Cybersecurity-onderzoekers hebben een geavanceerde versie van de Qilin-ransomware ontdekt met verbeterde verfijning en tactieken om detectie te omzeilen.
De nieuwe variant wordt gevolgd door cyberbeveiligingsbedrijf Halcyon onder de naam Qilin.B.
“Opmerkelijk is dat Qilin.B nu AES-256-CTR-codering ondersteunt voor systemen met AESNI-mogelijkheden, terwijl Chacha20 nog steeds wordt behouden voor systemen die deze ondersteuning niet hebben”, aldus het Halcyon Research Team in een rapport gedeeld met The Hacker News.
“Bovendien wordt RSA-4096 met OAEP-opvulling gebruikt om encryptiesleutels te beveiligen, waardoor het decoderen van bestanden zonder de privésleutel van de aanvaller of vastgelegde zaadwaarden onmogelijk wordt.”
Qilin, ook bekend als Agenda, kwam voor het eerst onder de aandacht van de cybersecuritygemeenschap in juli/augustus 2022, met de eerste versies geschreven in Golang voordat hij overstapte op Rust.
Uit een rapport uit mei 2023 van Group-IB bleek dat het ransomware-as-a-service (RaaS)-programma zijn aangesloten bedrijven in staat stelt om tussen de 80% en 85% van elke losgeldbetaling te ontvangen nadat deze de groep heeft geïnfiltreerd en erin slaagt een gesprek te beginnen met een Qilin-recruiter.
Recente aanvallen die verband houden met de ransomware-operatie hebben inloggegevens gestolen die zijn opgeslagen in de Google Chrome-browsers op een klein aantal gecompromitteerde eindpunten, wat een signaal is dat er in zekere zin wordt afgeweken van de typische dubbele afpersingsaanvallen.
Qilin.B-monsters geanalyseerd door Halcyon laten zien dat het voortbouwt op oudere iteraties met extra versleutelingsmogelijkheden en verbeterde operationele tactieken.
Dit omvat het gebruik van AES-256-CTR of Chacha20 voor encryptie, naast het nemen van stappen om analyse en detectie te weerstaan door het beëindigen van services die verband houden met beveiligingstools, het voortdurend wissen van Windows-gebeurtenislogboeken en het verwijderen van zichzelf.
Het bevat ook functies om processen te beëindigen die zijn gekoppeld aan back-up- en virtualisatieservices zoals Veeam, SQL en SAP, en volumeschaduwkopieën te verwijderen, waardoor herstelinspanningen worden bemoeilijkt.
“Qilin.B’s combinatie van verbeterde encryptiemechanismen, effectieve verdedigingsontwijkingstactieken en aanhoudende verstoring van back-upsystemen markeert het als een bijzonder gevaarlijke variant van ransomware”, aldus Halcyon.
Het verderfelijke en aanhoudende karakter van de dreiging die uitgaat van ransomware blijkt uit de voortdurende evolutionaire tactieken die door ransomwaregroepen worden gedemonstreerd.
Dit wordt geïllustreerd door de ontdekking van een nieuwe op Rust gebaseerde toolset die is gebruikt om de opkomende Embargo-ransomware te leveren, maar niet voordat eindpuntdetectie- en respons (EDR)-oplossingen die op de host zijn geïnstalleerd, zijn beëindigd met behulp van de Bring Your Own Vulnerable Driver (BYOVD). techniek.
Zowel de EDR-killer, door ESET codenaam MS4Killer vanwege de overeenkomsten met de open-source s4killer-tool, als de ransomware worden uitgevoerd door middel van een kwaadaardige lader die MDeployer wordt genoemd.
“MDeployer is de belangrijkste kwaadaardige lader die Embargo probeert te implementeren op machines in het gecompromitteerde netwerk. Het faciliteert de rest van de aanval, wat resulteert in de uitvoering van ransomware en bestandsversleuteling”, aldus onderzoekers Jan Holman en Tomáš Zvara. “MS4Killer zal naar verwachting voor onbepaalde tijd blijven draaien.”
“Zowel MDeployer als MS4Killer zijn geschreven in Rust. Hetzelfde geldt voor de ransomware-payload, wat erop wijst dat Rust de taal is voor de ontwikkelaars van de groep.”
Volgens gegevens die door Microsoft zijn gedeeld, zijn dit fiscale jaar 389 Amerikaanse zorginstellingen getroffen door ransomware-aanvallen, die als gevolg van downtime tot $900.000 per dag hebben gekost. Enkele van de ransomware-bendes die bekend staan om hun aanvallen op ziekenhuizen zijn Lace Tempest, Sangria Tempest, Cadenza Tempest en Vanilla Tempest.
“Van de 99 gezondheidszorgorganisaties die toegaf het losgeld te hebben betaald en het betaalde losgeld bekendmaakten, bedroeg de gemiddelde betaling $1,5 miljoen, en de gemiddelde betaling $4,4 miljoen”, zei de technologiegigant.
