De dreigingsacteurs achter de Qilin Ransomware-as-a-Service (RAAS) -regeling bieden nu juridisch adviseur voor gelieerde ondernemingen om meer druk uit te oefenen op slachtoffers om te betalen, omdat de cybercrime-groep zijn activiteit intensiveert en probeert de leegte te vullen die door zijn rivalen is achtergelaten.
De nieuwe functie neemt de vorm aan van een functie “Call Lawyer” op het partnerpaneel, volgens Israëlische cybersecuritybedrijf Cyberason.
De ontwikkeling vertegenwoordigt een nieuwe heropleving van de e-crime-groep als eens populaire ransomware-groepen zoals Lockbit, Black Cat, Ransomhub, Everest en Blacklock hebben abrupte stopzettingen, operationele mislukkingen en defacements. De groep, ook gevolgd als gouden veer en watergalura, is sinds oktober 2022 actief.
Uit gegevens samengesteld uit de donkere webleksites die worden gerund door ransomware -groepen, blijkt dat Qilin in april 2025 met 72 slachtoffers heeft geleid. In mei wordt geschat op 55 aanvallen, waardoor het achter Safepay (72) en Luna Moth (67) wordt gelegd. Het is ook de derde meest actieve groep na CL0P en Akira sinds het begin van het jaar en claimt in totaal 304 slachtoffers.
“Qilin staat boven de rest met zijn snel stijgende marktplaats vanwege een volwassen ecosysteem, uitgebreide ondersteuningsopties voor klanten en robuuste oplossingen om zeer gerichte, hoog impact ransomware-aanvallen te garanderen die zijn ontworpen om substantiële betalingen te eisen,” zei Qualys in een analyse van de groep deze week.
Er zijn aanwijzingen dat gelieerde ondernemingen die voor Ransomhub werken, zijn gemigreerd naar Qilin, wat bijdraagt aan de piek in Qilin Ransomware -activiteit in de afgelopen maanden.
“Met een groeiende aanwezigheid op forums en ransomware -activiteitstrackers, beheert Qilin een technisch volwassen infrastructuur: payloads gebouwd in roest en C, laders met geavanceerde ontwijkingsfuncties, en een aangesloten panel met veilige modusuitvoering, netwerkverspreiding, logboekreiniging, logboekreiniging en geautomatiseerde onderhandelingstools,” Mark Tsipershtein en Evgeny Ananin.
“Naast de malware zelf biedt Qilin spamdiensten, gegevensopslag op PB-schaal, juridische richtlijnen en een volledige set operationele functies-zichzelf niet alleen als een ransomware-groep, maar als een full-service cybercrime-platform.”
De achteruitgang en ondergang van andere groepen zijn aangevuld met nieuwe updates van het Qilin Affiliate Panel, met een nieuwe juridische hulpfunctie, een team van interne journalisten en de mogelijkheid om gedistribueerde Denial-of-Service (DDOS) -aanvallen uit te voeren. Een andere opmerkelijke toevoeging is een hulpmiddel voor het spammen van e -mailadressen van bedrijven en telefoonnummers.
De uitbreiding van de functie duidt op een poging van de kant van de dreigingsacteurs om zichzelf op de markt te brengen als een volwaardige cybercriminaliteitservice die verder gaat dan alleen ransomware.
“Als u juridisch consult nodig hebt met betrekking tot uw doel, klikt u eenvoudig op de knop ‘Call Lawyer’ in de doelinterface en onze juridische team neemt privé contact met u op om gekwalificeerde juridische ondersteuning te bieden,” leest een vertaalde versie van een forumbericht waarin de nieuwe mogelijkheden worden aangekondigd.
“Het uiterlijk van een advocaat in de chat kan indirecte druk op het bedrijf uitoefenen en het losgeld verhogen, omdat bedrijven een gerechtelijke procedures willen vermijden.”
De ontwikkeling komt als intrinsec beoordeeld dat ten minste één filiaal van Rhysida een open-source hulpprogramma met de naam Eye Pyramid C2 waarschijnlijk is gaan gebruiken als een post-compromisopool om de toegang tot gecompromitteerde eindpunten te behouden en extra payloads te leveren.
Het is vermeldenswaard dat de Eye Pyramid C2 verwijst naar dezelfde Python-gebaseerde achterdeur die werd ingezet door dreigingsacteurs die in het Q4 2024 zijn gekoppeld aan de Ransomhub-bemanning.
