Qilin(又名 Agenda)是一種勒索軟體即服務 (RaaS) 操作,於 2022 年 7 月開始出現,可以針對 Windows 和 Linux 系統, Qilin 的操作包括竊取資料以進行雙重勒索。
根據研究報告中指出,勒索軟體即服務(RaaS) 計劃在滲透到該組織並設法與一名駭客進行對話後,允許其附屬機構獲得每筆贖金的80% 至85%,與勒索軟體操作相關攻擊竊取了一小部分受感染端點上Google Chrome 瀏覽器中儲存的憑證,這表明與典型的雙重勒索攻擊有所不同,並建立在舊版本的基礎上,具有額外的加密功能和改進的操作策略,包括使用AES-256-CTR 或 Chacha20 進行加密,此外還採取措施透過終止與安全工具相關服務、持續清除 Windows 事件日誌和刪除自身來抵禦分析和偵測,也包含了可終止與Veeam、SQL和SAP等備份和虛擬化服務相關的功能。
Qilin.B 結合了增強的加密機制、有效的防禦規避策略以及對備份系統的持續破壞,使成為一種特別危險的勒索軟體變體,藉由不斷演變的策略證明了勒索軟體造成的有害威脅和持久性。
例如發現了一個新的基於 Rust 的工具集,該工具集已用於交付新產生的Embargo勒索軟體,在使用自帶漏洞驅動程式(BYOVD)終止安裝在主機上的端點偵測和回應,而EDR殺手和勒索軟體都是透過名為MDeployer的惡意載入程式執行的。
MDeployer 是 Embargo 試圖部署到受感染網絡中的計算機上的主要惡意加載程序,它促進了其餘的攻擊,導致勒索軟體執行和文件加密。
MDeployer和MS4Killer都是用Rust 撰寫的,勒索軟體附載也是如此,這表明Rust是該組織開發人員的首選語言。
隨著 Qilin.B 勒索軟體變種的出現,再次凸顯了企業面臨的資安威脅日益嚴峻,其強大的加密能力與高度傳染性,讓企業的資料安全岌岌可危,因此,企業必須積極採取防範措施,如定期備份、更新系統、加強員工資安意識等,才能有效降低遭受攻擊的風險。同時,也應關注資安產業的最新發展,及時因應新的威脅,才能在不斷變化的威脅中立於不敗之地。
參考資料:
https://thehackernews.com/2024/10/new-qilinb-ransomware-variant-emerges.html