Nel panorama della sicurezza informatica, una nuova variante del ransomware Qilin, denominata Qilin.B, ha catturato l'attenzione degli esperti per la sua sofisticazione avanzata e le tattiche di evasione migliorate. Scoperta dai ricercatori di Halcyon, questa variante si distingue per l'adozione di tecniche crittografiche avanzate, come l'utilizzo di AES-256-CTR per i sistemi compatibili con AESNI, mantenendo comunque Chacha20 per quelli che non supportano tale tecnologia. Inoltre, l'uso di RSA-4096 con padding OAEP per proteggere le chiavi di crittografia rende impossibile la decrittazione dei file senza la chiave privata dell'attaccante.

Origini di Qilin

Originariamente conosciuto come Agenda, Qilin ha fatto la sua prima comparsa nell'estate del 2022, con versioni iniziali sviluppate in Golang e successivamente migrate a Rust. La sua evoluzione ha portato alla creazione di un modello ransomware-as-a-service (RaaS), che permette agli affiliati di ottenere tra l'80% e l'85% di ogni riscatto pagato. Questo modello di business è supportato da strategie di reclutamento che coinvolgono conversazioni con potenziali membri del gruppo Qilin.

Tattiche recenti di Qilin

Recentemente, gli attacchi attribuiti a Qilin hanno mostrato un cambiamento nelle loro tattiche, abbandonando in parte gli attacchi di doppia estorsione per concentrarsi sul furto di credenziali memorizzate nei browser Google Chrome su alcuni endpoint compromessi. I campioni di Qilin.B analizzati evidenziano capacità crittografiche migliorate e tattiche operative avanzate, come la terminazione di servizi associati a strumenti di sicurezza, la cancellazione continua dei registri eventi di Windows e l'autocancellazione del ransomware stesso.

Minacce aggiuntive di Qilin.B

Un aspetto preoccupante di Qilin.B è la sua capacità di interrompere i processi legati a servizi di backup e virtualizzazione come Veeam, SQL e SAP, nonché l'eliminazione delle copie shadow dei volumi, complicando notevolmente gli sforzi di recupero dei dati. Questa combinazione di meccanismi di crittografia avanzata, tattiche efficaci di evasione difensiva e interruzione persistente dei sistemi di backup rende Qilin.B una variante di ransomware particolarmente pericolosa.

Strumenti correlati basati su Rust

In parallelo, è stata identificata una nuova serie di strumenti basati su Rust utilizzata per distribuire il ransomware Embargo, che include una tecnica per terminare soluzioni di rilevamento e risposta degli endpoint (EDR) utilizzando il metodo Bring Your Own Vulnerable Driver (BYOVD). Questo toolkit comprende un loader malevolo, MDeployer, che facilita l'esecuzione del ransomware e la crittografia dei file. La persistenza e l'evoluzione delle minacce ransomware continuano a rappresentare una sfida significativa nel panorama della sicurezza informatica, con gruppi che sfruttano linguaggi di programmazione come Rust per sviluppare strumenti sempre più sofisticati.