Het volgt ook een nieuwe analyse van de gelekte Black Basta -chatlogboeken, die licht heeft geworpen op een dreigingsacteur die de online alias “Tinker” heeft meegemaakt. Hun real-world identiteit is momenteel onbekend.
Tinker, Per Intel 471, zou een van de vertrouwde assistenten van Tramp, de leider van de groep zijn, en trad toe tot de criminele onderneming als een “creatief directeur” na eerdere ervaring met het runnen van callcenters, inclusief voor de inmiddels ter ziele gegane Conti Group, en als onderhandelaar voor Blacksuit (AKA Royal).
“De acteur Tinker speelde een belangrijke rol bij het veiligstellen van de eerste toegang tot organisaties,” zei het cybersecuritybedrijf. “De gelekte gesprekken onthullen dat Tinker de financiële gegevens zou analyseren en de situatie van een slachtoffer zou evalueren vóór directe onderhandelingen.”
De dreigingsacteur, naast het uitvoeren van open-source onderzoek om contactinformatie te verkrijgen voor het senior personeel van het bedrijf om ze af te persen via telefoontjes of berichten, kreeg de taak om phishing-e-mails te schrijven die zijn ontworpen om organisaties te overtreden.
Tinker, met name, bedacht ook het Microsoft-teams-gebaseerde Phishing-scenario, waarin de aanvallers zich zouden voordoen als een IT-medewerker van de IT-afdeling, slachtoffers waarschuwden dat ze aan de ontvangende kant van een spamaanval zijn en de werknemers aanspoorden om externe bureaubladtools zoals Anydesk te installeren zoals Anydesk, zoals Anydesk, zoals Anydesk, zoals Anydesk te installeren zoals AnyDesk, zoals Anydesk, zoals Anydesk te installeren, zoals Anydesk, zoals AnyDesk.
“Nadat de RMM -software was geïnstalleerd, zou de beller contact opnemen met een van de penetratietesters van Black Basta, die dan zouden bewegen om aanhoudende toegang tot het systeem en het domein te waarborgen,” zei Intel 471.
De gelekte berichten onthullen ook dat Tinker niet minder dan $ 105.000 ontving in cryptocurrency voor hun inspanningen tussen 18 december 2023 en 16 juni 2024. Dat gezegd hebbende, het is momenteel niet duidelijk voor welke groep ze mogelijk werken.
De bevindingen vallen samen met de uitlevering van een naamloze 33-jarige buitenlands lid van de Ryuk Ransomware Group naar de Verenigde Staten voor hun vermeende rol als initiële toegangsmakelaar (IAB) en het vergemakkelijken van de toegang tot bedrijfsnetwerken. De verdachte werd eerder in april uit KYIV gearresteerd op verzoek van de Amerikaanse wetshandhaving.
Het lid “was bezig met het zoeken naar kwetsbaarheden in de bedrijfsnetwerken van de slachtofferbedrijven”, zei de nationale politie van Oekraïne in een verklaring. “De gegevens verkregen door de hacker werden door zijn handlangers gebruikt om cyberaanvallen te plannen en uit te voeren.”
Autoriteiten zeiden dat ze de verdachte konden traceren na een forensische analyse van apparatuur die in beslag werd genomen in een eerdere inval die plaatsvond in november 2023 gericht op leden van de Lockergoga, Megacortex en Dharma ransomware -families.
Elders hebben politiefunctionarissen in Thailand verschillende Chinese onderdanen en andere Zuidoost -Aziatische verdachten aangehouden na het invallen van een hotel in Pattaya dat werd gebruikt als een gokhol en als kantoren om ransomware -operaties uit te voeren.
Het ransomware -schema zou zijn gerund door zes Chinese onderdanen, die kwaadaardige links naar bedrijven hebben gestuurd om ze te infecteren met ransomware. Lokale media-rapporten zeggen dat ze werknemers waren van een cybercriminaliteitsbende, die werden betaald om de booby-gevangen banden naar Chinese bedrijven te distribueren.
Thailand’s Central Investigation Bureau (CIB), deze week, kondigde ook de arrestatie aan van meer dan een dozijn buitenlanders als onderdeel van Operation Firestorm voor vermeende runnen van een online investeringszwendel die verschillende slachtoffers in Australië heeft bedrogen door hen te bellen en te bedriegen in het investeren van hun geld in langdurige obligaties met een belofte van hoog rendement.
