Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware Ομάδα λυτρισμικού Qilin

Ομάδα λυτρισμικού Qilin

Μέχρι το Mezo το Ransomware, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Η Qilin (που καταγράφεται επίσης ως Agenda, Gold Feather και Water Galura) έχει εξελιχθεί σε μία από τις πιο παραγωγικές επιχειρήσεις Ransomware‑as‑a‑Service (RaaS) που είναι ενεργές σήμερα. Από τις αρχές του 2025, η ομάδα δημοσιεύει περισσότερα από 40 θύματα ανά μήνα (ο Ιανουάριος ήταν η μόνη εξαίρεση), φτάνοντας στο αποκορύφωμά της με περίπου 100 καταχωρήσεις σε ιστότοπους διαρροών τον Ιούνιο και καταγράφοντας 84 θύματα τον Αύγουστο και τον Σεπτέμβριο του 2025. Ενεργή από περίπου τον Ιούλιο του 2022, ο ρυθμός και οι τακτικές της Qilin την καθιστούν παράγοντα υψηλού κινδύνου για τις επιχειρήσεις παγκοσμίως.

Ποιος χτυπήθηκε - Γεωγραφία και Βιομηχανίες

Η ανάλυση της τηλεμετρίας περιστατικών δείχνει ότι τα θύματα του Qilin συγκεντρώνονται στη Βόρεια Αμερική και τη Δυτική Ευρώπη, με τις Ηνωμένες Πολιτείες, τον Καναδά, το Ηνωμένο Βασίλειο, τη Γαλλία και τη Γερμανία να είναι μεταξύ των χωρών που έχουν πληγεί περισσότερο. Η ομάδα ευνοεί ορισμένους κάθετους τομείς: η μεταποίηση αντιπροσωπεύει περίπου το 23% των παρατηρούμενων στόχων, οι επαγγελματικές και επιστημονικές υπηρεσίες περίπου το 18% και το χονδρικό εμπόριο περίπου το 10%.

Αρχική Πρόσβαση και Πρώιμη Εδραίωση

Οι ερευνητές πιστεύουν ότι πολλές εισβολές θυγατρικών της Qilin ξεκινούν με διαρροές διαχειριστικών διαπιστευτηρίων που λαμβάνονται από αποθετήρια του dark‑web. Οι αντίπαλοι χρησιμοποιούν αυτά τα διαπιστευτήρια για να συνδεθούν μέσω μιας διεπαφής VPN και στη συνέχεια να πραγματοποιήσουν συνδέσεις RDP με ελεγκτές τομέα και άλλα παραβιασμένα τερματικά σημεία. Από εκεί, προχωρούν σε χαρτογράφηση περιβάλλοντος και βαθύτερη αναγνώριση.

Συγκομιδή και Εργαλεία Πιστοποίησης

Οι καμπάνιες Qilin κάνουν εκτεταμένη χρήση εργαλείων και τεχνικών συλλογής διαπιστευτηρίων. Οι χειριστές και οι συνεργάτες εκτελούν το Mimikatz μαζί με βοηθητικά προγράμματα όπως το WebBrowserPassView.exe, το BypassCredGuard.exe και το SharpDecryptPwd για να αντλούν μυστικά από προγράμματα περιήγησης, αποθηκευτικούς χώρους συστήματος και άλλες εφαρμογές. Τα συλλεγόμενα διαπιστευτήρια αποστέλλονται σε εξωτερικούς διακομιστές SMTP χρησιμοποιώντας σενάρια της Visual Basic. Η χρήση του Mimikatz που παρατηρήθηκε σε πραγματικό χρόνο περιελάμβανε ενέργειες για:

  • διαγραφή των αρχείων καταγραφής συμβάντων των Windows και διαγραφή ιχνών με άλλο τρόπο·
  • ενεργοποιήστε το SeDebugPrivilege;
  • εξαγωγή αποθηκευμένων κωδικών πρόσβασης Chrome από βάσεις δεδομένων SQLite.
  • ανάκτηση διαπιστευτηρίων από προηγούμενες συνδέσεις και
  • διαμόρφωση συλλογής και διαπιστευτήρια για RDP, SSH και Citrix.

Ζώντας από τη γη και Καταχρώμενα Νόμιμα Εργαλεία

Οι απειλητικοί παράγοντες συνδυάζουν προφανές κακόβουλο λογισμικό με νόμιμα βοηθητικά προγράμματα συστήματος και γνωστά εργαλεία διαχείρισης για να αναμειχθούν. Έχουν παρατηρηθεί να ανοίγουν αρχεία με τα mspaint.exe, notepad.exe και iexplore.exe για να ελέγχουν χειροκίνητα το περιεχόμενο για ευαίσθητες πληροφορίες και να χρησιμοποιούν το καλόπιστο πρόγραμμα-πελάτη Cyberduck για να μεταφέρουν επιλεγμένα αρχεία σε απομακρυσμένους διακομιστές, αποκρύπτοντας παράλληλα κακόβουλες προθέσεις.

