Los investigadores de ciberseguridad han descubierto una versión avanzada del ransomware Qilin con mayor sofisticación y tácticas para evadir la detección.
La nueva variante está siendo rastreada por la empresa de ciberseguridad Halcyon con el nombre de Qilin.B.
“En particular, Qilin.B ahora admite el cifrado AES-256-CTR para sistemas con capacidades AESNI, mientras conserva Chacha20 para sistemas sin este soporte”, dijo el equipo de investigación de Halcyon. dicho en un informe compartido con The Hacker News.
“Además, RSA-4096 con relleno OAEP se utiliza para proteger las claves de cifrado, lo que hace imposible descifrar archivos sin la clave privada del atacante o las semillas capturadas”.
Qilin, también conocido como Agenda, llamó la atención de la comunidad de ciberseguridad por primera vez en julio/agosto de 2022, con versiones iniciales escritas en Golang antes de pasar a Rust.
Un informe de mayo de 2023 de Group-IB encontró que el sistema de ransomware como servicio (RaaS) permite a sus afiliados recuperar entre el 80% y el 85% de cada pago de rescate después de infiltrarse en el grupo e iniciar con éxito una conversación con un reclutador de Qilin. .
Los ataques recientes vinculados a la operación de ransomware robaron credenciales almacenadas en los navegadores Google Chrome en un pequeño conjunto de puntos finales comprometidos, lo que indica una especie de desviación de los típicos ataques de doble extorsión.
Las muestras de Qilin.B analizadas por Halcyon muestran que se basa en iteraciones anteriores con capacidades de cifrado adicionales y tácticas operativas mejoradas.
Esto incluye el uso de AES-256-CTR o Chacha20 para el cifrado, además de tomar medidas para resistir el escaneo y la detección finalizando servicios asociados con herramientas de seguridad, borrando continuamente registros de eventos de Windows y eliminándose a sí mismo.
También incluye funciones para eliminar procesos relacionados con servicios de copia de seguridad y virtualización como Veeam, SQL y SAP, y eliminar instantáneas de volumen, lo que complica los esfuerzos de recuperación.
“La combinación de mecanismos de cifrado mejorados, tácticas efectivas de evasión de defensa e interrupciones persistentes en los sistemas de respaldo de Qilin.B lo convierten en una variante de ransomware particularmente peligrosa”, dijo Halcyon.
EL carácter pernicioso y persistente La amenaza que representa el ransomware se destaca en las tácticas en continua evolución demostradas por los grupos de ransomware.
Esto se ilustra con el descubrimiento de un nuevo conjunto de herramientas basadas en Rust que se utilizó para propagar el naciente ransomware Embargo, no sin antes finalizar las soluciones de detección y respuesta de endpoints (EDR) instaladas en el host mediante Bring Your Own Vulnerable Driver (BYOVD). ). técnico.
El asesino de EDR, bautizado como MS4Killer por ESET por sus similitudes con el software de código abierto s4killer herramienta, y el ransomware se ejecuta utilizando un cargador malicioso llamado MDeployer.
“MDeployer es el principal cargador malicioso que Embargo intenta implementar en las máquinas de la red comprometida; facilita el resto del ataque, lo que resulta en la ejecución de ransomware y el cifrado de archivos”, investigadores Jan Holman y Tomáš Zvara. dicho. “MS4Killer debería funcionar indefinidamente”.
“Tanto MDeployer como MS4Killer están escritos en Rust. Lo mismo ocurre con la carga útil del ransomware, lo que sugiere que Rust es el lenguaje elegido entre los desarrolladores del grupo”.
Según datos compartidos por Microsoft, 389 organizaciones sanitarias de EE. UU. se vieron afectadas por ataques de ransomware este año fiscal, lo que les costó hasta 900.000 dólares al día debido al tiempo de inactividad. Algunas de las bandas de ransomware que se sabe que han afectado a los hospitales incluyen Lace Tempest, Sangria Tempest, Cadenza Tempest y Vanilla Tempest.
“De las 99 organizaciones sanitarias que admitieron haber pagado el rescate y lo revelaron, el pago medio fue de 1,5 millones de dólares y el pago medio fue de 4,4 millones de dólares”, dijo el gigante de la tecnología sanitaria. dicho.