Поделиться
Мощная хакерская группировка Qilin нанимает юристов для дополнительного давления на жертв
Шифровальная группировка Qilin начала предлагать помощь юриста своим партнерам для оказания дополнительного давления на жертв. «Штат журналистов» также упомянут в предложении.
Зовите аблаката!
Хакерская группировка, стоящая за шифровальщиком Qilin, начала предлагать своим партнерам - в буквальном смысле - помощь юристов.
Объявление об этом было опубликовано на русском языке на одном из киберкриминальных форумов. Исследователи компании Cybereason указывают, что в последнее время Qilin становится доминирующей группировкой в ландшафте угроз, связанных с шифровальщиками.
В публикации Cybereason указывается, что сейчас в этой среде происходит «турбулентное переформатирование, которое характеризуется коллапсом, захватами и неожиданным предательством изнутри». В результате такие группировки как RansomHub, LockBit, Everest и BlackLock прекратили существование или сильно потеряли в весе, в то время как Qilin с его зрелой инфраструктурой и «продвинутыми возможностями» оказывается на вершине пищевой цепочки.
По сути Qilin сделался киберкриминальной платформой широкого профиля: помимо, собственно, шифровальщика, злоумышленники предлагают загрузчики, обладающие продвинутыми функциями сохранения скрытности и распространения по сетям потенциальных жертв, средства очистки логов в целевых системах, автоматизированные средства ведения переговоров с жертвами и т.д.
Сверх этого предлагаются услуги по распространению спама, хранилище данных петабайтных размеров, а теперь еще и медийное и юридическое сопровождение.
Под медийным, по-видимому, понимается сайт утечек, который хакеры обозвали WikiLeaks V2 (якобы это новая версия первоначального WikiLeaks; на деле - никакого отношения), а также заявленный «штат журналистов», которые «могут помочь вам в составлении текстов для публикации на блог, а также для оказания воздействия в ходе переговоров».
Что же до юридической поддержки, то и это - инструмент давления на жертву. Оригинал объявления выглядит следующим образом (авторская пунктуация сохранена):
«Одно лишь появление юриста в чате, это оказание косвенного воздействия на компанию, и сумму выкупа, ввиду нежелания компаний иметь судебные разбирательства (издержки) по инциденту, плюс работы с юридическим отделом: предоставление юридической оценки Ваших данных; классификация нарушений в соответствии с нормативно-правовыми актами, действующими в той или иной юрисдикции; юридическая оценка возможного нанесенного ущерба (включая судебные иски, издержки, репутационные риски); возможность вести переговоры компании напрямую с юристом; консультация по нанесению максимального экономического ущерба компании, в случае отказа выполнять заявленные требования (во избежание подобных ситуаций в будущем)».
Иными словами, юрист выступает в качестве профессионального вымогателя. Как и вышеупомянутый «штат журналистов».
«Для выполнения подобной работы юристы и журналисты должны быть либо принципиально беспринципными людьми, либо рассматривать потенциальных жертв как заведомых врагов, ограбить которых - проявление своего рода извращенной доблести», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Вне зависимости от их мотивации, деятельность Qilin носит сугубо криминальный характер, и все их партнеры, а также «юристы» и «журналисты» - в первую очередь, воры и вымогатели - или соучастники. В любом случае, это криминал, а не что-либо другое».
Операция «Без шансов»
Первый раз Qilin заявили о себе в 2022 г. На протяжении 2023 г. их атаки носили скорее спорадический характер, но в 2024 г. злоумышленники начали вести все более активную деятельность, и этот рост продолжается до сих пор.
Существуют как минимум два варианта шифровальщика Qilin: версия на Rust, предназначенная для атак на системы под Windows, и вариант на C, для атак на хосты под Linux, на которых функционируют системы виртуализации.
Qilin при этом использует практически не взламываемое шифрование - комбинацию из алгоритмов ChaCha20, AES и RSA4096; по выбору оператора файлы могут шифроваться целиком или фрагментами (второй вариант значительно ускоряет процесс). Любые теневые копии уничтожаются. В конечном счете у жертв практически не остается шансов на восстановление данных без выплаты выкупа.
Создатели платформы оставляют себе 15-20% от каждой выплаты. Остальное достается тем, кто непосредственно осуществлял атаку.
Остается лишь надеяться, что рано или поздно злоумышленники себя выдадут каким-либо образом, так что правоохранительные органы смогут их вычислить и задержать.
Короткая ссылка
