TTL OSINT

04.07.2024 101 2 мин.

Насыщенная повестка дня: Darktrace обнаружила оператора Qilin Ransomware-as-a-Service.

Компания Darktrace, занимающаяся кибербезопасностью, отслеживает операцию Qilin ransomware-as-a-service (RaaS), которая наблюдается с октября 2022 года. Программа-вымогатель Qilin известна своей тактикой двойного вымогательства, когда украденные данные угрожают опубликовать на сайте утечки, размещенном на Tor. Программа-вымогатель Qilin содержит образцы, написанные на Golang и Rust, что делает ее настраиваемой для различных операционных систем и целей. Партнеры могут настраивать такие параметры, как режим шифрования, расширения файлов и завершаемые процессы. Программа RaaS имеет привлекательную структуру платежей, при этом партнеры получают процент от выплаты выкупа. В июне 2022 года и апреле 2023 года Darktrace обнаружила атаки программ-вымогателей Qilin, в ходе которых злоумышленники получали первоначальный доступ через VPN, RDP и незащищенные приложения. Атаки включали в себя перемещение по сети, утечку данных и составление уведомлений о требовании выкупа. Darktrace RESPONSE™ не был активен в случае с апрелем 2023 года, и заказчику пришлось вручную устранять компрометацию.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator

Примеры признаков компромисса:

• 184.168.123.220
• 184.168.123.230
• 184.168.123.247
• 184.168.123.229
• 91.238.181.230

Источник: TTL OSINT