Группировка Qilin совершенствует атаки на Linux, нацеливаясь на виртуализацию и усложняя расшифровку

Группировка Qilin, также известная как Agenda, активна с августа 2022 года. Изначально она атаковала Windows-системы, но теперь переключила фокус на Linux, выпустив исполняемые файлы формата ELF. Этот шаг логичен, поскольку серверные инфраструктуры, часто работающие под управлением Linux, представляют высокую ценность для злоумышленников.

Основное отличие новой версии заключается в её алгоритме. Как и PE-версия для Windows, ELF-вариант использует гибридную схему шифрования: файлы шифруются с помощью симметричного ключа AES-256, а сам этот ключ - асимметричным алгоритмом RSA-4096. Специалисты единодушны: без приватного RSA-ключа, которым владеют только атакующие, дешифрация в обозримом будущем невозможна, так как взлом RSA-4096 считается вычислительно неосуществимой задачей. Кроме того, для дополнительного усложнения анализа ELF-версия выполняет трёхкратное шифрование каждого файла по описанной схеме, что примерно утраивает его итоговый размер и скрывает оригинальные метаданные.

Однако главная опасность этой версии - не только в шифровании. Вредоносное ПО содержит специализированные функции для саботажа инфраструктур виртуализации. При обнаружении среды VMware ESXi оно манипулирует файловой системой VMFS и критическими настройками, что может привести к повреждению виртуальных машин. В системах Nutanix AHV ransomware отключает функцию высокой доступности (High Availability, HA) для всех виртуальных машин, повышая риск длительного простоя. Эти действия направлены на блокировку восстановления из резервных копий и усиление давления на жертву.

Для запуска вредоносной нагрузки (payload) требуется указать специальный пароль через аргумент командной строки "-password", что является формой защиты от анализа. Также обязателен аргумент "-path", указывающий папку для шифрования, или наличие аргумента "-whitelist". Интересно, что злоумышленники предусмотрели исключения, чтобы не повредить критически важные для загрузки и работы системы файлы и каталоги, такие как "/boot", "/etc" или файлы ядра "vmlinuz". Это позволяет системе оставаться работоспособной после атаки, чтобы жертва могла прочитать требования о выкупе.

После завершения шифрования в каждой затронутой папке создаётся файл с инструкциями по выкупу, названный по шаблону "<расширение>_RECOVER.txt". В отличие от Windows-версии, смена обоев рабочего стола не производится. Все действия тщательно логируются в отдельный файл для отладки.

Кибербезопасники призывают компании, особенно использующие Linux-серверы и платформы виртуализации, усилить меры защиты. Ключевые рекомендации включают строгое соблюдение принципа наименьших привилегий, регулярное создание изолированных и проверенных резервных копий, сегментацию сетей, а также постоянное обновление программного обеспечения и систем обнаружения вторжений (IDS). Поскольку атака требует непосредственного выполнения файла на целевой системе, критически важным является контроль за целостностью систем и мониторинг необычной активности, особенно связанной с выполнением команд управления виртуальными машинами. Появление таких сложных ELF-версий ransomware подчёркивает, что угроза вымогателей эволюционирует, целенаправленно атакуя корпоративную серверную инфраструктуру.

MD5

• 37aeb403ec4979626e2ec85380296439
• 457b4eeb5b9090476ea52ceccdf63c0b
• 4ca3438f72d0ee6fc2c0c572db9fa866
• b04e8ee43aba85fa5c585b9335c953c2
• e7adc46e79fc8a44b986ef77dfb1f4c5