Кибербезопасность: детальный анализ методов атаки группы Qilin

Группа вымогателей Qilin продолжает оставаться одной из наиболее активных и разрушительных ransomware-групп (программы-вымогатели) в мире. Во второй половине 2025 года темпы публикации данных жертв на специализированном сайте утечек превышали 40 случаев ежемесячно, что демонстрирует масштабы угрозы. Наиболее пострадавшим сектором оказалось производство, за которым следуют профессиональные и научные услуги, а также оптовая торговля.

Описание

Согласно исследованию Cisco Talos, группа Qilin (ранее известная как Agenda) действует с июля 2022 года и использует стратегию двойного шантажа, сочетая шифрование файлов с угрозой публикации похищенной информации. Группа работает по модели Ransomware-as-a-Service (RaaS), предоставляя платформы и инструменты аффилированным лицам для атак по всему миру.

География атак охватывает преимущественно развитые страны: США, Канаду, Великобританию, Францию и Германию. Пик активности пришелся на июнь 2025 года, когда на сайте утечек было опубликовано около 100 случаев, при этом ежемесячный показатель редко опускался ниже 40 инцидентов.

Начало атаки часто связано с компрометацией VPN-доступа. В некоторых случаях злоумышленники использовали учетные данные администраторов, обнаруженные в даркнете. Примечательно, что в ряде инцидентов на VPN не была настроена многофакторная аутентификация (MFA), что позволяло атакующим получить беспрепятственный доступ при наличии учетных данных.

После получения доступа к сети злоумышленники проводили разведку с помощью стандартных системных утилит: nltest.exe для перечисления контроллеров домена и net.exe для сбора информации о пользователях. Также использовались команды whoami для оценки привилегий и tasklist для анализа активных процессов.

Особое внимание уделялось краже учетных данных. Обнаружены защищенные паролем архивы, содержащие инструменты для сбора авторизационной информации, включая Mimikatz, утилиты NirSoft и пользовательские скрипты. Файл !light.bat модифицировал реестр Windows для сохранения паролей в открытом виде в памяти, что позволяло затем извлекать их с помощью Mimikatz.

Дальнейший сбор данных осуществлялся с помощью SharpDecryptPwd, который извлекал учетные данные из популярных приложений: WinSCP, Navicat, Xmanager, TeamViewer, FileZilla и других. Собранная информация форматировалась скриптом pars.vbs и отправлялась на контролируемый злоумышленниками SMTP-сервер. Примечательно, что скрипт использовал кодировку windows-1251 (кириллица), что может указывать на связь с восточноевропейским или русскоязычным регионом.

Для эксфильтрации данных применялись различные методы, включая упаковку файлов в архивы WinRAR и использование легитимного ПО Cyberduck для передачи в облачные хранилища. Атакующие также использовали mspaint.exe, notepad.exe и iexplore.exe для просмотра конфиденциальных файлов непосредственно на зараженных системах.

Эскалация привилегий и перемещение по сети осуществлялись с помощью похищенных учетных данных. Злоумышленники изменяли настройки брандмауэра, активировали RDP через реестр и создавали сетевые ресурсы с полным доступом. Также наблюдалась установка различных инструментов удаленного управления: AnyDesk, Chrome Remote Desktop, Distant Desktop и других.

Для обхода систем защиты применялись различные техники, включая обфусцированный PowerShell-код для отключения AMSI и проверки TLS-сертификатов. Зафиксированы попытки отключения EDR-систем с помощью специализированных утилит dark-kill и HRSword.

Непосредственно перед выполнением ransomware наблюдался запуск инструментов удаленного доступа Cobalt Strike и SystemBC. Анализ показал, что загрузчик Cobalt Strike использует модифицированную версию алгоритма RC4 для расшифровки полезной нагрузки и применяет методы противодействия песочницам.

В атаках использовалась версия Qilin.B, которая может запускаться как в одиночном экземпляре, так и в двойной конфигурации. В последнем случае encryptor_1.exe распространялся через PsExec, а encryptor_2.exe запускался с одной системы для шифрования сетевых ресурсов.

Рansomware выполнял комплексные действия по подготовке к шифрованию: получение списка хостов из Active Directory, установка инструментов RSAT, очистка журналов событий. Особое внимание уделялось виртуализированным средам - скрипты отключали кластерные службы vCenter, изменяли настройки ESXi-хостов и выполняли произвольный код на всех обнаруженных системах.

Перед началом шифрования ransomware удалял теневые копии VSS и изменял настройки службы. Конфигурация включала списки исключений для шифрования, при этом специально targetedлись файлы в директории ClusterStorage, используемой в кластерных средах Windows.

После выполнения ransomware обеспечивал персистентность через планировщик заданий и автозагрузку реестра, маскируясь под легитимное ПО TeamViewer. Также изменялись настройки обоев рабочего стола для демонстрации сообщения о взломе.

Анализ методов группы Qilin демонстрирует высокий уровень профессионализма и адаптивности злоумышленников. Использование как стандартных системных утилит, так и специализированных инструментов, сочетание различных техник эксфильтрации и тщательная подготовка к шифрованию делают эту группу одной из наиболее опасных в современном ландшафте киберугроз.