Qilin.B Ransomware

Sa pamamagitan ng Mezo sa Ransomware

Isalin To:

Natukoy ng mga espesyalista sa cybersecurity ang isang pinahusay na bersyon ng Qilin Ransomware, na nagpapakita ng mas kumplikado at pinong mga diskarte upang maiwasan ang pagtuklas.

Ang variant na ito ay naka-catalog na ngayon ng mga eksperto bilang Qilin.B. Kapansin-pansin, gumagamit ang Qilin.B ng AES-256-CTR encryption sa mga system na may suporta sa AESNI, habang pinapanatili ang paggamit ng Chacha20 sa mga system na walang ganitong kakayahan. Upang protektahan ang mga susi sa pag-encrypt, isinasama nito ang RSA-4096 sa OAEP padding, na tinitiyak na ang pag-decryption ay hindi magagawa nang walang alinman sa pribadong key ng umaatake o pagkuha ng mga partikular na halaga ng binhi.

Talaan ng mga Nilalaman

Ang Qilin Threat ay Inaalok sa pamamagitan ng RaaS Scheme

Sa una ay kilala bilang Agenda, ang Qilin Ransomware ay nakakuha ng pansin mula sa komunidad ng cybersecurity noong Hulyo at Agosto 2022. Ang mga unang bersyon ay binuo sa Golang ngunit kalaunan ay inilipat sa Rust.

Ayon sa isang ulat noong Mayo 2023, ang modelo ng Ransomware-as-a-Service (RaaS) para sa Qilin ay naglalaan sa pagitan ng 80% at 85% ng bawat pagbabayad ng ransom sa mga kaakibat nito. Ang mga kamakailang pag-atake na nauugnay sa pagpapatakbo ng ransomware na ito ay nakatuon sa pag-aani ng mga kredensyal na nakaimbak sa Google Chrome sa ilang piling nakompromisong system, na minarkahan ang pagbabago mula sa karaniwang dobleng taktika ng pangingikil.

Ang Qilin.B Ransomware ay Nagpapakita ng Pinalawak na Mga Kakayahang Mapahamak

Ang pagsusuri sa variant ng Qilin.B ay nagpapakita na ito ay binuo sa mga nakaraang bersyon na may pinalawak na mga opsyon sa pag-encrypt at pinong mga taktika sa pagpapatakbo.

Kabilang dito ang paggamit ng AES-256-CTR o Chacha20 encryption habang aktibong lumalaban sa pagsusuri at pagtuklas sa pamamagitan ng pag-shut down ng mga serbisyong nakatali sa mga tool sa seguridad, regular na pag-clear sa Windows Event Logs, at pagtanggal sa sarili pagkatapos ng pagpapatupad. Bukod pa rito, nilagyan ito upang wakasan ang mga prosesong nauugnay sa mga backup at virtualization tool tulad ng Veeam, SQL, at SAP at alisin ang Shadow Volume Copies, na ginagawang mas mahirap ang pagbawi.

Ang advanced na pag-encrypt ng Qilin.B, mga sopistikadong diskarte sa pag-iwas, at naka-target na pagkagambala sa mga backup na serbisyo ay naglalagay nito bilang isang partikular na kakila-kilabot na variant ng ransomware.

Ang Mga Panganib ng Ransomware

Ang Ransomware ay isa pa rin sa mga pinaka nakakagambalang banta sa cyber, na nakakaapekto sa mga indibidwal at negosyo. Gumagana ang ganitong uri ng pagbabanta sa pamamagitan ng pag-encrypt ng mga file sa naka-target na system, pag-lock ng mga user sa kanilang sariling data maliban kung binabayaran ang isang ransom. Ang mga kahilingan sa ransom ay maaaring mula sa ilang daang dolyar hanggang milyon-milyon, depende sa kung gaano kahalaga ang nakompromisong impormasyon sa biktima. Gayunpaman, kahit na binayaran ang isang ransom, walang katiyakan na susundin ng mga umaatake ang isang decryption key, na nag-iiwan sa mga biktima sa dobleng pagkawala—sa pananalapi at sa accessibility ng data.

Higit pa sa mga pagkalugi sa pananalapi, ang mga pag-atake ng ransomware ay maaaring seryosong makagambala sa mga operasyon. Ang mga kumpanya ay maaaring magdusa mula sa matagal na downtime, pagkawala ng kumpiyansa ng customer, at posibleng harapin ang mga legal na kahihinatnan kung malantad ang sensitibong data. Ang stress at kawalan ng katiyakan ng pagharap sa ransomware ay maaari ding magdulot ng makabuluhang emosyonal na epekto sa parehong mga indibidwal at organisasyon.

Epektibong Istratehiya sa Pagtatanggol ng Ransomware

Mga Nakagawiang Pag-backup : Isa sa pinakamalakas na panlaban ay ang pagpapanatili ng madalas na pag-backup ng mahahalagang file. Tinitiyak ng isang organisadong backup na plano, kabilang ang mga off-site o cloud-store na snapshot, na mababawi ang mga file kung may mangyari na pag-atake, na inaalis ang pangangailangang magbayad ng ransom.
Maaasahang Software ng Seguridad : Ang paggamit ng mga mahusay na itinuturing na tool sa seguridad na nag-aalok ng real-time na proteksyon ay maaaring makatulong sa pag-detect at pag-block ng ransomware bago nito makompromiso ang iyong system. Tinitiyak ng regular na pag-update sa mga tool na ito na makikilala nila ang mga umuusbong na banta.
Pagsasanay sa Kamalayan ng Empleyado : Ang mga pag-atake ng ransomware ay kadalasang nagsasamantala sa pagkakamali ng tao sa pamamagitan ng phishing o social engineering. Ang pagbibigay ng regular na pagsasanay para sa mga empleyado sa pagtukoy ng mga kahina-hinalang email at link ay maaaring makabuluhang mapababa ang panganib ng hindi sinasadyang mga impeksyon sa ransomware.
Mga Update ng Software at System : Karaniwang sinasamantala ng mga cybercriminal ang mga kahinaan sa lumang software upang mag-deploy ng ransomware. Ang pagpapanatiling napapanahon sa lahat ng system at application ay maaaring makatulong na maiwasan ang mga kahinaang ito mula sa pagsasamantala.
Network Segmentation : Para sa mga organisasyon, ang pagse-segment ng mga network ay maaaring mabawasan ang pagkalat ng ransomware sa pamamagitan ng paghihiwalay ng mga kritikal na asset. Sa paggawa nito, maaaring maglaman ang mga kumpanya ng pag-atake, pagprotekta sa sensitibong data at pagliit ng potensyal na pinsala.
Mga Kontrol sa Pag-access : Pagpapatupad ng mahigpit na mga limitasyon sa mga pahintulot sa pag-access na maaaring tumingin o magbago ng mga sensitibong file. Binabawasan nito ang posibilidad ng mga hindi awtorisadong pagkilos na maaaring magresulta sa pag-atake ng ransomware.

Sa pamamagitan ng pagsasama ng mga proactive na hakbang sa seguridad na ito, mapapalakas ng mga user ang kanilang depensa laban sa ransomware at mabawasan ang posibilidad na maging biktima ng mga nakakapinsalang pag-atake na ito.