16 mai 2023Ravie LakshmananCybercriminalité / Ransomware

Rançongiciel Qilin

Selon les nouvelles découvertes de Group-IB, les affiliés de Ransomware associés au programme Qilin ransomware-as-a-service (RaaS) gagnent entre 80 % et 85 % de chaque paiement de rançon.

La société de cybersécurité a déclaré avoir pu infiltrer le groupe en mars 2023, découvrant des détails sur la structure de paiement des affiliés et le fonctionnement interne du programme RaaS à la suite d’une conversation privée avec un recruteur Qilin qui s’appelle Haise.

« De nombreuses attaques de rançongiciels Qilin sont personnalisées pour chaque victime afin de maximiser leur impact », a déclaré la société basée à Singapour. a dit dans un rapport exhaustif. « Pour ce faire, les acteurs de la menace peuvent tirer parti de tactiques telles que la modification des extensions de nom de fichier des fichiers cryptés et la résiliation de processus et de services spécifiques. »

Qilin, également connu sous le nom d’Agenda, a été documenté pour la première fois par Trend Micro en août 2022, commençant comme un ransomware basé sur Go avant de passer à Rust en décembre 2022.

Publicité
Rançongiciel Qilin

L’adoption de Rust est également importante non seulement en raison des capacités de détection d’évasion, mais aussi du fait qu’elle permet aux acteurs de la menace de cibler les serveurs Windows, Linux et VMware ESXi.

Les attaques montées par le groupe utilisent des e-mails de phishing contenant des liens malveillants comme moyen d’obtenir un premier accès et de chiffrer des données sensibles, mais pas avant de les exfiltrer dans le cadre d’un modèle de double extorsion.

La Cyber-Sécurité

Les données de pas moins de 12 entreprises différentes ont été publiées sur le portail de fuite de données de Qilin sur le dark web entre juillet 2022 et mai 2023.

Les victimes, qui couvrent principalement les secteurs des infrastructures critiques, de l’éducation et de la santé, se trouvent en Australie, au Brésil, au Canada, en Colombie, en France, au Japon, aux Pays-Bas, en Serbie, au Royaume-Uni et aux États-Unis.

Group-IB a déclaré que les acteurs de Qilin fournissent également aux affiliés – qui sont recrutés pour identifier les cibles d’intérêt et organiser les attaques – un panel administratif pour superviser efficacement diverses parties de leurs opérations.

« Le groupe Qilin ransomware dispose d’un panel d’affiliés divisé en sections telles que Cibles, Blogs, Stuffers, Actualités, Paiements et FAQ pour gérer et coordonner son réseau d’affiliés », a déclaré le chercheur en sécurité Nikolay Kichatov.

  • Cibles – Une section pour configurer les notes de rançon, les fichiers, les répertoires et les extensions à ignorer, les extensions à chiffrer, les processus à terminer et le mode de chiffrement, entre autres
  • Blogues – Une section permettant aux affiliés de créer des articles de blog avec des informations sur les entreprises attaquées qui n’ont pas payé la rançon
  • Farces – Une section permettant aux pirates de créer des comptes pour les autres membres de l’équipe et de gérer leurs privilèges
  • Nouvelles – Une section pour publier des mises à jour liées à leurs partenariats de ransomware (actuellement vide)
  • Paiements – Une section contenant les détails des transactions, les soldes des portefeuilles des affiliés et les options de retrait des produits illicites
  • FAQ – Une section contenant des informations d’assistance et de documentation qui détaillent les étapes d’utilisation du ransomware

« Bien que le rançongiciel Qilin ait acquis une notoriété pour cibler les entreprises du secteur critique, il constitue une menace pour les organisations de tous les secteurs verticaux », a déclaré Kichatov.

« De plus, le programme d’affiliation de l’opérateur de rançongiciels ajoute non seulement de nouveaux membres à son réseau, mais il les arme avec des outils, des techniques et même une prestation de services améliorés. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.7/5 - (4 votes)
Publicité
Article précédentÉpisode 7 – Les dangers dans mon cœur
Article suivantLes 4 émissions Star Wars en direct classées du pire au meilleur
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici