Μια νέα έκδοση του στελέχους ransomware Qilin (Agenda) που βασίζεται στο Rust, με την ονομασία «Qilin.B», έχει εντοπιστεί σε επιθέσεις, με ισχυρότερη κρυπτογράφηση, καλύτερη αποφυγή από εργαλεία ασφαλείας και δυνατότητα διακοπής των μηχανισμών ανάκτησης δεδομένων.
Το Qilin.B εντοπίστηκε από ερευνητές ασφαλείας στο Αλκυώνο οποίος προειδοποίησε για την απειλή και κοινοποίησε δείκτες συμβιβασμού για να βοηθήσει στον έγκαιρο εντοπισμό.
Το Qilin ενημερώνει τον κρυπτογράφηση του
Ξεκινώντας με το νέο σχήμα κρυπτογράφησης, το Qilin.B χρησιμοποιεί AES-256-CTR με δυνατότητες AESNI για CPU που το υποστηρίζουν, επιταχύνοντας την κρυπτογράφηση.
Ωστόσο, το νέο στέλεχος διατηρεί το ChaCha20 για ασθενέστερα ή παλαιότερα συστήματα που δεν διαθέτουν το κατάλληλο υλικό για το AESNI, διασφαλίζοντας σε κάθε περίπτωση ισχυρή κρυπτογράφηση.
Το Qilin.B ενσωματώνει επίσης το RSA-4096 με padding OAEP για προστασία κλειδιού κρυπτογράφησης, καθιστώντας την αποκρυπτογράφηση σχεδόν αδύνατη χωρίς το ιδιωτικό κλειδί ή τις καταγεγραμμένες τιμές εκκίνησης.
Κατά την εκτέλεση, το νέο κακόβουλο λογισμικό Qilin προσθέτει ένα κλειδί αυτόματης εκτέλεσης στο Μητρώο των Windows για επιμονή και τερματίζει τις ακόλουθες διαδικασίες για να ελευθερώσει κρίσιμα δεδομένα για κρυπτογράφηση και να απενεργοποιήσει τα εργαλεία ασφαλείας.
- Veeam (αντίγραφο ασφαλείας και ανάκτηση)
- Windows Volume Shadow Copy Service (δημιουργία αντιγράφων ασφαλείας και ανάκτηση συστήματος)
- Υπηρεσίες βάσης δεδομένων SQL (διαχείριση εταιρικών δεδομένων)
- Sophos (λογισμικό ασφαλείας και προστασίας από ιούς)
- Acronis Agent (υπηρεσία δημιουργίας αντιγράφων ασφαλείας και ανάκτησης)
- SAP (επιχειρηματικός σχεδιασμός πόρων)
Τα υπάρχοντα σκιώδη αντίγραφα τόμου διαγράφονται για να αποτραπεί η εύκολη επαναφορά του συστήματος και τα αρχεία καταγραφής συμβάντων των Windows διαγράφονται για να παρεμποδιστεί η εγκληματολογική ανάλυση. Το δυαδικό ransomware διαγράφεται επίσης μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης.
Το Qilin.B στοχεύει τόσο τοπικούς καταλόγους όσο και φακέλους δικτύου και δημιουργεί σημειώσεις λύτρων για κάθε κατάλογο που υποβάλλεται σε επεξεργασία, συμπεριλαμβανομένου του αναγνωριστικού θύματος στον τίτλο.
Πηγή: BleepingComputer
Για μέγιστη προσέγγιση, τροποποίησε το Μητρώο με μια ξεχωριστή καταχώρηση για να επιτρέψει την κοινή χρήση μονάδων δίσκου δικτύου μεταξύ ανυψωμένων και μη ανυψωμένων διεργασιών.
Αν και τα παραπάνω δεν είναι πρωτοποριακά χαρακτηριστικά στον χώρο του ransomware, μπορούν να έχουν σοβαρό και εκτεταμένο αντίκτυπο όταν προστίθενται σε μια οικογένεια που χρησιμοποιείται από διαβόητες ομάδες απειλών σε εξαιρετικά αποτελεσματικές επιθέσεις.
Τον περασμένο Αύγουστο, η Sophos αποκάλυψε ότι το Qilin αναπτύσσει ένα προσαρμοσμένο πρόγραμμα κλοπής πληροφοριών σε επιθέσεις για να συλλέγει διαπιστευτήρια που είναι αποθηκευμένα στο πρόγραμμα περιήγησης Google Chrome και να επεκτείνει τις επιθέσεις τους σε ολόκληρα δίκτυα ή να ξανασυστήνεται σε δίκτυα που έχουν παραβιαστεί ακόμα και μετά από εκκαθαρίσεις.
Προηγουμένως, το Qilin χρησιμοποιήθηκε σε εξαιρετικά καταστροφικές επιθέσεις εναντίον μεγάλων νοσοκομείων του Λονδίνου, της Court Services Victoria στην Αυστραλία και του γίγαντα της αυτοκινητοβιομηχανίας Yanfeng.
Η ομάδα χρησιμοποιεί επίσης μια παραλλαγή Linux που επικεντρώνεται στις επιθέσεις VMware ESXi, αλλά η παραλλαγή που εντοπίστηκε στο Halcyon αφορά συστήματα Windows.
VIA: bleepingcomputer.com
