Dentro do Qilin Ransomware: Afiliados levam para casa 85% dos pagamentos de resgate
17 de Maio de 2023

Afiliados de ransomware associados ao esquema Qilin ransomware-as-a-service (RaaS) ganham entre 80% e 85% de cada pagamento de resgate, de acordo com novas descobertas da Group-IB.

A empresa de cibersegurança disse que foi capaz de infiltrar-se no grupo em março de 2023, descobrindo detalhes sobre a estrutura de pagamento dos afiliados e o funcionamento interno do programa RaaS após uma conversa privada com um recrutador do Qilin que usa o pseudônimo online Haise.

"Muitos ataques de ransomware do Qilin são personalizados para cada vítima para maximizar seu impacto", disse a empresa sediada em Cingapura em um relatório exaustivo.

"Para fazer isso, os atores de ameaças podem aproveitar táticas como alterar as extensões de nome de arquivo de arquivos criptografados e encerrar processos e serviços específicos."

Qilin, também conhecido como Agenda, foi documentado pela primeira vez pela Trend Micro em agosto de 2022, começando como um ransomware baseado em Go antes de mudar para Rust em dezembro de 2022.

A adoção de Rust também é significativa não apenas por causa das capacidades de detecção de evasão, mas também pelo fato de permitir que os atores de ameaças ataquem servidores Windows, Linux e VMware ESXi.

Os ataques montados pelo grupo usam e-mails de phishing contendo links maliciosos como meio de obter acesso inicial e criptografar dados sensíveis, mas não antes de exfiltrá-los como parte de um modelo de dupla extorsão.

Dados de até 12 empresas diferentes foram postados no portal de vazamento de dados do Qilin na dark web entre julho de 2022 e maio de 2023.

As vítimas, que abrangem principalmente setores de infraestrutura crítica, educação e saúde, estão localizadas na Austrália, Brasil, Canadá, Colômbia, França, Japão, Países Baixos, Sérvia, Reino Unido e Estados Unidos.

A Group-IB disse que os atores do Qilin também fornecem afiliados - que são recrutados para identificar alvos de interesse e montar ataques - com um painel administrativo para supervisionar efetivamente várias partes de suas operações.

"O grupo de ransomware Qilin tem um painel de afiliados dividido em seções como Alvos, Blogs, Stuffers, Notícias, Pagamentos e FAQs para gerenciar e coordenar sua rede de afiliados", disse o pesquisador de segurança Nikolay Kichatov.

Alvos - Uma seção para configurar notas de resgate, arquivos, diretórios e extensões a serem ignorados, extensões a serem criptografadas, processos a serem encerrados e o modo de criptografia, entre outros

Blogs - Uma seção para afiliados criarem postagens de blog com informações sobre empresas atacadas que não pagaram o resgate

Stuffers - Uma seção para os atores de ameaças criarem contas para outros membros da equipe e gerenciarem seus privilégios

Notícias - Uma seção para postar atualizações relacionadas às suas parcerias de ransomware (atualmente em branco)

Pagamentos - Uma seção que contém detalhes da transação, saldos da carteira de afiliados e opções para retirar receitas ilícitas

FAQs - Uma seção com informações de suporte e documentação que detalha as etapas para usar o ransomware

"Embora o ransomware Qilin tenha ganhado notoriedade por visar empresas do setor crítico, é uma ameaça para organizações em todos os setores", disse Kichatov.

"Além disso, o programa de afiliados do operador de ransomware não está apenas adicionando novos membros à sua rede, mas está armando-os com ferramentas, técnicas e até mesmo entrega de serviços atualizados."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...