Pesquisadores de segurança cibernética descobriram uma versão avançada do ransomware Qilin com maior sofisticação e táticas para evitar a detecção.
A nova variante está sendo rastreada pela empresa de segurança cibernética Halcyon sob o nome de Qilin.B.
“Notavelmente, o Qilin.B agora oferece suporte à criptografia AES-256-CTR para sistemas com recursos AESNI, enquanto ainda mantém o Chacha20 para sistemas que não possuem esse suporte”, disse a equipe de pesquisa Halcyon em um relatório compartilhado com o The Hacker Information.
“Além disso, o RSA-4096 com preenchimento OAEP é usado para proteger as chaves de criptografia, impossibilitando a descriptografia de arquivos sem a chave privada do invasor ou os valores iniciais capturados.”
Qilin, também conhecido como Agenda, chamou a atenção da comunidade de segurança cibernética pela primeira vez em julho/agosto de 2022, com versões iniciais escritas em Golang antes de mudar para Rust.
Um relatório de maio de 2023 do Group-IB revelou que o esquema de ransomware como serviço (RaaS) permite que seus afiliados recebam algo entre 80% a 85% de cada pagamento de resgate depois que ele se infiltra no grupo e consegue iniciar uma conversa com um Recrutador Qilin.
Ataques recentes vinculados à operação de ransomware roubaram credenciais armazenadas nos navegadores Google Chrome em um pequeno conjunto de endpoints comprometidos, sinalizando uma espécie de afastamento dos típicos ataques de extorsão dupla.
As amostras do Qilin.B analisadas pela Halcyon mostram que ele se baseia em iterações mais antigas com recursos adicionais de criptografia e táticas operacionais aprimoradas.
Isso inclui o uso de AES-256-CTR ou Chacha20 para criptografia, além de tomar medidas para resistir à análise e detecção, encerrando serviços associados a ferramentas de segurança, limpando continuamente os logs de eventos do Home windows e excluindo-se.
Ele também inclui recursos para eliminar processos vinculados a serviços de backup e virtualização como Veeam, SQL e SAP, e excluir cópias de sombra de quantity, complicando assim os esforços de recuperação.
“A combinação de mecanismos de criptografia aprimorados, táticas eficazes de evasão de defesa e interrupção persistente de sistemas de backup do Qilin.B o marcam como uma variante de ransomware particularmente perigosa”, disse Halcyon.
A natureza perniciosa e persistente da ameaça representada pelo ransomware é evidenciada nas táticas evolutivas contínuas demonstradas pelos grupos de ransomware.
Isso é exemplificado pela descoberta de um novo conjunto de ferramentas baseado em Rust que foi usado para entregar o nascente ransomware Embargo, mas não antes de encerrar as soluções de detecção e resposta de endpoint (EDR) instaladas no host usando o Convey Your Personal Susceptible Driver (BYOVD) técnica.
Tanto o assassino EDR, codinome MS4Killer da ESET devido às suas semelhanças com a ferramenta s4killer de código aberto, quanto o ransomware são executados por meio de um carregador malicioso conhecido como MDeployer.
“MDeployer é o principal carregador malicioso que o Embargo tenta implantar em máquinas na rede comprometida – ele facilita o resto do ataque, resultando na execução de ransomware e criptografia de arquivos”, disseram os pesquisadores Jan Holman e Tomáš Zvara. “Espera-se que o MS4Killer funcione indefinidamente.”
“Tanto o MDeployer quanto o MS4Killer são escritos em Rust. O mesmo se aplica à carga útil do ransomware, sugerindo que Rust é a linguagem preferida para os desenvolvedores do grupo.”
De acordo com dados compartilhados pela Microsoft, 389 instituições de saúde dos EUA foram atingidas por ataques de ransomware neste ano fiscal, custando-lhes até US$ 900.000 por dia devido ao tempo de inatividade. Algumas das gangues de ransomware conhecidas por atacar hospitais incluem Lace Tempest, Sangria Tempest, Cadenza Tempest e Vanilla Tempest.
“Das 99 organizações de saúde que admitiram ter pago o resgate e divulgaram o resgate pago, o pagamento médio foi de US$ 1,5 milhão e o pagamento médio foi de US$ 4,4 milhões”, disse a gigante da tecnologia.