Группа Qilin: техническое исследование главной программы-вымогателя 2026 года и её механизмов обхода защиты

Группа Qilin, впервые замеченная в 2022 году, использует классическую модель двойного шантажа: данные не только шифруются, но и угрожают их публикацией на специальном блоге-сливе. Аффилиатам, которые проводят непосредственно атаки, выплачивается до 85% собранного выкупа. Важной особенностью является самоналоженное ограничение на атаки против стран СНГ, что характерно для многих русскоязычных группировок. После прекращения активности другого крупного RaaS-оператора, RansomHub, в апреле 2025 года, многие его аффилиаты перешли именно к Qilin, что резко увеличило количество инцидентов. Эксперты Microsoft Threat Intelligence ещё в июле 2024 года подтвердили, что такая известная группа, как Octo Tempest (также известная как Scattered Spider), является аффилиатом Qilin.

Техническое ядро последних кампаний Qilin представляет собой статически скомпилированный исполняемый файл, написанный на языке Rust, размером около 4.9 МБ. Использование Rust, который обеспечивает высокую производительность и усложняет анализ из-за особенностей компиляции, становится всё более популярным среди разработчиков сложного вредоносного ПО. Вредоносная функциональность маскируется под легитимное приложение для чтения PDF, которое использует технику side-loading для загрузки вредоносной библиотеки "msimg32.dll". Именно эта библиотека, как ранее описала команда Cisco Talos в апреле 2026 года, запускает цепочку действий для нейтрализации EDR.

Ключевым элементом этой цепочки является использование трёх драйверов. Два из них - легальные, но уязвимые драйверы (так называемые LOLDrivers), подписанные реальными вендорами: "RwDrv.sys" от RWEverything и "ControlCenter.sys" от Quanta. Они предоставляют примитивы низкоуровневого доступа к оборудованию, таким как физическая память и порты ввода-вывода. Третий драйвер, "hlpdrv.sys", - это уже кастомная разработка злоумышленников размером всего 9 КБ. Он выполняет основную "грязную" работу: получает идентификатор процесса (PID) от пользовательской части вредоноса, находит соответствующий процесс в памяти ядра, снимает с его файла списки контроля доступа (DACL) и принудительно завершает работу через вызов "ZwTerminateProcess". Таким образом, связка из уязвимого драйвера для получения привилегий ядра и кастомного - для целевых действий становится эффективным инструментом "глушения" агентов безопасности.

Алгоритм шифрования данных в Qilin демонстрирует стремление к балансу между скоростью и надёжностью. Для каждого файла может быть выбран один из двух современных алгоритмов: AES-256 или ChaCha20. Причём внутри каждой ветки код дополнительно оптимизируется под возможности процессора: для AES задействуется инструкция AES-NI, если она поддерживается, или программная битслайс-реализация в противном случае; для ChaCha20 аналогично выбирается путь с использованием AVX2 или базовый. Для ускорения обработки больших объёмов данных применяется методика частичного шифрования. В зависимости от размера файла он разбивается на разное количество чанков, при этом общий объём зашифрованных данных остаётся примерно постоянным, что позволяет быстро обрабатывать даже гигантские файловые хранилища.

Любопытной находкой исследователей стал артефакт в коде проверки пароля. В исполняемом файле "CheckQilin.exe" присутствует функция сравнения хеша SHA-256 введённого пароля с эталонным значением из конфигурации. Однако непосредственно перед условным переходом, который должен был проверить результат сравнения, расположена инструкция безусловного перехода ("jmp"). Это означает, что проверка формально существует в коде, но на практике обходится, и вредонос принимает любой введённый пароль. Происхождение этого байпасса может быть разным - от преднамеренной лазейки, оставленной разработчиками RaaS, до артефакта сборки компилятора, - но факт остаётся фактом: механизм аутентификации в этой сборке не работает.

Вредоносный код также содержит несколько крупных внедрённых артефактов. Среди них - PowerShell-скрипт для распространения внутри инфраструктур VMware vCenter, легитимные подписанные Microsoft утилиты Sysinternals PsExec, и даже файлы обоев рабочего стола. Наличие подписанных легальных компонентов усложняет задачу системам защиты, построенным на доверии к цифровым подписям известных вендоров.

Инфраструктура группы для сбора выкупа и слива данных включает как скрытые сервисы сети Tor для переговоров, так и клонированный сайт в открытом интернете "wikileaks2[.]site", стилизованный под WikiLeaks и размещённый за Cloudflare. Примечательно, что домен перешёл в статус "clientHold" за две недели до компиляции анализируемого образца, что указывает либо на использование устаревшего шаблона при сборке, либо на переход аффилиата на новую инфраструктуру. Поскольку сам вредоносный бинарник не инициирует сетевые соединения, "мёртвая" ссылка не мешает его основной функции - шифрованию.

Детальный разбор Qilin показывает эволюцию программ-вымогателей в сторону большей технической изощрённости, модульности и использования легитимных инструментов. Защита от таких угроз требует комплексного подхода: от своевременного обновления ПО и корректной конфигурации прав доступа до внедрения решений, способных детектировать нестандартное поведение, такое как загрузка неподписанных драйверов или манипуляции с процессами безопасности, даже если они осуществляются через подписанные компоненты. Постоянный мониторинг угроз и обмен индикаторами компрометации (IoC) остаются критически важными практиками для противодействия столь продвинутым противникам.

IPv4

• 104.21.2.4
• 172.67.128.115

Domains

• wikileaks2.site

Onion Domains

• fsthixb5w4uq3nge4xrghmvxnufnd77vvic7mxvrgkjycrpyy6fw5qad.onion
• ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion
• kbsqoivihgdmwczmxkbovk7ss2dcynitwhhfu5yw725dboqo5kthfaad.onion
• me7xeyqcybqsz2uag745dcxicvfyermvelcb6cqwlc4qtp3sailg2xid.onion

URLs

• https://31.41.244.100
• https://wikileaks2.site/

SHA256

• 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
• 0894c497a0e03c08e9d5a2fa39e1dc8de543fae61061f7976e5c0265dd7df0dd
• 0b12eb25db68d8714ba52583597ed20e5fab2f6e82dcd0bcb23161acb4a9a126
• 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
• 3a24cd31c8287f7ee7336936a95f82b5d71a3746d210b4240869f3e3f5b34208
• 4eac69e5cb9e4101d1eb76ec1e8cea128d3e10d577e28d7e954f72ba477214b8
• bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56
• cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e
• dcce9e235d247c1c368a85edc1480d8a5d8ba07413a222161bfc52632d6f0762
• e68d17f78f19af07405d78c8e4f48c93d2a278b036392437b05d9bdcef359085
• f150d19c57a910d714ef773a470bbb8ad88185f4b4713852fce706a1e7482b59