Хакерская группировка Qilin, получившая известность за проведение атак с применением вымогательского программного обеспечения против медицинских учреждений, в последние месяцы снова привлекла внимание мировой общественности. Несмотря на действия профильных структур и правоохранительных органов разных стран мира, киберпреступники этого сообщества всё равно продолжают проводить атаки против больниц.
Наиболее серьёзный денежный выкуп, затребованный злоумышленниками после атаки с применением программ-вымогателей, составил 50 млн долларов. Эта атака была проведена против медицинской компании Synnovis, что несколько месяцев назад серьёзно отразилось на деятельности практически всей британской системы здравоохранения.
В профильной компании по кибербезопасности Group-IB заявили, что хакерская группировка Qilin действует как минимум с лета 2022 года, а атаки с применением вымогательского ПО проводятся её участниками с февраля 2023 года. В течение полутора последних лет, согласно статистике экспертов, хакерская группа смогла успешно провести атаки примерно против 150 компаний из 25 стран мира. При этом атаки проводились преимущественно против медицинских учреждений, но затрагивали и многие другие сферы деятельности, в том числе государственный сектор.
В процессе проникновения в сетевую инфраструктуру целевой организации хакеры группировки Qilin стараются максимально скрыть свои действия, удаляют системные логи и события, чтобы осложнить процессы расследования киберинцидентов. Вредоносное ПО, применяемое злоумышленниками, способно после проникновения в систему останавливать процессы и службы, что также затрудняет его выявление и реагирование на атаку со стороны специалистов.
Вредоносное программное обеспечение Qilin может распространяться по локальной сети, выступая в качестве сетевого червя. Для этого злоумышленники используют утилиту PsExec и возможности самораспространения через VMware vCenter.
В процессе проведения атак хакеры группировки Qilin атакуют преимущественно системы резервного копирования, стараясь удалить все имеющиеся копии данных и отключить запланированные задачи для создания бэкапов. Для шифрования файлов и данных в атакованных системах применяется комбинация алгоритмов AES-256 CTR и ChaCha20, из-за чего восстановить заблокированную информацию практически невозможно без ключа дешифрования, который злоумышленники предлагают приобрести за многомиллионный выкуп.
Ещё по теме: