Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Qilin массово парализует британские больницы

19/07/24

Norwich-University-Hospital-Norfolk-England-National-Health

Недавно группа Qilin, известная своими кибератаками на сектор здравоохранения, вновь привлекла внимание общественности. Наиболее крупный выкуп, который они потребовали, составил 50 миллионов долларов во время нападения на Synnovis, поставщика патологоанатомических услуг, что сильно отразилось на нескольких ключевых больницах Национальной службы здравоохранения (NHS) в Лондоне, пишет Securitylab.

По информации компании Group-IB, впервые группа Qilin была замечена в июле 2022 года, а уже в феврале 2023 года начала свои операции по модели Ransomware-as-a-Service (RaaS) на подпольных форумах. Одноимённая вредоносная программа Qilin, первоначально развивавшаяся из программы-вымогателя Agenda на языке Go, была затем переосмыслена и переписана на языке Rust, что улучшило её устойчивость и эффективность.

За время своей деятельности группа Qilin скомпрометировала более 150 организаций в 25 странах, затронув разнообразные отрасли. Исследования выявили сложную структуру организации, включающую административные стратегии и сеть партнёров.

Методы Qilin включают эксплуатацию уязвимостей известных устройств и программ. Например, группировка использовала уязвимости в устройствах Fortinet и программном обеспечении Veeam Backup & Replication для первоначального доступа. Они также применяют брутфорс-атаки на VPN-устройства и используют утилиту Mimikatz для повышения привилегий на скомпрометированных системах.

Qilin активно скрывает свои действия, удаляя системные логи и события, чтобы затруднить расследование инцидентов. Вредонос может останавливать процессы и службы, что усложняет его обнаружение и реагирование на атаку. Для скрытного удаления следов используется команда PowerShell, которая очищает журналы событий Windows.

Зловредное ПО Qilin способно распространяться по локальной сети, функционируя как сетевой червь. Для этого оно использует утилиту PsExec и возможности самораспространения через VMware vCenter. Также вредонос может задействовать удалённый рабочий стол (RDP) и административные общие ресурсы Windows (Administrative share) для движения по сети.

Кроме того, Qilin атакует системы резервного копирования, удаляя копии данных и отключая запланированные задачи для создания бэкапов. Для шифрования данных используется комбинация алгоритмов AES-256 CTR и ChaCha20, что делает восстановление данных практически невозможным без ключа дeшифрования.

Группировка Qilin представляет серьёзную угрозу для кибербезопасности благодаря своей гибкости и сотрудничеству с различными партнёрами в рамках RaaS. Технические средства и методы, применяемые Qilin, продолжают эволюционировать, что требует постоянного мониторинга и обновления мер защиты.

Темы:ВеликобританиямедицинаУгрозыGroup-IB
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...