Qilin勒索病毒：针对企业的新型威胁

关键要点

Qilin勒索病毒是一个俄罗斯背景的勒索病毒服务RaaS团体，为其合作伙伴提供高效且用户友好的工具。该团体自去年7月以来声称已侵入至少12家公司，主要针对医疗和教育部门。Qilin的工具非常灵活，允许合作伙伴根据特定目标定制攻击。其支付结构相对优厚，最低可获得80的收益分成。使用钓鱼邮件作为攻击入口，随后在受害者的基础设施内侧向扩展，寻找可加密的重要资料。

根据研究人员的消息，Qilin勒索病毒又称为Agenda是一个俄罗斯对齐的勒索病毒作为服务RaaS团体，正在为其合作伙伴提供高效和用户友好的工具来捕捉受害者，并且在偷窃的收益中分成比例相当可观。自去年8月被Trend Micro首次识别以来，Qilin一直致力于攻击医疗和教育领域的公司。

在GroupIB最近的一篇博文中，该研究机构披露了Qilin运作的内幕，这源自其对该团体活动的渗透。据悉，Qilin自去年7月以来已经将至少12位受害者纳入其攻击范围。

vp 梯子 免费

该团体在其工具方面提供了相当大的灵活性，帮助合作伙伴针对企业和其他组织进行攻击。威胁情报分析师Nikolay Kichatov表示，这个RaaS运营者最近转向使用Rust语言制作勒索病毒，这使得攻击可以更容易地针对Windows、Linux及其他操作系统环境。

“许多Qilin勒索病毒的攻击都是根据每个受害者量身定制的，以最大限度地提高其影响力。为此，威胁行为者可以利用如改变加密文件的文件名扩展名和终止特定进程与服务等技术，” Kichatov写道。

经过渗透Qilin，GroupIB威胁情报研究人员能够分析这个合作伙伴计划及其管理面板的内部运作，该面板分为六个部分。Kichatov的文章提供了每个部分功能的细节分解。

部分内容目标被攻击公司的信息，包括公司背景、赎金要求、可接受支付的等待时间等博客为合作伙伴创建和编辑关于未支付赎金公司的博客文章用户管理为团队成员创建帐户，控制其能够参与的活动新闻发布与勒索病毒合作伙伴关系相关的更新支付详细记录合作伙伴钱包余额、交易情况和费用FAQ提供支持和文档访问，包括可用感染类型等信息

此外，GroupIB的研究人员截取了一个来自Qilin的深网帖子，该帖子用俄语宣传其RaaS服务，宣称Qilin提供“可自定义的加密模式，以找到加密速度和密码强度的最佳平衡”。这是通过四个操作模式实现的：对入侵系统的“完全”加密、“步进跳过”或部分加密、对文件开头的“快速”加密，或基于文件大小的百分比加密。

文章声称Qilin是一个“独特的项目，而不是基于公共领域其他软体源的另一个分支”。