Πώς αξιοποιούνται τα κλεμμένα διαπιστευτήρια

Μόλις λάβουν τα διαπιστευτήρια, οι ηθοποιοί Qilin κλιμακώνουν τα προνόμια και τα εξαπλώνουν πλευρικά. Η αυξημένη πρόσβαση έχει χρησιμοποιηθεί για την εγκατάσταση μιας ποικιλίας προϊόντων απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) και απομακρυσμένης πρόσβασης — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist και ScreenConnect — αν και οι ερευνητές (Talos) δεν μπορούσαν πάντα να προσδιορίσουν εάν κάθε προϊόν χρησιμοποιήθηκε κυρίως για πλευρική κίνηση ή για μόνιμο τηλεχειρισμό.

Φυγή, Επιμονή και Μετα-εκμετάλλευση

Για να αποφύγουν τον εντοπισμό, οι εισβολείς εκτελούν ακολουθίες PowerShell που απενεργοποιούν το AMSI, απενεργοποιούν την επικύρωση πιστοποιητικών TLS και ενεργοποιούν τη λειτουργία περιορισμένης διαχείρισης. Επίσης, αναπτύσσουν βοηθητικά προγράμματα τύπου kill‑switch, όπως το dark‑kill και το HRSword, για να τερματίσουν προϊόντα ασφαλείας. Για διατήρηση και μυστική εντολή και έλεγχο, χρησιμοποιούν το Cobalt Strike και το SystemBC.

Ανάπτυξη και καθαρισμός ransomware

Το τελικό στάδιο είναι η ανάπτυξη του ransomware Qilin: τα αρχεία κρυπτογραφούνται, οι σημειώσεις λύτρων αποθηκεύονται σε κρυπτογραφημένους φακέλους, τα αρχεία καταγραφής συμβάντων των Windows σβήνονται και όλα τα σκιώδη αντίγραφα που δημιουργούνται από την Υπηρεσία Σκιωδών Αντιγράφων Τόμου (VSS) διαγράφονται για να ματαιωθούν οι προσπάθειες ανάκτησης.

Προηγμένες υβριδικές αλυσίδες επίθεσης (δυαδικό αρχείο Linux σε Windows + BYOVD)
Ορισμένα εξελιγμένα περιστατικά Qilin έχουν συνδυάσει αρκετές προηγμένες τεχνικές. Οι χειριστές έχουν αναπτύξει ένα δυαδικό αρχείο ransomware μεταγλωττισμένο σε Linux, αλλά το έχουν εκτελέσει σε κεντρικούς υπολογιστές των Windows, έχουν συνδυάσει αυτό το ωφέλιμο φορτίο με μια τεχνική «bring your own vulnerable driver» (BYOVD) για να απενεργοποιήσουν τις άμυνες και έχουν χρησιμοποιήσει νόμιμα εργαλεία διαχείρισης IT για να μετακινηθούν στο περιβάλλον και να εκτελέσουν ωφέλιμα φορτία. Σε αυτές τις επιθέσεις, το πρόγραμμα οδήγησης eskle.sys παρατηρήθηκε ως το ευάλωτο στοιχείο του προγράμματος οδήγησης που χρησιμοποιείται για την απενεργοποίηση των στοιχείων ελέγχου ασφαλείας, τον τερματισμό διεργασιών και την αποφυγή ανίχνευσης.

Στόχευση αντιγράφων ασφαλείας και κλοπή προσαρμοσμένων διαπιστευτηρίων

Η Qilin έχει στοχεύσει συγκεκριμένα την υποδομή δημιουργίας αντιγράφων ασφαλείας της Veeam. Οι επιτιθέμενοι χρησιμοποίησαν εξειδικευμένα εργαλεία εξαγωγής διαπιστευτηρίων από βάσεις δεδομένων αντιγράφων ασφαλείας για να συλλέξουν διαπιστευτήρια, θέτοντας συστηματικά σε κίνδυνο τις πλατφόρμες αποκατάστασης καταστροφών των οργανισμών πριν από την απόρριψη ransomware, αυξάνοντας σημαντικά τα ρίσκα για τα θύματα που επηρεάστηκαν.

Μηχανισμοί ηλεκτρονικού “ψαρέματος” (phishing) και πλαστών CAPTCHA

Πέρα από την έγκυρη κατάχρηση λογαριασμού, ορισμένες εισβολές ξεκίνησαν με spear-phishing ή με ψεύτικες σελίδες CAPTCHA τύπου ClickFix που φιλοξενούνται στο Cloudflare R2. Αυτές οι σελίδες φαίνεται να παρέχουν φορτία κλοπής πληροφοριών που συλλέγουν διαπιστευτήρια, τα οποία στη συνέχεια επαναχρησιμοποιούνται για την απόκτηση αρχικής πρόσβασης στο δίκτυο.

