В 2025 году киберпреступный ландшафт претерпел значительные изменения: некогда доминирующие группировки, такие как RansomHub и LockBit, утратили влияние, а их место заняла новая угроза - Qilin. Этот ransomware, активный с октября 2022 года, быстро закрепился на рынке киберпреступлений благодаря сложной модели Ransomware-as-a-Service (RaaS), предлагая своим аффилированным лицам передовые инструменты и инфраструктуру. Взамен Qilin получает 15-20% от выкупа, что делает его привлекательным для злоумышленников.
Описание
Главная особенность Qilin - его кроссплатформенность. В отличие от многих конкурентов, этот вредонос способен атаковать не только Windows, но и Linux, а также ESXi-системы, что делает его особенно опасным для корпоративных сетей и виртуализированных сред. Разработчики Qilin используют языки программирования Rust и C, что обеспечивает высокую производительность и устойчивость к анализу.
По данным исследователей Cybereason, Qilin уже добавил более 100 организаций на свой даркнет-сайт с угрозами утечки данных, а суммы выкупа варьируются от $50 000 до $800 000. Это не просто очередной ransomware - это полноценная платформа для киберпреступлений, предлагающая не только шифрование данных, но и дополнительные сервисы, такие как хранение украденной информации в петабайтных масштабах, инструменты для спам-атак и даже юридическую поддержку через функцию "Call Lawyer".
Технически Qilin демонстрирует впечатляющую изощренность. В Windows-версии используется алгоритм шифрования ChaCha20, AES и RSA-4096, что делает восстановление данных практически невозможным без ключа. Кроме того, вредонос способен распространяться по сети с помощью PsExec, удалять теневые копии файлов, очищать журналы событий и даже печатать сообщения с требованиями выкупа на подключенных принтерах.
Для Linux и ESXi Qilin применяет другой подход. Вредонос, написанный на C, активно атакует виртуализированные среды: изменяет пароли root-пользователей, активирует SSH и распространяет вредоносные нагрузки, нарушая работу критически важных инфраструктур. По данным отчета Cybereason, Qilin также оптимизирует производительность ввода-вывода на ESXi-хостах, что позволяет ему эффективно атаковать базы данных и контейнеры, включая MySQL, Docker и MongoDB.
Но Qilin не ограничивается только шифрованием. В феврале 2024 года группировка запустила сайт "WikiLeaks V2", где публикует украденные данные, усиливая давление на жертв. Кроме того, для повышения скрытности атак Qilin требует ввода пароля перед запуском, что усложняет анализ в песочницах.
Эксперты отмечают, что Qilin - это не просто очередной ransomware, а полноценная экосистема киберпреступлений, сочетающая техническую продвинутость и агрессивные методы вымогательства. Организациям рекомендуется усилить защиту: внедрять многоуровневую безопасность, регулярно создавать резервные копии и мониторить сетевую активность. В противном случае они рискуют стать следующей жертвой новой эры цифрового шантажа.
Индикаторы компрометации
IPv4
- 185.196.10.19
- 185.208.156.157
- 80.64.16.87
SHA256
- 13cda19a9bf493f168d0eb6e8b2300828017b0ef437f75548a6c50bfb4a42a09
- 31c3574456573c89d444478772597db40f075e25c67b8de39926d2faa63ca1d8
- a7f2a21c0cd5681eab30265432367cf4b649d2b340963a977e70a16738e955ac
- C9707a3bc0f177e1d1a5587c61699975b1153406962d187c9a732f97d8f867c5
