Qilin’s Dark Web Ransomware Targets Critical Sectors
2023/05/15 InfoSecurity — Qilin ランサムウェア・グループの、オペレーションおよび Ransomware-as-a-Service (RaaS) プログラムに関する、新たな情報が明らかになった。Group-IB の Threat Intelligence Team は、最新の調査研究の一環として Qilin 内部に潜入した。そこから得られた分析の結果として、重要セクターをターゲットとしていることや、採用されている高度な技術に関する洞察が明らかになったと述べている。Qilin は Agenda とも呼ばれるランサムウェアであり、2022年8月に発見されてから、深刻な脅威として浮上しているとのことだ。
Group-IB の Threat Intelligence Analyst である Nikolay Kichatov は、「プログラミング言語として Rust/Go を採用する Qilin は、高度にカスタマイズされた回避的なランサムウェア攻撃より、重要セクターの企業を積極的にターゲットにしてきた。Rust の亜種は、回避しやすく解読が難しいという性質に加えて、Windows/Linux などの OS に対応する、マルウェアのカスタマイズも容易になるため、ランサムウェア攻撃において有効である。Qilin ランサムウェア・グループが、Windows/ESXi 版を生成する能力を持っていることに注目する必要がある」と述べている。
Qilin による一連の攻撃では、二重恐喝の手法が用いられているため、被害者のデータが暗号化されるだけではなく、機密情報の流出も生じている。
Qilin の管理画面にアクセスした Group-IB の研究者は、Qilin RaaS プログラム内のアフィリエイト構造と支払いメカニズムについて、これまでにない洞察を得たと述べている。そのアフィリエイト・パネルが提供するものには、ターゲット/ブログ/スタッファー/ニュース/支払い/FAQ などのセクションがあり、このネットワークにおける調整と管理について包括的に理解することが可能だ。
さらに、Group-IB が Qilin ダークウェブを分析した結果として、2022年7月〜2023年5月に、同グループは 12件の被害者に関する情報を、専用のリークサイトに掲載したことが判明した。これらの被害者は、オーストラリア/ブラジル/カナダ/コロンビア/フランス/オランダ/セルビア/英国/米国/日本などの、さまざまな国々にまたがっている。
また、今回の調査では、Qilin ランサムウェアの攻撃を防止/防御するための貴重な提言も行われている。その内容として挙げられるのは、多要素認証 (MFA) の導入/堅牢なデータ・バックアップ戦略の維持/高度なマルウェア検出ソリューションの活用/セキュリティ・パッチの優先適用/従業員トレーニングの実施/脆弱性の積極的監視などである。
最近の SentinelOne アドバイザリでも、Linux システムを標的とする脅威グループの1つとして、Qilin への警戒が言及されている。
本文末にある SentinelOne アドバイザリですが、それをベースにした記事が 2023/05/12 の「Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された」です。この記事では、Babuk の亜種 10件が列挙されていますが、そこには Qilin も Agenda もありません。帰属に関する調査は時間がかかるので、これから関連性などが解明されるのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.