Qilin zsarolóvírus – hívjon ügyvédet
A Qualys jelentése szerint a Qilin (Agenda) zsarolóvírus egy kifinomult, orosz hátterű RaaS (ransomware-as-a-service) banda által használt kártevő, amely 2022 júliusa óta aktív. A csoport olyan kritikus infrastruktúrákat – mint egészségügyi intézmények, oktatási szervezetek, OT/IT környezetek – célozza, és az idei évben több mint 300 szervezetet kompromittált világszerte. Technikailag a Qilin fejlett és folyamatosan fejlődő, mivel Golang és Rust nyelven íródott. A Rust verzió különösen lopakodó, kompilált formája miatt nehéz a hagyományos vírusészlelőknek kiszúrni, gyakran alkalmaz hash-alapú API-feloldást, malware-ellenes trükköket (pl. safe mode reboot, log törlés), és több titkosítási módot (AES‑256‑CTR, ChaCha20, RSA‑4096) kombinál.
A támadás jellemző módja, spear phishing vagy RMM-eszközök által történő kezdeti behatolás után a kártevő rendszerszintű mozgatása, jogosultságemelés, backupok törlése (VSS eltávolítás) és háttérrendszerbe való beágyazódás. Az adatok titkosítása után dupla zsarolási technikát alkalmaznak, nemcsak zárolják az információkat, hanem előtte kivonatolnak érzékeny adatokat, ezzel komolyabb nyomást gyakorolva az áldozatra. A TRU riport szerint átlagosan 50 ezer–800 ezer dollár közötti összegeket követelnek. Az újabb fejlesztések között szerepel egy Call Lawyer funkció az affiliate irányító panelen, ahol jogi tanácsot kínálnak a partnerhackereknek a magasabb váltságdíjak kikövetelésére.
