Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Группа Qilin: RaaS, 800 атак и 19 дней ожидания

1
3 мин
Базирующаяся в России группа программ-вымогателей Qilin за короткий срок превратилась в одну из заметных угроз в киберпространстве. Согласно отчету, число зафиксированных атак Qilin выросло с 45 в 2022 году до более 800 в 2023 году. Такая экспоненциальная динамика связана с применением модели RaaS (программа-вымогатель как услуга), широким набором методов первоначального доступа и целенаправленным подходом к развертыванию вредоносного ПО в компрометированных сетях. Qilin действует по модели поставления инструмента и предоставления доступа другим киберпреступникам. Такая архитектура (RaaS) делает группу особенно опасной: платформа Qilin обеспечивает инфраструктуру, инструменты и, возможно, инструкции для выполнения атак, тогда как партнеры-операторы осуществляют саму компрометацию и шифрование. Анализ выявил наличие Rust-версии шифратора под именем encryptor.exe. Этот бинарник включает уникальный идентификатор, привязанный к конкретной организации-жертве. Процесс инициализации проверяет
Оглавление

Базирующаяся в России группа программ-вымогателей Qilin за короткий срок превратилась в одну из заметных угроз в киберпространстве. Согласно отчету, число зафиксированных атак Qilin выросло с 45 в 2022 году до более 800 в 2023 году. Такая экспоненциальная динамика связана с применением модели RaaS (программа-вымогатель как услуга), широким набором методов первоначального доступа и целенаправленным подходом к развертыванию вредоносного ПО в компрометированных сетях.

Ключевые факты

  • Более 800 атак в 2023 году против 45 атак в 2022 году.
  • Работа по модели RaaS, что позволяет расширять масштабы деятельности за счет привлечения третьих лиц.
  • Среднее время пребывания злоумышленников в сети (dwell time) — 19 дней, что указывает на масштабную подготовку и разведку перед шифрованием данных.
  • Критическая роль серверов командования и контроля — C2 — в выполнении и распространении двоичных файлов программ-вымогателей.

Модель работы и технические особенности

Qilin действует по модели поставления инструмента и предоставления доступа другим киберпреступникам. Такая архитектура (RaaS) делает группу особенно опасной: платформа Qilin обеспечивает инфраструктуру, инструменты и, возможно, инструкции для выполнения атак, тогда как партнеры-операторы осуществляют саму компрометацию и шифрование.

Анализ выявил наличие Rust-версии шифратора под именем encryptor.exe. Этот бинарник включает уникальный идентификатор, привязанный к конкретной организации-жертве. Процесс инициализации проверяет, запущен ли он с привилегиями администратора, и завершает работу, если запуск происходит без административных прав, за исключением случаев, когда указан флаг --no-admin. Такая логика указывает на то, что разработчики стремятся обеспечить запуск вредоносного ПО в наиболее «выгодных» условиях для успешного шифрования и эскалации вреда.

Методы первоначального доступа и распространения

Qilin использует ряд проверенных и эффективных каналов компрометации:

  • Эксплуатация публично известных уязвимостей (CVEs).
  • Схемы компрометации деловой электронной почты (BEC).
  • Использование украденных или приобретенных учетных данных.

Оказавшись в сети, злоумышленники применяют встроенные в Windows инструменты для латерального перемещения и ускоренного развертывания шифровальщика. В частности, широко используется PsExec, что позволяет быстро запускать бинарники на удалённых узлах инфраструктуры организации.

Что это значит для организаций

Комбинация масштабной RaaS-платформы, прицельной разведки и использования проверенных векторных средств делает Qilin гибкой и опасной угрозой. Ключевые риски:

  • Долгий период нахождения в сети (≈19 дней) дает злоумышленникам время для сбора учётных данных, расширения привилегий и картирования сети.
  • Привязка шифратора к уникальному идентификатору жертвы повышает шансы успешного и целевого шифрования данных.
  • Активное использование CVEs и BEC подчеркивает важность своевременного патчинга и обучения персонала.

Рекомендации по защите

  • Обеспечить регулярное и своевременное применение патчей для устранения известных CVEs.
  • Внедрить многофакторную аутентификацию и мониторинг аномалий входа для защиты от компрометации учетных записей.
  • Ограничить использование привилегированных учётных записей, внедрить принцип наименьших привилегий и аудит их использования.
  • Отключить или жестко контролировать использование инструментов удалённого выполнения (например, PsExec) там, где это возможно.
  • Обучать сотрудников методам распознавания BEC и проводить регулярные фишинг-учения.
  • Внедрить сегментацию сети и механизмы обнаружения длительного присутствия злоумышленников (dwell time), а также процессы быстрого реагирования и восстановления.

Вывод

Qilin демонстрирует, как сочетание коммерческой модели распространения (RaaS), технологической изощрённости (Rust-шифратор с проверкой привилегий) и традиционных векторов доступа (CVEs, BEC, украденные учётные данные) может привести к быстрому росту количества и эффективности атак. Для организаций это призыв к усилению базовой кибергигиены, повышению зрелости процессов безопасности и готовности к инцидентам.

Примечание: в материале использованы обозначения и термины оригинального технического отчета: encryptor.exe, RaaS, C2, CVEs, BEC, PsExec, Rust.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Группа Qilin: RaaS, 800 атак и 19 дней ожидания".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются