Pesquisadores de cibersegurança descobriram uma versão avançada do ransomware Qilin, que apresenta uma maior sofisticação e táticas para evitar detecção.
A nova variante está sendo monitorada pela empresa de cibersegurança Halcyon sob o codinome Qilin.B.
"Vale destacar que o Qilin.B agora suporta criptografia AES-256-CTR para sistemas com capacidades AESNI, mantendo ainda o Chacha20 para sistemas que não possuem esse suporte", disse a equipe de pesquisa da Halcyon em um relatório compartilhado.
Além disso, RSA-4096 com padding OAEP é usado para proteger as chaves de criptografia, tornando a descriptografia de arquivos sem a chave privada do atacante ou valores de semente capturados impossível.
Qilin, também conhecido como Agenda, chamou a atenção da comunidade de cibersegurança pela primeira vez em julho/agosto de 2022, com versões iniciais escritas em Golang antes de mudar para Rust.
Um relatório de maio de 2023 da Group-IB revelou que o esquema de ransomware-as-a-service (RaaS) permite que seus afiliados fiquem com entre 80% a 85% de cada pagamento de resgate após infiltrarem-se no grupo e conseguirem iniciar uma conversa com um recrutador Qilin.
Ataques recentes ligados à operação desse ransomware roubaram credenciais armazenadas nos navegadores Google Chrome em um pequeno conjunto de endpoints comprometidos, sinalizando uma certa mudança dos típicos ataques de dupla extorsão.
Amostras do Qilin.B analisadas pela Halcyon mostram que ele se baseia em iterações mais antigas com capacidades adicionais de criptografia e táticas operacionais melhoradas.
Isso inclui o uso de AES-256-CTR ou Chacha20 para criptografia, além de tomar medidas para resistir a análise e detecção ao encerrar serviços associados a ferramentas de segurança, limpando continuamente os logs de eventos do Windows e deletando-se após a execução.
Também incorpora funcionalidades para finalizar processos vinculados a serviços de backup e virtualização, como Veeam, SQL e SAP, e deletar cópias de sombra de volume, complicando assim os esforços de recuperação.
"O Qilin.B combina mecanismos de criptografia aprimorados, táticas eficazes de evasão de defesa e perturbação persistente de sistemas de backup, marcando-o como uma variante de ransomware particularmente perigosa", disse a Halcyon.
A natureza perniciosa e persistente da ameaça representada pelo ransomware é evidenciada nas táticas evolucionárias demonstradas por grupos que utilizam esse tipo de malware.
Isso é exemplificado pela descoberta de um novo conjunto de ferramentas baseado em Rust usado para entregar o ransomware Embargo, mas não antes de terminar soluções de endpoint detection and response (EDR) instaladas no hospedeiro utilizando a técnica Bring Your Own Vulnerable Driver (BYOVD).
Tanto o killer de EDR, codinome MS4Killer por ESET devido às suas semelhanças com a ferramenta de código aberto s4killer, quanto o ransomware são executados por meio de um loader malicioso denominado MDeployer.
"O MDeployer é o principal loader malicioso que o Embargo tenta implantar em máquinas na rede comprometida - ele facilita o restante do ataque, resultando na execução do ransomware e criptografia de arquivos", disseram os pesquisadores Jan Holman e Tomáš Zvara.
Espera-se que o MS4Killer funcione indefinidamente.Tanto o MDeployer quanto o MS4Killer são escritos em Rust.
O mesmo vale para o payload do ransomware, sugerindo que Rust é a linguagem preferida pelos desenvolvedores do grupo.
De acordo com dados compartilhados pela Microsoft, 389 instituições de saúde dos EUA foram atacadas por ransomware neste ano fiscal, custando-lhes até $900.000 por dia devido a tempo de inatividade.
Alguns dos grupos de ransomware conhecidos por atacar hospitais incluem Lace Tempest, Sangria Tempest, Cadenza Tempest e Vanilla Tempest.
"Dentre as 99 organizações de saúde que admitiram pagar o resgate e divulgaram o valor pago, o pagamento médio foi de $1,5 milhão, e o pagamento médio foi de $4,4 milhões", disse a gigante da tecnologia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...