Международна акция: Европол с награда от $50 000 за информация, водеща до залавянето на руски хакери
Европол разгласи премия в размер до 50 000 $ за всяка информация, която помогне за идентифицирането или задържането на основните оператори на групата Qilin, известна с псевдонимите „ Haise “ и „ XOracle “. Тези лица са обвинени в организирането на огромни акции с потребление на рансъмуер, ориентирани към сериозни обекти по целия свят и причиняващи големи финансови вреди. Сега следствието се води от интернационалните правоприлагащи структури под координацията на Европол.
Специалистите считат, че ядрото на Qilin се намира в Източна Европа: участниците постоянно поддържат връзка на съветски език в хакерските конгреси. Групата се разгласи за първи път през август 2022 година под името Agenda и от този момент съумя да порази най-малко 678 организации, което я прави една от най-активните измежду актуалните оператори на рансъмуер.
Групата скоро се ребрандира и се трансформира в пълноценна Ransomware-as-a-Service (RaaS). При този модел сътрудниците бяха набирани посредством затворени конгреси, като получаваха 80-85% от приходите от рансъмуер, а самата група запазваше останалата част. Отличителна линия на Qilin е неговата техническа трудност: разработчиците са употребявали Golang и Rust, което им е разрешило да основават универсални изпълними модули, които могат елементарно да се приспособяват за другите платформи и са по-трудни за разкриване от обичайните отбрани.
В арсенала на Qilin се употребяват способи за двойно изнудване: данните освен се криптират, само че и се крадат със опасност за издание. Сред жертвите на офанзивите са медицински институции, строителни и просветителни организации, държавни организации и инфраструктурни компании допълнително от 30 страни. За първичното навлизане нападателите постоянно са употребявали погрешно конфигуриран VPN достъп, да вземем за пример FortiGate, или са употребявали фишинг имейли. След това са се употребявали PowerShell скриптове за компрометиране на VMware vCenter и ESXi, което е разрешавало всеобщо внедряване на рансъмуер във виртуализираните среди.
Експертите обръщат особено внимание на модификацията Qilin.B, написана на езика Rust. Тя употребява мощните криптографски логаритми AES-256-CTR, комбинирани с RSA-4096-OAEP, има вградени механизми за битка с логването и функционалности за самоизтребление, с цел да избегне откриването. В някои случаи са били откраднати идентификационните данни, съхранявани в браузърите, което проправя пътя за по-дълбоко навлизане в корпоративните мрежи.
Един от най-известните епизоди е офанзивата от юни 2024 година против доставчика на здравни услуги Synnovis, която сковава лечебните заведения на NHS в Лондон и докара до анулацията на стотици интервенции и банкет на пациенти. Сред другите жертви са организации от Малайзия, Съединени американски щати, Тайланд, Китай и няколко европейски страни, в това число строителни компании, благотворителни организации и държавни организации.
Темата е доста настояща и демонстрира доколко проведената киберпрестъпност се е трансформирала в сериозна опасност, което постанова сходни огромни интернационалните акции
