Объявление об этом было опубликовано на русском языке на одном из киберкриминальных форумов. Исследователи компании Cybereason указывают, что в последнее время Qilin становится доминирующей группировкой в ландшафте угроз, связанных с шифровальщиками.
В публикации Cybereason указывается, что сейчас в этой среде происходит «турбулентное переформатирование, которое характеризуется коллапсом, захватами и неожиданным предательством изнутри». В результате такие группировки как RansomHub, LockBit, Everest и BlackLock прекратили существование или сильно потеряли в весе, в то время как Qilin с его зрелой инфраструктурой и «продвинутыми возможностями» оказывается на вершине пищевой цепочки.
По сути Qilin сделался киберкриминальной платформой широкого профиля: помимо, собственно, шифровальщика, злоумышленники предлагают загрузчики, обладающие продвинутыми функциями сохранения скрытности и распространения по сетям потенциальных жертв, средства очистки логов в целевых системах, автоматизированные средства ведения переговоров с жертвами и т.д.
Сверх этого предлагаются услуги по распространению спама, хранилище данных петабайтных размеров, а теперь еще и медийное и юридическое сопровождение.
Под медийным, по-видимому, понимается сайт утечек, который хакеры обозвали WikiLeaks V2 (якобы это новая версия первоначального WikiLeaks; на деле - никакого отношения), а также заявленный «штат журналистов», которые «могут помочь вам в составлении текстов для публикации на блог, а также для оказания воздействия в ходе переговоров».
«Одно лишь появление юриста в чате, это оказание косвенного воздействия на компанию, и сумму выкупа, ввиду нежелания компаний иметь судебные разбирательства (издержки) по инциденту, плюс работы с юридическим отделом: предоставление юридической оценки Ваших данных; классификация нарушений в соответствии с нормативно-правовыми актами, действующими в той или иной юрисдикции; юридическая оценка возможного нанесенного ущерба (включая судебные иски, издержки, репутационные риски); возможность вести переговоры компании напрямую с юристом; консультация по нанесению максимального экономического ущерба компании, в случае отказа выполнять заявленные требования (во избежание подобных ситуаций в будущем)».
Иными словами, юрист выступает в качестве профессионального вымогателя. Как и вышеупомянутый «штат журналистов».
«Для выполнения подобной работы юристы и журналисты должны быть либо принципиально беспринципными людьми, либо рассматривать потенциальных жертв как заведомых врагов, ограбить которых - проявление своего рода извращенной доблести», - говорит , директор по информационной безопасности компании SEQ. «Вне зависимости от их мотивации, деятельность Qilin носит сугубо криминальный характер, и все их партнеры, а также «юристы» и «журналисты» - в первую очередь, воры и вымогатели - или соучастники. В любом случае, это криминал, а не что-либо другое».
Операция «Без шансов»
Первый раз Qilin заявили о себе в 2022 г. На протяжении 2023 г. их атаки носили скорее спорадический характер, но в 2024 г. злоумышленники начали вести все более активную деятельность, и этот рост продолжается до сих пор.
Существуют как минимум два варианта шифровальщика Qilin: версия на Rust, предназначенная для атак на системы под Windows, и вариант на C, для атак на хосты под Linux, на которых функционируют системы виртуализации.
Qilin при этом использует практически не взламываемое шифрование - комбинацию из алгоритмов ChaCha20, AES и RSA4096; по выбору оператора файлы могут шифроваться целиком или фрагментами (второй вариант значительно ускоряет процесс). Любые теневые копии уничтожаются. В конечном счете у жертв практически не остается шансов на восстановление данных без выплаты выкупа.
Создатели платформы оставляют себе 15-20% от каждой выплаты. Остальное достается тем, кто непосредственно осуществлял атаку.
Остается лишь надеяться, что рано или поздно злоумышленники себя выдадут каким-либо образом, так что правоохранительные органы смогут их вычислить и задержать.