Операторы ransomware-группировки Qilin продолжают расширять спектр предоставляемых услуг, добавив в свой арсенал юридические консультации для повышения эффективности вымогательских атак. Эксперты израильской компании Cybereason зафиксировали появление функции «Call lawyer» в партнерской панели злоумышленников, что свидетельствует о профессионализации киберпреступной деятельности.
Эволюция сервисной модели киберпреступников
Инновационный подход Qilin к организации ransomware-as-a-service (RaaS) включает создание полноценной команды специалистов различного профиля. Помимо традиционных технических решений, группировка теперь предлагает партнерам доступ к штатным юристам и журналистам, способным усилить психологическое давление на потенциальных жертв.
Юридические консультанты, согласно рекламным материалам злоумышленников, предоставляют профессиональную помощь в ведении переговоров с пострадавшими организациями. Их задача заключается в убеждении жертв о неизбежности финансовых потерь при отказе от выплаты выкупа, используя формальную аргументацию и профессиональную риторику.
Техническая инфраструктура и новые возможности
Помимо консультационных услуг, операторы Qilin значительно расширили техническую базу своей платформы. В апреле 2024 года в партнерскую панель были интегрированы следующие компоненты:
Хранилище данных объемом 1 петабайт, разделенное между личными нуждами партнеров и архивированием информации жертв. Инструменты для массовой рассылки спама через электронную почту и телефонные каналы. Средства организации DDoS-атак для дополнительного воздействия на инфраструктуру целевых организаций.
Статистика активности группировки
Аналитические данные демонстрируют резкий рост активности Qilin в 2024 году. В апреле на официальном сайте группировки появилась информация о 72 новых жертвах, а майские показатели составили 55 подтвержденных атак. Исследователи связывают такую динамику с миграцией части партнеров от конкурирующей группировки RansomHub.
Технологическое превосходство платформы
Специалисты Cybereason отмечают высокий уровень технической проработки инфраструктуры Qilin. Платформа предлагает партнерам полезные нагрузки, разработанные на языках программирования Rust и C, что обеспечивает высокую производительность и стабильность работы вредоносного кода.
Загрузчики malware оснащены продвинутыми механизмами уклонения от систем безопасности, включая возможность выполнения в Safe Mode, распространения по корпоративным сетям и автоматической очистки системных логов для сокрытия следов вторжения.
Экспертные оценки и рыночные тенденции
Аналитики компании Tripwire выражают скептицизм относительно реальной эффективности юридических консультаций, рассматривая данную инициативу как маркетинговый ход для привлечения новых партнеров и повышения успешности атак.
Тем не менее, эксперты Cybereason предупреждают о растущем влиянии Qilin на рынке RaaS-услуг. Ослабление позиций традиционных лидеров, включая LockBit, ALPHV, Everest и RansomHub, создает благоприятные условия для экспансии новых игроков.
Историческая справка
Группировка Qilin начала свою деятельность в августе 2022 года под названием Agenda, сменив брендинг спустя месяц после запуска. За относительно короткий период существования злоумышленники сумели создать одну из наиболее технологически продвинутых платформ в сфере ransomware-as-a-service.
Трансформация Qilin от простого поставщика вымогательского программного обеспечения в полнофункциональную экосистему киберпреступных услуг отражает общие тенденции профессионализации теневого IT-сектора. Организациям необходимо адаптировать стратегии кибербезопасности к эволюционирующим угрозам, включая психологические и юридические аспекты воздействия современных киберпреступников.