Οι βασικές τεχνικές και υποδομές που παρατηρήθηκαν περιλαμβάνουν:

  • Ανάπτυξη ενός αρχείου DLL διακομιστή μεσολάβησης SOCKS για την ενεργοποίηση της απομακρυσμένης πρόσβασης και της εκτέλεσης εντολών.
  • Κατάχρηση του ScreenConnect για την εκτέλεση εντολών εντοπισμού και εργαλείων σάρωσης δικτύου για τον εντοπισμό στόχων πλευρικής κίνησης.
  • Στόχευση συστημάτων δημιουργίας αντιγράφων ασφαλείας Veeam για την εξαγωγή διαπιστευτηρίων δημιουργίας αντιγράφων ασφαλείας από πολλαπλές βάσεις δεδομένων.
  • Χρήση του προγράμματος οδήγησης eskle.sys σε επιθέσεις BYOVD για την εξουδετέρωση λογισμικού ασφαλείας και τον τερματισμό αμυντικών διεργασιών.
  • Ανάπτυξη πελατών SSH PuTTY για πλευρική μετακίνηση σε κεντρικούς υπολογιστές Linux.
  • Εκτέλεση στιγμιότυπων διακομιστή μεσολάβησης SOCKS σε διαφορετικούς καταλόγους για την απόκρυψη της κυκλοφορίας C2 μέσω της κερκόπορτας COROXY.
  • Χρήση του WinSCP για τη μετακίνηση του δυαδικού αρχείου ransomware Linux σε συστήματα Windows.
  • Αξιοποιώντας το SRManager.exe του Splashtop Remote για την εκτέλεση του δυαδικού αρχείου ransomware Linux απευθείας σε υπολογιστές με Windows.

Στόχευση σε διαπλατφόρμες και εικονικοποίηση

Το δυαδικό αρχείο Linux παρέχει δυνατότητα πολλαπλών πλατφορμών: ένα μόνο ωφέλιμο φορτίο μπορεί να επηρεάσει τόσο τα συστήματα Linux όσο και τα Windows σε ένα περιβάλλον. Πιο πρόσφατα, δείγματα Qilin ενημερώθηκαν για την ανίχνευση περιβαλλόντων Nutanix AHV, αποδεικνύοντας ότι η ομάδα επεκτείνει τη στόχευση πέρα από τις παραδοσιακές αναπτύξεις VMware σε σύγχρονες υπερσυγκλίνουσες υποδομές.

Περίληψη

Η επιχείρηση του Qilin συνδυάζει κλοπή διαπιστευτηρίων, κακή χρήση νόμιμων εργαλείων διαχείρισης, τεχνικές BYOVD, στοχευμένες επιθέσεις σε συστήματα δημιουργίας αντιγράφων ασφαλείας και ransomware σε διάφορες πλατφόρμες για μεγιστοποίηση του αντίκτυπου και αποφυγή ανίχνευσης. Οι υπερασπιστές θα πρέπει να δώσουν προτεραιότητα στην υγιεινή των διαπιστευτηρίων, τον πολυπαραγοντικό έλεγχο ταυτότητας σε διεπαφές απομακρυσμένης πρόσβασης, την τμηματοποίηση των συστημάτων δημιουργίας αντιγράφων ασφαλείας, την αυστηρή παρακολούθηση για ανώμαλη χρήση νόμιμων εργαλείων απομακρυσμένης διαχείρισης και τους ελέγχους για την ανίχνευση δραστηριότητας BYOVD που βασίζεται σε προγράμματα οδήγησης. Αυτά τα μέτρα μειώνουν την πιθανότητα τα συλλεγμένα διαπιστευτήρια ή ένα μόνο σημείο παραβίασης να οδηγήσουν σε πλήρη ανάπτυξη ransomware.

Τάσεις

ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Απάτη με διαρροή πόρων συστήματος

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα δόλιο σχέδιο γνωστό ως απάτη «ΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΔΙΑΡΡΟΗ ΠΟΡΩΝ ΣΥΣΤΗΜΑΤΟΣ», το οποίο χρησιμοποιεί ψεύτικες ειδοποιήσεις συστήματος για να παραπλανήσει τους χρήστες. Ενώ η σελίδα πίσω από αυτό το σχέδιο προωθεί μια νόμιμη εφαρμογή, η μέθοδος παράδοσής της που βασίζεται στον εκφοβισμό είναι παραπλανητική και έχει σχεδιαστεί για να χειραγωγεί...

Επέκταση προγράμματος περιήγησης καρτέλας "Ο καιρός...

Πιθανώς ανεπιθύμητα προγράμματα, Browser Hijackers
Οι ερευνητές εντόπισαν μια επέκταση προγράμματος περιήγησης γνωστή ως "My Weather Tab". Μέσα από μια ολοκληρωμένη εξέταση, διαπιστώθηκε ότι αυτή η επέκταση λειτουργεί ως μια μορφή λογισμικού...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
33,304
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...