Цифровая чума: Qilin массово парализует больницы

Недавно группа Qilin, известная своими кибератаками на сектор здравоохранения, вновь привлекла внимание общественности. Наиболее крупный выкуп, который они потребовали, составил 50 миллионов долларов во время нападения на Synnovis, поставщика патологоанатомических услуг, что сильно отразилось на нескольких ключевых больницах Национальной службы здравоохранения (NHS) в Лондоне.

По информации компании Group-IB, впервые группа Qilin была замечена в июле 2022 года, а уже в феврале 2023 года начала свои операции по модели Ransomware-as-a-Service (RaaS) на подпольных форумах. Одноимённая вредоносная программа Qilin, первоначально развивавшаяся из программы-вымогателя Agenda на языке Go, была затем переосмыслена и переписана на языке Rust, что улучшило её устойчивость и эффективность.

За время своей деятельности группа Qilin скомпрометировала более 150 организаций в 25 странах, затронув разнообразные отрасли. Исследования выявили сложную структуру организации, включающую административные стратегии и сеть партнёров.

Методы Qilin включают эксплуатацию уязвимостей известных устройств и программ. Например, группировка использовала уязвимости в устройствах Fortinet и программном обеспечении Veeam Backup & Replication для первоначального доступа. Они также применяют брутфорс-атаки на VPN-устройства и используют утилиту Mimikatz для повышения привилегий на скомпрометированных системах.

Qilin активно скрывает свои действия, удаляя системные логи и события, чтобы затруднить расследование инцидентов. Вредонос может останавливать процессы и службы, что усложняет его обнаружение и реагирование на атаку. Для скрытного удаления следов используется команда PowerShell, которая очищает журналы событий Windows.

Зловредное ПО Qilin способно распространяться по локальной сети, функционируя как сетевой червь. Для этого оно использует утилиту PsExec и возможности самораспространения через VMware vCenter. Также вредонос может задействовать удалённый рабочий стол (RDP) и административные общие ресурсы Windows (Administrative share) для движения по сети.

Кроме того, Qilin атакует системы резервного копирования, удаляя копии данных и отключая запланированные задачи для создания бэкапов. Для шифрования данных используется комбинация алгоритмов AES-256 CTR и ChaCha20, что делает восстановление данных практически невозможным без ключа дeшифрования.

Группировка Qilin представляет серьёзную угрозу для кибербезопасности благодаря своей гибкости и сотрудничеству с различными партнёрами в рамках RaaS. Технические средства и методы, применяемые Qilin, продолжают эволюционировать, что требует постоянного мониторинга и обновления мер защиты.