынка конкурентов.
Новинка получила название «Вызвать адвоката» и доступна прямо на панели управления партнёров, сообщили специалисты из израильской компании Cybereason.
Этот шаг показывает возвращение группы на преступный киберрынок после падения таких известных программ-вымогателей, как LockBit, Black Cat, RansomHub, Everest и BlackLock, которые столкнулись с перебоями в работе, остановками операций и даже взломами. Qilin, также известная как Gold Feather и Water Galura, действует с октября 2022 года.
Данные с сайтов утечек в даркнете, контролируемых группами вымогателей, демонстрируют, что в апреле 2025 года Qilin лидировала с 72 жертвами. В мае количество атак снизилось до 55, уступив лидерство Safepay (72) и Luna Moth (67). С начала года у Qilin насчитывается 304 жертвы — это делает её третьей по активности после Cl0p и Akira.
Эксперты из Qualys отмечают: «Qilin выделяется благодаря зрелой инфраструктуре, поддержке клиентов и продвинутым методам для прицельных и мощных атак, рассчитанных на крупные выкупы.»
Есть данные, что часть партнёров RansomHub переключилась на Qilin, что объясняет всплеск атак в последние месяцы.
Исследователи Марк Циперштейн и Евгений Ананин объясняют: «Qilin построена на технически продвинутой базе — вредоносные программы написаны на Rust и C, загрузчики оснащены сложными механизмами обхода защиты, а панель партнёра включает безопасный режим работы, инструменты для распространения в сети, очистки логов и автоматизированные средства ведения переговоров.»
«Помимо вредоносного ПО, Qilin предлагает услуги спама, масштабное хранение данных, юридическую помощь и полный набор операционных функций, выступая не просто как ransomware, а как универсальная киберпреступная платформа.»
Падение конкурентов совпало с обновлениями панели Qilin: добавлением юридической поддержки, командой штатных журналистов и возможностью запускать DDoS-атаки. Также появился инструмент для массовой рассылки спама на корпоративные e-mail и телефоны.
Расширение функционала свидетельствует о желании преступников стать полноценным комплексным криминальным сервисом, выходящим далеко за рамки классического вымогательства.
В сообщении на форуме говорится: «Если нужна юридическая консультация по вашему делу, нажмите кнопку "Вызвать адвоката" в интерфейсе жертвы, и наша команда свяжется с вами конфиденциально, чтобы дать квалифицированную помощь.»
«Присутствие адвоката в диалоге оказывает дополнительное давление на компанию и способствует росту суммы выкупа, ведь фирмы стараются избежать судебных тяжб.»
Параллельно аналитики Intrinsec заметили, что по крайней мере один партнёр Rhysida начал использовать открытый инструмент Eye Pyramid C2 для сохранения доступа к заражённым системам и доставки новых вредоносных модулей.
Важно отметить, что Eye Pyramid C2 — это тот самый бэкдор на Python, который задействовала группа RansomHub в конце 2024 года.
Также опубликован свежий анализ утечек из чатов Black Basta, где раскрывают личность злоумышленника под псевдонимом «tinker». Его настоящее имя пока неизвестно.
Согласно информации от Intel 471, tinker был доверенным помощником лидера группировки tramp и пришёл в преступный бизнес как «креативный директор» после работы в колл-центрах, включая ныне несуществующую Conti, а также выступал переговорщиком для BlackSuit (известной как Royal).
Компания подчёркивает: «tinker играл ключевую роль в получении первичного доступа к организациям. Из утечек видно, что он внимательно анализировал финансовую информацию и изучал жертву, прежде чем начинать переговоры.»
Кроме того, злоумышленник занимался поиском контактных данных руководителей компаний для телефонного вымогательства и рассылал фишинговые письма для проникновения внутрь организаций.
Особенно стоит отметить схему фишинга через Microsoft Teams, разработанную tinker: злоумышленники представляются сотрудниками IT-отдела и утверждают, что систему атакует спам. Они убеждают сотрудников установить удалённые инструменты, такие как AnyDesk, чтобы «защитить» компьютеры.
«После установки ПО звонящий передавал управление одному из специалистов по взлому Black Basta, который обеспечивал долгий доступ к системе и всему домену,» рассказывают специалисты Intel 471.
В утёкших переписках зафиксировано, что с 18 декабря 2023 по 16 июня 2024 года tinker получил не менее $105 000 в криптовалюте за свою работу. Пока неясно, с какой именно группировкой он связан.
Эти сведения совпадают с экстрадицией 33-летнего иностранца из группы Ryuk в США — его подозревают в роли посредника, который обеспечивал доступ к корпоративным сетям. Задержание произошло в Киеве в апреле по запросу американских властей.
Национальная полиция Украины сообщила: «Подозреваемый занимался поиском уязвимостей в сетях компаний-жертв, а потом передавал полученные данные своим сообщникам для подготовки и проведения кибератак.»
Арест стал возможен благодаря анализу техники, изъятой в ноябре 2023 года во время рейда на участников группировок LockerGoga, MegaCortex и Dharma.
Тем временем в Таиланде полиция задержала нескольких китайцев и других подозреваемых из Юго-Восточной Азии после рейда на гостиницу в Паттайе — центре нелегального игорного бизнеса и штабе для операций с программами-вымогателями.
Рейд возглавляли шесть граждан Китая, которые рассылали компаниям вредоносные ссылки, заражающие их сети программами-вымогателями. По данным местных СМИ, они работали на киберпреступную группировку и получали оплату за распространение таких ссылок среди китайских организаций.
На той же неделе Центральное следственное бюро Таиланда (CIB) сообщило о задержании более десятка иностранцев в рамках операции Firestorm. Их подозревают в мошенничестве с инвестициями по телефону: жертв из Австралии обманом заставляли вкладывать деньги в долгосрочные облигации с обещанием высокой прибыли.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru