خانه » نسخه جدید باج افزار Qilin به میدان آمد!

نسخه جدید باج افزار Qilin به میدان آمد!

توسط Vulnerbyte
26 بازدید
گروه vulnerbyte - گروه والنربایت - vulnerbyte group - باج افزار Qilin - باج افزار Qilin.B

محققان امنیتی شرکت Halcyon اخیرا نسخه جدیدی از باج ‌افزار Qilin به نام “Qilin.B” را شناسایی کرده‌اند. این نسخه جدید دارای قابلیت پاک کردن لاگ‌ها، اختلال در سیستم‌های پشتیبان گیری (بک آپ) و مکانیزم‌های بازیابی اطلاعات، رمزگذاری قوی‌تر و دور زدن پیشرفته ابزارهای امنیتی است.

گروه باج افزار به عنوان یک سرویس Qilin، اولین بار در ژوئیه 2022 مشاهده شد که هر دو سیستم عامل ویندوز و لینوکس را مورد هدف قرار می‌داد. عملیات این گروه شامل استخراج داده و اخاذی مضاعف است.

Qilin که به عنوان Agenda نیز شناخته می‌شود، پس از انجام حمله در ماه ژوئیه علیه ارائه دهنده خدمات بهداشت ملی بریتانیا، Synnovis، بسیار معروف شد و عملکرد بیمارستان‌های سراسر لندن را مختل ساخت.

Qilin.B از طرح رمزگذاری AES-256-CTR با قابلیت‌های AESNI برای CPUهایی که از آن پشتیبانی می‌کنند، استفاده می‌کند تا سرعت رمزگذاری را افزایش ‌دهد.

Qilin.B از ChaCha20 نیز برای سیستم‌های ضعیف‌تر یا قدیمی‌تر که سخت ‌افزار مناسب برای پشتیبانی از AESNI ندارند، استفاده می‌کند و در هر صورت رمزگذاری قوی را ارائه میدهد.

Qilin.B همچنین کلید رمزگذاری را توسط RSA-4096 همراه با OAEP padding محافظت می‌کند. این مکانیزم، رمزگشایی را بدون داشتن کلید خصوصی یا مقادیر ذخیره ‌شده تقریباً غیرممکن می‌سازد.

AES-256-CTR، داده‌ها را در بلوک‌های 128 بیتی با استفاده از یک کلید 256 بیتی رمزگذاری می‌کند که برای رمزگذاری با سرعت بالا با پشتیبانی سخت افزاری مناسب است. در حالی که Chacha20 رمزگذاری جریانی است و داده‌ها را بایت به بایت رمزگذاری می‌کند و برای دستگاه‌های مختلف، بهینه‌سازی شده است.

یکی از قوی ترین ویژگی‌های Qilin.B قابلیت دور زدن ابزارهای امنیتی است. Qilin.B به زبان Rust نوشته شده است و از این رو تجزیه و تحلیل و ردیابی آن دشوار است.

این باج ‌افزار پس از استقرار در سیستم قربانی، یک کلید خودکار در رجیستری ویندوز اضافه می‌کند، سرویس‌های امنیتی ضروری را خاتمه می‌دهد، لاگ رویدادهای ویندوز و کپی‌های shadow  را پاک می‌کند و در نهایت خود را از سیستم هدف حذف می‌کند و حداقل رد پا را از خود بر جای می‌گذارد.

از جمله سرویس‌هایی که Qilin.B آنها را خاتمه می‌دهد، سرویس‌های زیر هستند:

  • Veeam ( نرم افزار پشتیبان گیری و بازیابی)
  • سرویس Windows Volume Shadow Copy (پشتیبان گیری و بازیابی سیستم)
  • سرویس پایگاه داده SQL (مدیریت داده‌های سازمانی)
  • Sophos (نرم افزار امنیتی و آنتی ویروس)
  • Acronis Agent (سرویس پشتیبان گیری و بازیابی)
  • SAP (برنامه ریزی منابع سازمانی)

از سوی دیگر، فایل‌های رمزگذاری شده توسط Qilin.B، دارای یک پسوند منحصر به فرد مرتبط با “company_id” هستند. Qilin.B در هر دایرکتوری لوکال و فولدرهای‌های شبکه، یک یادداشت اخاذی با عنوان “README-RECOVER-[company_id].txt” قرار میدهد که شامل دستورالعمل‌های پرداخت و لینک‌هایی به یک سایت Tor برای کمک به رمزگشایی فایل‌ها است.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - باج افزار Qilin - باج افزار Qilin.B
یادداشت اخاذی Qilin.B

اگرچه موارد فوق در فضای باج‌افزار، متداول هستند اما تأثیرات شدید و گسترده‌ای به همراه دارند. این گروه همچنین از یک نوع لینوکسی متمرکز بر حملات VMware ESXi استفاده می‌کند، اما گونه‌ای که Halcyon مشاهده کرده است مختص سیستم‌های ویندوز می‌باشد.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید