Крупный провал операционной безопасности: Учетные данные аффилиатов Qilin Ransomware оказались в открытом доступе

Предоставленные доступы открыли полный контроль над системой координации атак, которую Qilin использовали с 2022 года для организации инцидентов против более 600 жертв по всему миру.

Среди подтвержденных целей группировки значатся Министерство здравоохранения Палау, Онкологический центр Уцуномия в Японии и медиахолдинг Lee Enterprises в США. Утечка особенно значима, учитывая модель Ransomware-as-a-Service (RaaS), которую применяет Qilin. Эта модель позволяет множеству независимых аффилиатов использовать инфраструктуру и инструменты группировки, что многократно увеличивает масштаб и географию атак. По данным аналитиков, панель управления содержала инструменты для генерации вредоносных нагрузок, отслеживания выплат выкупов и управления переговорами с жертвами.

Мотивация Nova, как выяснилось, носит конкурентный характер. Представитель новой группы вымогателей, быстро набирающей влияние, открыто заявил на форуме, что счета Qilin "контролируются ФБР и исследователями безопасности", предупредив других аффилиатов о риске конфискации средств. Этот эпизод иллюстрирует хрупкость криминальных альянсов в даркнете, где внутренние конфликты регулярно приводят к операционным провалам. Анализ цифровых следов аффилиата hastalamuerte выявил сложный технический арсенал. В его GitHub-репозиториях обнаружены специализированные инструменты: версия Mimikatz, упакованная в оболочку Themida для противодействия детекции, NetExec для атак на Active Directory, а также наборы для обхода систем защиты, включая RealBlindingEDR и ScareCrow.

Особый интерес представляет интеграция с Bitkub API - интерфейсом ведущей тайской биткойн-биржи, что указывает на возможные схемы отмывания средств или целенаправленные атаки на финансовые институты Таиланда. В арсенале аффилиата также зафиксированы инструменты для эксплуатации уязвимостей, включая CVE-2021-40444 и CVE-2022-30190 (Follina), что свидетельствует об использовании известных, но не закрытых уязвимостей. Технический анализ репозиториев hastalamuerte показал экстенсивное использование инструментов полного цикла атаки: от Subfind для разведки доменов до XenoRAT для удаленного контроля и MeshCentral для управления компрометированными системами.

Среди других обнаруженных инструментов - DonPAPI для извлечения учетных данных, PowerHuntShares для анализа привилегий в AD-средах, PyPyCatz (Python-реализация Mimikatz) и JavaScript-Obfuscator-UI для сокрытия вредоносного кода. Интерес аффилиата к искусственному интеллекту подтверждается активностью в репозиториях DeepSeek и QwenLM, а его вовлеченность в криптотрейдинг прослеживается через "звездные" отметки соответствующих проектов на GitHub. Дополнительные находки в GitLab включают инструменты для обфускации IP-адресов и сканирования уязвимостей, что дополняет портрет технически подкованного злоумышленника.

Утечка предоставила исследователям уникальную возможность изучить операционные шаблоны группировки. Установлено, что инфраструктура панели аффилиатов работает на NGINX и использует те же механизмы аутентификации, что и панель переговоров с жертвами. Раскрытые хэши файлов (включая MD5: 740bcca20cf9b4adb7e68fff4d51fc39 и SHA-256: 97f9b989c3b3d6f87120e7f550b29b205d23d052bf455379d8bb5b9a01b7d92f) позволяют идентифицировать вредоносные нагрузки в дикой природе. Специалисты отмечают, что файл mimikatz.exe создавался через промежуточные HTML-документы, что демонстрирует многоступенчатую схему доставки.

Инцидент высвечивает парадоксальную уязвимость современных RaaS-операций: несмотря на техническую изощренность, их устойчивость критически зависит от человеческого фактора и лояльности аффилиатов. Конкуренция между группировками превращает даркнет в арену информационных войн, где разоблачения становятся оружием в борьбе за ресурсы и репутацию. Для Qilin последствия могут быть катастрофическими: потеря доверия аффилиатов, идентификация инфраструктуры правоохранителями и необходимость полной перестройки операционных процессов. В то же время утечка стала источником беспрецедентной аналитической информации для специалистов по кибербезопасности, позволяющей глубже понять эволюцию тактик вымогателей.

Столкновение интересов внутри преступного сообщества, как показывает этот случай, может приносить неожиданные преимущества для защитников цифрового пространства. Однако эксперты предупреждают, что группы быстро адаптируются к таким инцидентам, меняя инструменты и инфраструктуру. Анализ деятельности hastalamuerte подтверждает, что современные аффилиаты вымогателей обладают высоким уровнем технической грамотности, сочетая готовые инструменты с кастомными разработками и активно отслеживая новые уязвимости. Их интерес к ИИ и автоматизации свидетельствует о дальнейшем усложнении ландшафта угроз. Данный инцидент войдет в историю как один из наиболее показательных примеров того, как внутренние конфликты в киберпреступной среде приводят к масштабным операционным провалам, но одновременно подчеркивает необходимость постоянной бдительности и глубокого технического анализа со стороны защитных команд.

Onion Domains

• ji57fr53anp7wb44tbbnp72qcgbhqywy4jmbncawdcrejj5amuvh3zqd.onion

MD5

• 1a1ae9751240944cffccfd52a197d151
• 740bcca20cf9b4adb7e68fff4d51fc39
• bcb1cfc823007ae9b33adcc08d20c499

SHA1

• 0312f6e6cbb37d44da3e15d528a21fe14f621095
• 83db493de9c0d91d7f3e86b3f0d24853ab34326e
• 8ad8def9bb887efd11ba959215bd705ff67b5abb

SHA256

• 7712d0305aef11256977c321f4e1b201652cdfc7d2ee5765ff24503f7525ad7e
• 97f9b989c3b3d6f87120e7f550b29b205d23d052bf455379d8bb5b9a01b7d92f
• b31bae87c6a2ad24380af9f6b7e57e05a631e73d8e063ae1ab476b0caec8a38c