Pesquisadores de segurança cibernética descobriram uma versão aprimorada do ransomware Qilin com maior sofisticação e táticas para evitar a detecção.
A nova variante está sendo rastreada pela empresa de segurança cibernética Halcyon sob o apelido de Qilin.B.
“Notavelmente, Qilin.B agora suporta criptografia AES-256-CTR em sistemas compatíveis com AESNI, enquanto mantém Chacha20 em sistemas que não possuem esse suporte”, disse a Halcyon Research Team em um relatório compartilhado com Hacker News.
“Além disso, o RSA-4096 com preenchimento OAEP é usado para proteger chaves de criptografia, impossibilitando a exclusão de arquivos sem a chave privada do invasor ou valores iniciais capturados.”
Qilin, também conhecido como Agenda, chamou a atenção da comunidade de segurança cibernética pela primeira vez em julho/agosto de 2022, com as primeiras versões escritas em Golang antes de mudar para Rust.
Um relatório de maio de 2023 do Group-IB revelou que um sistema ransomware-as-a-service (RaaS) permite que seus afiliados capturem algo entre 80% a 85% de cada pagamento de resgate depois de entrar no grupo e poder iniciar uma conversa com o recrutador Qilin .
Um ataque recente vinculado a ransomware roubou credenciais armazenadas nos navegadores Google Chrome em um pequeno conjunto de endpoints vulneráveis, marcando uma espécie de afastamento dos ataques tradicionais em duas frentes.
As amostras Qilin.B analisadas pela Halcyon mostram que ele se baseia em iterações mais antigas com mais poder de criptografia e táticas de desempenho aprimoradas.
Isso inclui o uso de criptografia AES-256-CTR ou Chacha20, além de tomar medidas para resistir à análise e detecção, cortando serviços associados a ferramentas de segurança, limpando continuamente os logs de eventos do Windows e removendo-se.
Ele também inclui recursos para eliminar processos conectados a serviços de backup e virtualização, como Veeam, SQL e SAP, e remove cópias de sombra de volumes, complicando assim os esforços de recuperação.
“A combinação de métodos avançados de criptografia, estratégias de segurança eficazes e interrupção contínua dos sistemas de backup do Qilin.B o diferencia de outros ransomware perigosos”, disse Halcyon.
A natureza perigosa e evolutiva da ameaça representada pelo ransomware reflete-se nas táticas em constante evolução apresentadas pelos grupos de ransomware.
Isso é evidenciado pela descoberta de um novo conjunto de ferramentas baseado em Rust que foi usado para entregar o emergente ransomware Embargo, mas não antes de desativar as soluções de detecção e resposta (EDR) instaladas no host usando a tecnologia Traga seu próprio driver vulnerável (BYOVD).
Tanto o EDR killer, codinome MS4Killer da ESET devido à sua semelhança com a ferramenta de código aberto s4killer, quanto o ransomware são criados por meio de um carregador malicioso chamado MDeployer.
“O MDeployer é um carregador altamente malicioso que a Embargo tenta instalar máquinas em uma rede vulnerável – ele facilita ataques, levando à execução de ransomware e criptografia de arquivos”, disseram os pesquisadores Jan Holman e Tomáš Zvara. “Espera-se que o MS4Killer funcione indefinidamente.”
“Tanto o MDeployer quanto o MS4Killer são escritos em Rust. O mesmo se aplica ao carregamento de ransomware, sugerindo que Rust é a linguagem preferida para desenvolvedores de equipe.”
De acordo com dados compartilhados pela Microsoft, 389 instalações de saúde nos EUA foram atacadas por ransomware neste ano fiscal, custando-lhes até US$ 900.000 por dia em tempo de inatividade. Outras gangues conhecidas por atacar hospitais incluem Lace Tempest, Sangria Tempest, Cadenza Tempest e Vanilla Tempest.
“Das 99 organizações de saúde que admitiram pagar um resgate e divulgaram o resgate pago, o pagamento médio foi de US$ 1,5 milhão e o pagamento médio foi de US$ 4,4 milhões”, disse a gigante da tecnologia.
