Qilin
Qilin fidye yazılımı grubu - eski adıyla Agenda - 2022'de ortaya çıkan ve o zamandan beri en aktif ve uyarlanabilir siber gasp tehditlerinden birine dönüşen, çifte gasp taktikleri, gelişmiş özelleştirme ve hızla genişleyen bir ortaklık ağı aracılığıyla dünya çapında kritik sektörleri hedef alan sofistike bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonudur.
Qilin hakkında arka plan bilgileri
Grup başlangıçta Agenda adı altında faaliyet göstermiştir (ilk olarak 2022 ortalarında görülmüştür). Eylül 2022'de Qilin (efsanevi yaratıktan sonra) olarak yeniden markalaştı. "Qilin fidye yazılımı" bu nedenle bazen Agenda veya Qilin/Agenda olarak anılmaktadır.
Qilin bir Hizmet Olarak Fidye Yazılımı (RaaS) olarak çalışmakta ve kendi araçlarını, altyapısını ve sızıntı sitesini kullanarak saldırılar gerçekleştiren iştirakleri desteklemektedir. İştirakçi kâr payları rapor edilmiştir: çoğu durumda operatör için yaklaşık %15-20 kesinti. Bazı raporlamalarda, belirli eşik değerlerin üzerindeki fidyeler için, daha büyük saldırıları teşvik etmek amacıyla iştirakler %80-85 oranında pay alabilmektedir (yani operatör daha az pay almaktadır).
Kesin bir atıf olmamakla birlikte, kanıtlar çekirdek operatörlerin Rus veya eski Sovyet / BDT ülkelerinde yerleşik olduğunu göstermektedir:
- Fidye yazılımı ikilisi bazen Rus veya Doğu Avrupa yerel ayarlarına sahip sistemlerde yürütmeyi önlemek için bir "kill switch" veya dil kontrolü içerir.
- İştirakçi alımları Rusça yeraltı forumlarında gözlemlenmektedir.
- BDT/Rus (eski SSCB) kuruluşlarına saldırmama politikası, birçok Rus kökenli fidye yazılımı grubuyla tutarlıdır.
- Saldırızamanlaması, kodun yeniden kullanımı, operasyonel imzalar ve dil kullanımı Doğu Avrupa siber suç kültürüyle uyumludur.
Qilin/Agenda'nın başlangıçta Golang'da uygulamaları vardı; daha sonraki sürümler Rust ve güncellenmiş araçlarda gözlemlenmiştir. Fidye yazılımı yükü ve ortaklık paneli özelleştirilebilir (yani, ortaklar hangi dosya türlerinin veya dizinlerin atlanacağını, şifreleme modlarını, öldürülecek işlemleri vb. seçebilir). Grup zaman içinde tekliflerini geliştirmiş, sızıntı sitesine / bloguna özellikler, bağlı kuruluşlar için "yasal yardım" bileşenleri, otomatik müzakere, DDoS yetenekleri ve spam desteği eklemiştir.
Qilin tarafından hedef alınan ülkeler
Grubun operasyonları Kuzey Amerika, Avrupa, Asya, Latin Amerika ve daha birçok ülkedeki kurbanlarıyla küreseldir.
Mayıs 2023'te Qilin'in sızıntı sitesinde Avustralya, Brezilya, Kanada, Kolombiya, Fransa, Hollanda, Sırbistan, İngiltere, Japonya ve ABD'den kurbanlar vardı.
Birçoksaldırı, grubun iç kurallarına uygun olarak BDT / eski Sovyet ülkelerinden kaçınmaktadır.
Qilin tarafından hedeflenen sektörler
- Sağlık hizmetleri ve tıbbi hizmetler: Qilin, kritik veriler ve operasyonel hassasiyet nedeniyle yüksek değere sahip olan tıbbi sağlayıcıları, teşhis hizmetlerini ve kan testi laboratuvarlarını defalarca hedef almıştır.
- İmalat ve sanayi: saldırıya uğrayan üretim tesisleri ve parça üreticileri.
- İnşaat, mühendislik, altyapı: inşaat danışmanlıklarının ve ilgili firmaların çeşitli raporları saldırıya uğradı.
