Исследователи обнаружили новую версию вымогательского ПО Qilin, известную как Qilin.B
25/10/24
Эта версия использует шифрование AES-256-CTR на системах с поддержкой AESNI, сохраняя ChaCha20 для других систем. Кроме того, применяются ключи RSA-4096 с OAEP-выравниванием, что исключает возможность расшифровки без личного ключа злоумышленника. Это передаёт Securitylab.
Первые версии Qilin, известного также как Agenda, появились в июле-августе 2022 года. Изначально написанное на Golang, ПО позже перешло на язык Rust. С мая 2023 года схема вымогательства Qilin функционирует как сервис (RaaS), позволяя нанимателям получать до 85% от суммы выкупа.
Новая версия Qilin.B отличается от традиционных атак с двойным вымогательством — вместо привычного шантажа она нацелена на кражу данных из браузера Google Chrome на заражённых устройствах. В числе других усовершенствований — более сложные методы шифрования и устранение сервисов, связанных с системами безопасности.
Qilin.B также завершает процессы, связанные с резервным копированием и виртуализацией, например, Veeam и SAP, что значительно осложняет восстановление данных. Программа автоматически очищает логи Windows и удаляет сама себя, минимизируя риск обнаружения.