Peneliti keamanan siber telah menemukan versi lanjutan dari ransomware Qilin yang memiliki kecanggihan dan taktik yang lebih canggih untuk menghindari deteksi.
Varian baru ini sedang dilacak oleh perusahaan keamanan siber Halcyon dengan nama Qilin.B.
“Khususnya, Qilin.B sekarang mendukung enkripsi AES-256-CTR untuk sistem dengan kemampuan AESNI, namun tetap mempertahankan Chacha20 untuk sistem yang tidak memiliki dukungan ini,” kata Tim Peneliti Halcyon dalam laporan yang dibagikan kepada The Hacker News.
“Selain itu, RSA-4096 dengan padding OAEP digunakan untuk melindungi kunci enkripsi, membuat dekripsi file tanpa kunci pribadi penyerang atau nilai awal yang ditangkap tidak mungkin dilakukan.”
Qilin, juga dikenal sebagai Agenda, pertama kali menarik perhatian komunitas keamanan siber pada Juli/Agustus 2022, dengan versi awal ditulis dalam Golang sebelum beralih ke Rust.
Laporan pada Mei 2023 dari Group-IB mengungkapkan bahwa skema ransomware-as-a-service (RaaS) memungkinkan afiliasinya mendapatkan antara 80% hingga 85% dari setiap pembayaran tebusan setelah ia menyusup ke grup dan berhasil memulai percakapan dengan a Perekrut Qilin.
Serangan baru-baru ini yang terkait dengan operasi ransomware telah mencuri kredensial yang disimpan di browser Google Chrome pada sejumlah kecil titik akhir yang telah disusupi, yang menandakan perubahan dari serangan pemerasan ganda pada umumnya.
Sampel Qilin.B yang dianalisis oleh Halcyon menunjukkan bahwa Qilin.B dibangun berdasarkan iterasi lama dengan kemampuan enkripsi tambahan dan taktik operasional yang ditingkatkan.
Hal ini termasuk penggunaan AES-256-CTR atau Chacha20 untuk enkripsi, selain mengambil langkah-langkah untuk menolak analisis dan deteksi dengan menghentikan layanan yang terkait dengan alat keamanan, terus-menerus menghapus Log Peristiwa Windows, dan menghapus dirinya sendiri.
Ini juga mengemas fitur untuk mematikan proses yang terkait dengan layanan pencadangan dan virtualisasi seperti Veeam, SQL, dan SAP, dan menghapus salinan bayangan volume, sehingga mempersulit upaya pemulihan.
“Kombinasi Qilin.B antara mekanisme enkripsi yang ditingkatkan, taktik penghindaran pertahanan yang efektif, dan gangguan terus-menerus pada sistem cadangan menandainya sebagai varian ransomware yang sangat berbahaya,” kata Halcyon.
Sifat ancaman yang berbahaya dan terus-menerus dari ransomware dibuktikan dengan taktik evolusioner yang terus dilakukan oleh kelompok ransomware.
Hal ini dicontohkan dengan ditemukannya perangkat baru berbasis Rust yang telah digunakan untuk mengirimkan ransomware Embargo yang baru lahir, tetapi sebelumnya menghentikan solusi deteksi dan respons titik akhir (EDR) yang diinstal pada host menggunakan Bring Your Own Vulnerable Driver (BYOVD) teknik.
Baik pembunuh EDR, dengan nama kode MS4Killer oleh ESET karena kemiripannya dengan alat s4killer sumber terbuka, maupun ransomware dijalankan melalui pemuat jahat yang disebut sebagai MDeployer.
“MDeployer adalah pemuat berbahaya utama yang coba disebarkan Embargo ke mesin di jaringan yang disusupi – ini memfasilitasi serangan selanjutnya, yang mengakibatkan eksekusi ransomware dan enkripsi file,” kata peneliti Jan Holman dan Tomáš Zvara. “MS4Killer diperkirakan akan berjalan tanpa batas waktu.”
“MDeployer dan MS4Killer ditulis dalam Rust. Hal yang sama juga berlaku untuk muatan ransomware, menunjukkan bahwa Rust adalah bahasa yang digunakan untuk pengembang grup.”
Menurut data yang dibagikan oleh Microsoft, 389 institusi layanan kesehatan AS terkena serangan ransomware pada tahun fiskal ini, yang menyebabkan kerugian hingga $900.000 per hari karena downtime. Beberapa geng ransomware yang terkenal menyerang rumah sakit antara lain Lace Tempest, Sangria Tempest, Cadenza Tempest, dan Vanilla Tempest.
“Dari 99 organisasi layanan kesehatan yang mengaku membayar uang tebusan dan mengungkapkan uang tebusan telah dibayarkan, pembayaran rata-rata adalah $1,5 juta, dan pembayaran rata-rata adalah $4,4 juta,” kata raksasa teknologi itu.
