Групата за рансъмуер изнудвания Qilin започна да предлага правна помощ на своите партньори, за да окаже допълнителен натиск върху жертвите на кибератаки с криптиране на информацията. В офертата се споменава и „екип от журналисти”.
Съобщението на групата е публикувано в един от киберпрестъпните форуми. Изследователи на сигурността от компанията Cybereason посочват, че Qilin наскоро се е превърнала в доминираща група в пейзажа на рансъмуер заплахите, който претърпява „бурно преформатиране, характеризиращо се с колапс, поглъщания и неочаквани предателства отвътре”.
В резултат на това групи като RansomHub, LockBit, Everest и BlackLock престанаха да съществуват или загубиха голяма част от тежестта си, докато Qilin, със своята зряла инфраструктура и „разширени възможности”, се озова на върха на хранителната верига.
По същество Qilin се е превърнала в широкообхватна киберпрестъпна платформа: в допълнение към самия рансъмуер, нападателите предлагат програми за изтегляне с разширени функции за поддържане на скритост и разпространение в мрежите на потенциалните жертви, инструменти за изчистване на регистрационни файлове в целевите системи, автоматизирани инструменти за преговори с жертвите и др.
Освен това хакерите предлагат услуги за разпространение на спам, съхранение на данни с размер на петабайти, а сега и медийна и правна подкрепа. Под медии те очевидно имат предвид сайта за публикуване на инфо-течове, който хакерите наричат WikiLeaks V2 (твърди се, че е нова версия на оригиналния WikiLeaks; всъщност няма нищо общо с него).
В допълнение групата предоставя „екип от журналисти”, които „могат да ви помогнат да изготвите текстове за публикуване в блога, както и да упражните влияние по време на преговори”.
Що се отнася до правната подкрепа, това също е инструмент за оказване на натиск върху жертвата. Оригиналното съобщение изглежда така:
„Самото появяване на адвокат в чата е косвено влияние върху компанията [жертва] и размера на откупа, поради нежеланието на компаниите да водят съдебни производства (разноски) за инцидента, плюс работа с правния отдел:
- предоставяне на правна оценка на вашите данни;
- класифициране на нарушенията в съответствие с действащите регулаторни и правни актове в определена юрисдикция;
- правна оценка на евентуално причинените щети (включително съдебни дела, разходи, репутационни рискове);
- възможност за директно преговаряне с адвокат;
- консултация как да се причинят максимални икономически щети на компанията в случай на отказ да се изпълнят заявените искания (за да се избегнат подобни ситуации в бъдеще)”.
С други думи, адвокатът действа като професионален изнудвач, подобно на гореспоменатия „екип от журналисти”.
Независимо от мотивацията им, дейностите на Qilin имат чисто криминален характер и всички техни партньори, както и „адвокати” и „журналисти”, са преди всичко крадци и изнудвачи – или съучастници. Във всеки случай това е престъпление, коментират юристи.
Qilin излезе на сцената през 2022 г. Атаките на групата бяха спорадични през цялата 2023 г., но през 2024 г. нападателите започнаха да стават все по-активни и този растеж продължава и до днес.
Има поне два варианта на рансъмуер вируса Qilin: версия на Rust, предназначена за атака на Windows системи, и вариант на C, предназначен за атака на Linux хостове, работещи с виртуализационни системи.
Qilin използва практически неразбиваемо криптиране – комбинация от алгоритми ChaCha20, AES и RSA4096. По преценка на оператора файловете могат да бъдат криптирани изцяло или частично (втората опция значително ускорява процеса). Всички скрити копия се унищожават. В крайна сметка жертвите практически нямат шанс да възстановят данните си, без да платят откупа.
Създателите на платформата задържат 15-20% от всяко плащане. Останалата част отива при тези, които са извършили директно атаката.