- Teknoloji, yazılım, BT hizmetleri: bağlantıları ve diğer ağlara erişimleri nedeniyle.
- Finans, profesyonel hizmetler: özellikle hassas veriler veya müşteri verileri mevcut olduğunda zaman zaman hedef alınır.
- Tüketimmalları / sanayi malları: Asahi Group'a (Japonya, içecek/bira) yapıldığı iddia edilen son saldırı , büyük holdinglere doğru genişlemenin bir örneğidir.
Qilin'in kurbanları
Qilin dünya çapında 895'ten fazla kurbanı ihlal etmiştir.
Qilin'in Saldırı Yöntemi
Açıkta kalan uzak hizmetlerin kullanımı (ör. RDP, VPN), halka açık uygulamaların / yazılım açıklarının istismarı, phishing avı / phishing kampanyaları ve bazen açıkta kalan FortiGate cihazlarının kullanımı.
Geçerli hesapların / kimlik bilgilerinin kullanılması (satın alınmış, çalınmış veya yanal geçiş), belirteç hırsızlığı / kimliğe bürünme, işlem enjeksiyonu, muhtemelen yazılım veya işletim sistemindeki güvenlik açıklarından yararlanma.
Günlük silme / sistem olay günlüklerini temizleme, güvenlik / antivirüs hizmetlerini devre dışı bırakma veya sonlandırma, yürütmeyi gizleme, tespit edilmekten kaçınmak için hangi dizinlerin / dosyaların atlanacağını seçme, periyodik temizlik konuları.
Kimlik bilgilerinin bellekten çıkarılması, LSASS, kimlik bilgisi dökümü, sızdırılan kimlik bilgilerinin yeniden kullanımı veya yedek yazılım yapılandırma depolarının istismarı.
Ağ ve ana bilgisayar keşfi, paylaşımları tanımlama, etki alanı denetleyicileri, yönlendirme yollarını keşfetme, dosya sunucularını ve veri depolarını eşleme.
Geçerli kimlik bilgileri veya uzak hizmetler kullanarak ağ genelinde çoğaltma; SMB, RPC, uzaktan komut yürütme yoluyla pivotlama; yüksek değerli sistemlere ve yedekleme sunucularına yayılma.
İlgili verilerin toplanması (örneğin veritabanları, belgeler, hassas dosyalar), sızma paketlerinin hazırlanması, sızma verilerinin sıkıştırılması / şifrelenmesi.
Fidye yazılımı yükünün dağıtımı. Genellikle parametrelerle komut satırı üzerinden yürütülür, özel yürütülebilir dosya (ör. "w.exe") kullanılır, muhtemelen şifrelemeyi yaymak için yedekleme veya VM altyapısından yararlanılır.
Çalınan verilerin genellikle şifrelenmeden önce saldırgan kontrolündeki sunuculara yüklenmesi (çifte gasp modeli). Muhtemelen proxy/kötü amaçlı malware zincirleri aracılığıyla şifrelenmiş kanalların veya proxy araçlarının kullanılması.
Kurban sistemlerindeki verilerin şifrelenmesi (çoğu durumda AES-256 + RSA-2048 hibrit şifreleme), yedeklerin silinmesi, fidye notlarının görüntülenmesi, kamuya açık veri sızıntılarının tehdit edilmesi, sistemlere erişimin engellenmesi.
Açıkta kalan uzak hizmetlerin kullanımı (ör. RDP, VPN), halka açık uygulamaların / yazılım açıklarının istismarı, phishing avı / phishing kampanyaları ve bazen açıkta kalan FortiGate cihazlarının kullanımı.
Geçerli hesapların / kimlik bilgilerinin kullanılması (satın alınmış, çalınmış veya yanal geçiş), belirteç hırsızlığı / kimliğe bürünme, işlem enjeksiyonu, muhtemelen yazılım veya işletim sistemindeki güvenlik açıklarından yararlanma.
Günlük silme / sistem olay günlüklerini temizleme, güvenlik / antivirüs hizmetlerini devre dışı bırakma veya sonlandırma, yürütmeyi gizleme, tespit edilmekten kaçınmak için hangi dizinlerin / dosyaların atlanacağını seçme, periyodik temizlik konuları.
