'Qilin.b' olarak adlandırılan Qilin (gündem) fidye yazılımı suşunun yeni bir pas tabanlı versiyonu, daha güçlü şifreleme, güvenlik araçlarından daha iyi kaçınma ve veri kurtarma mekanizmalarını bozma yeteneği içeren saldırılarda tespit edildi.
Qilin.b, Halcyon'daki güvenlik araştırmacıları tarafından görüldü, bu da tehdit konusunda uyardı ve erken tespit konusunda yardımcı olmak için uzlaşma göstergelerini paylaştı.
Yeni şifreleme şemasından başlayarak, Qilin.b kullanıcıları AES-256-CTR, CPU'lar için onu destekleyen ve şifrelemeyi hızlandıran AESni özelliklerine sahip.
Bununla birlikte, yeni gerinim, AESNI için uygun donanıma sahip olmayan zayıf veya eski sistemler için Chacha20'yi korur ve her durumda sağlam şifreleme sağlar.
Qilin.B ayrıca şifreleme anahtarı koruması için OAEP dolgu ile RSA-4096'yı içerir, bu da özel anahtar veya yakalanan tohum değerleri olmadan şifrelemeyi neredeyse imkansız hale getirir.
Yürütme üzerine, yeni Qilin kötü amaçlı yazılım, Windows kayıt defterine kalıcılık için bir Autorun anahtarı ekler ve şifreleme için kritik verileri serbest bırakmak ve güvenlik araçlarını devre dışı bırakmak için aşağıdaki işlemleri sonlandırır.
Mevcut hacim gölge kopyaları kolay sistem restorasyonunu önlemek için silinir ve Windows olay günlükleri öngörü analizi engellemek için temizlenir. Şifreleme işlemi tamamlandıktan sonra fidye yazılımı ikili de silinir.
Qilin.b hem yerel dizinleri hem de ağ klasörlerini hedefler ve başlıktaki kurban kimliği de dahil olmak üzere işlenen her dizin için fidye notları oluşturur.
Maksimum erişim için, ağ sürücülerinin yükseltilmiş ve elevensiz süreçler arasında paylaşılmasını sağlamak için kayıt defterini ayrı bir girişle değiştirdi.
Yukarıdakiler fidye yazılımı alanında çığır açan özellikler olmasa da, son derece etkili saldırılarda kötü şöhretli tehdit grupları tarafından kullanılan bir aileye eklendiklerinde ciddi ve geniş kapsamlı bir etkiye sahip olabilirler.
Geçen Ağustos ayında Sophos, Qilin'in Google Chrome tarayıcısında depolanan kimlik bilgilerini toplamak ve tüm ağlara saldırılarını genişletme veya temizliklerden sonra bile ihlal edilen ağlarda kendisini yeniden tanıtmak için saldırılarda özel bir info-stealer kullandığını açıkladı.
Daha önce Qilin, Binbaşı Londra hastanelerine, Avustralya'daki Mahkeme Hizmetleri Victoria'ya ve otomotiv devü Yanfeng'e karşı oldukça zararlı saldırılarda kullanılmıştı.
Grup ayrıca VMware ESXI saldırılarına odaklanan bir Linux varyantı kullanıyor, ancak Varyant Halcyon, Windows sistemleriyle ilgili.
Black Basta Fidye Yazılımı, ağları ihlal etmek için Microsoft ekiplerini desteklediği için poz veriyor
Rusya Cezaları Revil Fidye Yazılım Üyelerini 4 yıldan fazla hapis cezasına çarptırdı
Henry Schein, fidye yazılımı saldırısından bir yıl sonra veri ihlalini açıklar
Sigorta Yöneticisi Landmark, veri ihlalinin 800.000 kişiyi etkilediğini söylüyor
Lockfile Ransomware, Windows Domains'i Kaçmak İçin Petitpotam Saldırısı Kullanıyor
Kaynak: Bleeping Computer