- 27,441
- 46
- 8 Ноя 2022
За агрессивной экспансией стояла не случайность, а холодный расчёт.
Группировка Qilin за несколько лет прошла путь от малозаметного шифровальщика до одной из самых активных сил на рынке вымогательского ПО. По данным отчёта Guardsix, бывшая Agenda превратилась в зрелую платформу для атак, где одни участники поддерживают инфраструктуру, а другие взламывают компании и делят выкуп с операторами.
Qilin впервые заметили в середине 2022 года. Сначала активность выглядела ограниченной, но в 2023 году группировка резко нарастила темп, а в 2024 и 2025 годах закрепилась среди лидеров по числу опубликованных жертв. По данным ransomware.live, к моменту подготовки отчёта Qilin связали суммарно примерно с 1697 пострадавшими организациями, причём лишь за последние 90 дней группировка заявила о 421 атаке.
Операторы Qilin работают по модели RaaS. Основная команда развивает шифровальщик, панель управления и инфраструктуру, а партнёры проводят проникновения в сети. Такой подход помогает быстро менять методы атак, расширять географию и держать высокий темп кампаний. За время развития Qilin перешла от шифровальщика на Go к версии на Rust, способной работать в Windows, Linux и VMware ESXi.
Чаще всего жертвами становятся производственные, технологические, медицинские и строительные компании. Ущерб для таких отраслей особенно болезнен из-за простоя, давления регуляторов и зависимости от цепочек поставок. Среди стран с наибольшим числом пострадавших упоминаются США, Великобритания, Германия, Канада и Испания.
Для первичного доступа Qilin использует уязвимости во внешних сервисах, украденные учётные данные, социальную инженерию и плохо защищённые <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> без многофакторной аутентификации. Внутри сети злоумышленники создают учётные записи администраторов, меняют настройки удалённого доступа, выгружают пароли из LSASS, используют Mimikatz и SharpDecryptPwd, а также отключают защитные средства через уязвимые драйверы и инструменты вроде DarkKill и HRSword.
После закрепления в инфраструктуре атакующие разведывают домен, ищут сетевые ресурсы, применяют PsExec, RDP, SSH, ScreenConnect и AnyDesk. Перед шифрованием данные архивируются через WinRAR и выводятся в облачные или файловые сервисы. Qilin удаляет теневые копии, мешает восстановлению и добавляет к зашифрованным файлам расширение .qilin либо индивидуальные метки жертвы.
Группировка усилила давление на пострадавших не только кражей данных и шифрованием. В арсенале Qilin появились DDoS-угрозы и функция «Call Lawyer» , которая помогает партнёрам давить на компании через риски штрафов, судебных претензий и репутационного ущерба. Такой подход показывает, что современные вымогатели всё чаще продают не просто вредоносный код, а полноценную криминальную инфраструктуру для многоступенчатого шантажа.
Группировка Qilin за несколько лет прошла путь от малозаметного шифровальщика до одной из самых активных сил на рынке вымогательского ПО. По данным отчёта Guardsix, бывшая Agenda превратилась в зрелую платформу для атак, где одни участники поддерживают инфраструктуру, а другие взламывают компании и делят выкуп с операторами.
Qilin впервые заметили в середине 2022 года. Сначала активность выглядела ограниченной, но в 2023 году группировка резко нарастила темп, а в 2024 и 2025 годах закрепилась среди лидеров по числу опубликованных жертв. По данным ransomware.live, к моменту подготовки отчёта Qilin связали суммарно примерно с 1697 пострадавшими организациями, причём лишь за последние 90 дней группировка заявила о 421 атаке.
Операторы Qilin работают по модели RaaS. Основная команда развивает шифровальщик, панель управления и инфраструктуру, а партнёры проводят проникновения в сети. Такой подход помогает быстро менять методы атак, расширять географию и держать высокий темп кампаний. За время развития Qilin перешла от шифровальщика на Go к версии на Rust, способной работать в Windows, Linux и VMware ESXi.
Чаще всего жертвами становятся производственные, технологические, медицинские и строительные компании. Ущерб для таких отраслей особенно болезнен из-за простоя, давления регуляторов и зависимости от цепочек поставок. Среди стран с наибольшим числом пострадавших упоминаются США, Великобритания, Германия, Канада и Испания.
Для первичного доступа Qilin использует уязвимости во внешних сервисах, украденные учётные данные, социальную инженерию и плохо защищённые <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> без многофакторной аутентификации. Внутри сети злоумышленники создают учётные записи администраторов, меняют настройки удалённого доступа, выгружают пароли из LSASS, используют Mimikatz и SharpDecryptPwd, а также отключают защитные средства через уязвимые драйверы и инструменты вроде DarkKill и HRSword.
После закрепления в инфраструктуре атакующие разведывают домен, ищут сетевые ресурсы, применяют PsExec, RDP, SSH, ScreenConnect и AnyDesk. Перед шифрованием данные архивируются через WinRAR и выводятся в облачные или файловые сервисы. Qilin удаляет теневые копии, мешает восстановлению и добавляет к зашифрованным файлам расширение .qilin либо индивидуальные метки жертвы.
Группировка усилила давление на пострадавших не только кражей данных и шифрованием. В арсенале Qilin появились DDoS-угрозы и функция «Call Lawyer» , которая помогает партнёрам давить на компании через риски штрафов, судебных претензий и репутационного ущерба. Такой подход показывает, что современные вымогатели всё чаще продают не просто вредоносный код, а полноценную криминальную инфраструктуру для многоступенчатого шантажа.
- Источник новости
- www.securitylab.ru