Kimlik bilgilerinin bellekten çıkarılması, LSASS, kimlik bilgisi dökümü, sızdırılan kimlik bilgilerinin yeniden kullanımı veya yedek yazılım yapılandırma depolarının istismarı.
Ağ ve ana bilgisayar keşfi, paylaşımları tanımlama, etki alanı denetleyicileri, yönlendirme yollarını keşfetme, dosya sunucularını ve veri depolarını eşleme.
Geçerli kimlik bilgileri veya uzak hizmetler kullanarak ağ genelinde çoğaltma; SMB, RPC, uzaktan komut yürütme yoluyla pivotlama; yüksek değerli sistemlere ve yedekleme sunucularına yayılma.
İlgili verilerin toplanması (örneğin veritabanları, belgeler, hassas dosyalar), sızma paketlerinin hazırlanması, sızma verilerinin sıkıştırılması / şifrelenmesi.
Fidye yazılımı yükünün dağıtımı. Genellikle parametrelerle komut satırı üzerinden yürütülür, özel yürütülebilir dosya (ör. "w.exe") kullanılır, muhtemelen şifrelemeyi yaymak için yedekleme veya VM altyapısından yararlanılır.
Çalınan verilerin genellikle şifrelenmeden önce saldırgan kontrolündeki sunuculara yüklenmesi (çifte gasp modeli). Muhtemelen proxy/kötü amaçlı malware zincirleri aracılığıyla şifrelenmiş kanalların veya proxy araçlarının kullanılması.
Kurban sistemlerindeki verilerin şifrelenmesi (çoğu durumda AES-256 + RSA-2048 hibrit şifreleme), yedeklerin silinmesi, fidye notlarının görüntülenmesi, kamuya açık veri sızıntılarının tehdit edilmesi, sistemlere erişimin engellenmesi.
Qilin tarafından kullanılan TTP'ler
Vectra AI ile Qilin Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Qilin'in asıl amacı nedir?
Qilin finansal olarak motive edilmiştir. Faaliyetleri fidye yazılımı (şifreleme + sızıntı) yoluyla şantaj etrafında dönmektedir. Halka açık sızıntı sitelerinde veya kampanyalarında açık bir ideolojik veya siyasi mesaj yoktur.
Qilin, iştiraklerin kurallara uymasını nasıl sağlıyor (örneğin BDT bölgelerine saldırmamak)?
Fidye yazılımı ikilisi, Rus / Doğu Avrupa yerellerinde yürütmeyi önlemek için dil tabanlı bir kill switch içerebilir. Ayrıca, ortaklık anlaşmalarında politikalar uygularlar (örneğin, BDT / Rus kuruluşlarının hedeflenmesine izin vermemek).
Qilin modern EDR / XDR sistemleri tarafından tespit edilebilir veya engellenebilir mi?
Birçok güvenlik tedarikçisi, araçlarının Qilin/Agenda davranışını tespit edebileceğini iddia etmektedir, ancak Qilin ve iştirakleri tarafından kullanılan özelleştirilebilirlik, gizleme ve günlük temizleme taktikleri nedeniyle tespit etmek zordur. Bu nedenle, sağlam uç noktalar, anomali tespiti, ağ segmentasyonu ve güvenlik izleme çok önemlidir.
Qilin sızması için iyi erken göstergeler veya IOC'ler nelerdir?
Bazı faydalı göstergeler şunlardır:
- Nadir veya yeni ana bilgisayarlara (özellikle .ru veya nadir TLD'lerdeki alan adları) olağandışı harici bağlantılar.
- Yedeklemeveya etki alanı denetleyicilerine aniden erişme veya bunları numaralandırma girişimleri.
- Bilinmeyen veya yeniden adlandırılmış ikili dosyaların (örn. "w.exe") komut satırı argümanlarıyla çalıştırılması.
- Sistemolay günlüklerinin silinmesi / temizlenmesi.
- Trafiğitünellemek için proxy veya SOCKS malware (örn. SystemBC) kullanılması.
