Qilin Ransomware: новая волна атак в 2025 году и угроза для бизнеса по всему миру

Qilin функционирует как Ransomware-as-a-Service (RaaS) и предлагает своим аффилированным лицам мощный инструментарий для атак. Одной из ключевых особенностей этой группировки является использование ransomware, написанного на языке Rust, что делает вредоносное ПО особенно устойчивым к обнаружению и анализу. Благодаря этому злоумышленники могут легко адаптировать свои атаки под разные операционные системы, включая Windows, Linux и виртуальные среды ESXi.

В 2022 году специалисты Trend Micro, уже фиксировали подобные индикаторы, связав компанию с Agenda Ransomware.

Группировка активно рекламирует свои услуги в даркнете, предлагая партнерам доступ к уникальной системе Data Leak Site (DLS), которая содержит идентификаторы компаний и утекшие учетные данные. По данным экспертов Group-IB Threat Intelligence, Qilin применяет тактику двойного шантажа: сначала шифрует данные жертвы, затем похищает конфиденциальную информацию и требует выкуп не только за расшифровку, но и за неразглашение украденных данных. Примечательно, что даже после выплаты выкупа группировка может опубликовать информацию, усиливая давление на жертву.

В апреле 2025 года Qilin заняла первое место по количеству проведенных атак среди всех ransomware-групп. Особую активность она проявляла в ноябре 2024 года, когда ее аффилированные лица использовали SmokeLoader и новый .NET-загрузчик NETXLOADER. Кроме того, после закрытия RansomHub многие его бывшие участники перешли в Qilin, что увеличило ее операционные возможности.

География атак Qilin охватывает множество стран. Еще в мае 2023 года на ее DLS были опубликованы данные 12 компаний из Австралии, Бразилии, Канады, Колумбии, Франции, Нидерландов, Сербии, Великобритании, Японии и США. В ноябре 2023 года группировка взяла на себя ответственность за кибератаку на Yanfeng Automotive Interiors - одного из крупнейших мировых поставщиков автокомплектующих. В феврале и марте 2024 года жертвами стали Upper Marion Township, Etairos Health, Kevin Leeds CPA и Commonwealth Sign в США, а также компании в Малайзии, Саудовской Аравии, Индонезии и Испании.

Qilin использует фишинговые письма с вредоносными ссылками для первоначального проникновения в сеть жертвы. После этого злоумышленники перемещаются по инфраструктуре, ищут ценные данные и шифруют их. В процессе они оставляют ransom-ноту в каждой зараженной директории с инструкциями по оплате. Чтобы усложнить восстановление, они могут перезагружать системы в обычном режиме и останавливать критически важные сервисы.

Одной из особенностей Qilin является возможность кастомизации атак: злоумышленники могут менять расширения файлов, завершать определенные процессы и выбирать разные режимы шифрования (skip-step, percent, fast). Это делает каждую атаку уникальной и затрудняет разработку универсальных средств защиты.

Пока что точное происхождение группировки и полный список ее аффилированных лиц остаются неизвестными. Однако ее активность свидетельствует о том, что Qilin остается одной из самых опасных ransomware-групп на киберпространственной арене. Компаниям по всему миру необходимо усиливать меры защиты, включая обучение сотрудников, многофакторную аутентификацию, регулярное резервное копирование и мониторинг сетевой активности, чтобы минимизировать риски стать следующей жертвой.

Финансовый сектор, здравоохранение, производство и государственные учреждения - все эти отрасли находятся в зоне повышенного риска. Учитывая, что атаки Qilin становятся все более изощренными, организациям критически важно не только реагировать на инциденты, но и внедрять проактивные стратегии кибербезопасности, чтобы предотвратить потенциальные катастрофы.

SHA256

• 37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6
• 555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4
• 55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1
• 76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e
• e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527
• fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039