Qilin.B атакует здравоохранение – борьба за жизни идёт на секунды

Исследователи из компании Halcyon обнаружили новую версию вымогательского ПО Qilin, известную как Qilin.B, с улучшенными тактиками для обхода защитных механизмов. Эта версия использует шифрование AES-256-CTR на системах с поддержкой AESNI, сохраняя ChaCha20 для других систем. Кроме того, применяются ключи RSA-4096 с OAEP-выравниванием, что исключает возможность расшифровки без приватного ключа злоумышленника.

Первые версии Qilin, известного также как Agenda, появились в июле-августе 2022 года. Изначально написанное на Golang, ПО позже перешло на язык Rust . С мая 2023 года схема вымогательства Qilin функционирует как сервис (RaaS), позволяя аффилиатам получать до 85% от суммы выкупа.

Новая версия Qilin.B отличается от традиционных атак с двойным вымогательством — вместо привычного шантажа она нацелена на кражу данных из браузера Google Chrome на заражённых устройствах. В числе других усовершенствований — более сложные методы шифрования и устранение сервисов, связанных с системами безопасности.

Qilin.B также завершает процессы, связанные с резервным копированием и виртуализацией, например, Veeam и SAP, что значительно осложняет восстановление данных. Программа автоматически очищает логи Windows и удаляет сама себя, минимизируя риск обнаружения.

Помимо Qilin.B, исследователи отметили новую угрозу — вымогательское ПО Embargo, распространяемое с помощью Rust-инструментов. Его атаки включают использование техники BYOVD (Bring Your Own Vulnerable Driver), что позволяет завершать работу средств защиты. В процессе атаки задействован вредоносный загрузчик MDeployer и инструмент MS4Killer, аналогичный открытому решению s4killer.

Растущая угроза вымогательских атак особенно ярко проявляется в здравоохранении. В этом финансовом году под атаки попали 389 медицинских учреждений в США, что привело к убыткам до 900 000 долларов в день. Среди известных группировок, нацеленных на больницы, — Lace Tempest, Sangria Tempest, Cadenza Tempest и Vanilla Tempest.

По данным Microsoft, из 99 медицинских организаций, признавших выплату выкупа, средняя сумма составила 4,4 миллиона долларов, а медианная — 1,5 миллиона.