- Ağda olağandışı tarama veya yanal hareket etkinliği.
Kuruluşlar Qilin saldırısına karşı nasıl hazırlanmalıdır?
Bazı savunma stratejileri şunlardır:
- Güçlü kimlik doğrulama ve kimlik bilgisi hijyeni (çok faktörlü, en az ayrıcalık, kimlik bilgisi kasası).
- Yama ve güvenlik açığı yönetimi (özellikle halka açık uygulamalar, yedekleme yazılımları, VPN'ler için).
- Ağ segmentasyonu ve kritik sistemlerin izolasyonu (özellikle yedeklemeler).
- Anormal davranışların izlenmesi (olağandışı bağlantılar, tarama, yeni ikili dosyalar).
- Sık, değişmez yedeklemeler (ağ dışı, hava boşluklu kopyalar dahil).
- Olay müdahale planlaması ve tatbikatları (masa başı tatbikatları dahil).
- Sadece imzalara güvenmek yerine davranış tabanlı tespit özelliğine sahip bir Tehdit Tespit ve Müdahale çözümünün kullanılması.
- Tehdit istihbaratı ve tehdit avcılığı, Qilin iştiraklerinin göstergelerine odaklanmıştır.
taviz etkiye kadar tipik bir Qilin saldırısının zaman çizelgesi nedir?
Zaman çizelgeleri kurbana ve bağlı kuruluşa göre değişmekle birlikte, model genellikle şunları içerir: ilk taviz (RDP / istismar / phishing avı yoluyla), saatler ila günler boyunca yanal hareket ve keşif, hassas verilerin dışarı sızması, ardından sistemlerin hızlı bir şekilde şifrelenmesi ve ardından fidye talepleri. Bazı kampanyalar, özellikle otomasyonun yüksek olduğu durumlarda, şifrelemeyi taviz sonraki saatler içinde gerçekleştirir.
Kurbanlar Qilin ile güvenli bir şekilde pazarlık yapabilir veya ödeme yapabilir mi?
Qilin de dahil olmak üzere fidye yazılımlarında pazarlık yaygındır. Ancak ödeme yapmak riskler taşır: şifre çözme anahtarlarının teslim edilmemesi, daha fazla gasp, ödemeye rağmen sızıntı veya daha fazla taviz. Bazı bağlı kuruluşlar veya operatörler anlaşmalara uyabilir, ancak bunun garantisi yoktur. Mağdurlar yasal, itibar ve operasyonel riskleri dikkatle değerlendirmeli ve ideal olarak deneyimli olay müdahale ve hukuk danışmanlarıyla çalışmalıdır.
Qilin / Agenda için genel bir şifre çözücü mevcut mu?
Şu anda yayınlanan açık kaynaklar itibariyle, Qilin ile şifrelenmiş verileri ödeme yapmadan güvenilir bir şekilde çözen hiçbir genel şifre çözücü bilinmemektedir.
Qilin diğer fidye yazılımı gruplarıyla (örneğin LockBit, Black Basta) nasıl karşılaştırılır?
Qilin, yüksek derecede iştirak esnekliği, promosyon özellikleri (örneğin panelde "avukat çağırma") ve hızlı büyümesiyle benzersizdir. Diğer RaaS operasyonlarındaki aksaklıklar nedeniyle (örneğin LockBit'in aksaklıklarından sonra) yerinden edilen iştirakleri bünyesine katmıştır. Son derece özel, eyalet düzeyinde operasyonlardan ziyade fırsatçı hedefleme eğilimindedir.
Tehdit istihbaratı veya dark web sohbetindeki uyarı işaretleri (kırmızı bayraklar) nelerdir?
- Yeraltı forumlarında Qilin için üye toplama mesajları.
- Qilin sızıntı sitesinde yayınlanan yeni blog yazıları veya kurban sızıntıları.
- Qilin fidye yazılımı ikili dosyalarının yeni sürümleri (örneğin Rust) malware depolarında görülüyor.
- Büyük ölçekli Qilin kampanyaları veya düzinelerce ila yüzlerce kurban iddialarına ilişkin kamuya açık raporlar.