Qilin

Qilin.B」と名付けられたQilin(Agenda)ランサムウェアのRustベースの新バージョンが攻撃で発見され、より強力な暗号化、セキュリティツールからのより良い回避、データ回復メカニズムを混乱させる能力を特徴としている。

Qilin.BはHalcyon社のセキュリティ研究者によって発見され、脅威について警告を発し、早期発見に役立つ侵害の指標を共有した。

Qilin、暗号化ツールを更新

Qilin.Bは、新しい暗号化方式として、AES-256-CTRを使用し、AESNIをサポートするCPUではAESNI機能を使用することで、暗号化を高速化しています。

しかし、新系統では、AESNIに適切なハードウェアを持たない脆弱なシステムや古いシステムのためにChaCha20を維持し、どのような場合でも強固な暗号化を保証している。

Qilin.Bはまた、暗号化キーの保護にOAEPパディング付きのRSA-4096を組み込んでおり、秘密キーやキャプチャされたシード値なしでの復号化をほぼ不可能にしている。

新しい Qilin マルウェアは、実行時に Windows レジストリに自動実行キーを追加して永続化し、以下のプロセスを終了して重要なデータを暗号化のために解放し、セキュリティツールを無効にします。

  • Veeam(バックアップとリカバリ)
  • Windows ボリューム・シャドウ・コピー・サービス(システムのバックアップとリカバリー)
  • SQLデータベース・サービス(エンタープライズ・データ管理)
  • Sophos(セキュリティおよびウイルス対策ソフトウェア)
  • Acronis Agent(バックアップとリカバリサービス)
  • SAP(エンタープライズ・リソース・プランニング)

既存のボリューム・シャドウ・コピーは消去され、システムの復元が容易にできないようにし、Windowsイベント・ログは消去され、フォレンジック分析が妨げられる。暗号化プロセスが完了すると、ランサムウェアのバイナリも削除されます。

Qilin.Bはローカルディレクトリとネットワークフォルダの両方を標的とし、処理された各ディレクトリに対して、タイトルに被害者IDを含むランサムノートを生成します。

Qilin ransom note
Qilin ランサムノート
ソース

最大限の効果を得るため、レジストリを変更し、昇格プロセスと非昇格プロセス間でネットワークドライブの共有を可能にする別のエントリを作成します。

上記はランサムウェアの分野では画期的な機能ではありませんが、非常に効果的な攻撃で悪名高い脅威グループが使用するファミリーに追加された場合、深刻かつ広範囲に影響を及ぼす可能性があります。

昨年8月、ソフォスは、Qilin が Google Chrome ブラウザに保存された認証情報を収集し、攻撃をネットワーク全体に拡大したり、クリーンアップ後も侵入したネットワークに再び侵入したりする攻撃において、カスタム情報ステーラーを展開していることを明らかにしました。

以前、Qilinはロンドンの主要病院、オーストラリアのCourt Services Victoria、自動車大手のYanfengに対する大きな被害をもたらす攻撃で使用されました。

このグループは、VMware ESXi攻撃に焦点を当てたLinuxの亜種も使用していますが、Halcyonが発見した亜種はWindowsシステムに関するものです。