Arkana и Qilin: новая угроза в кибервымогательстве 2025 года

В марте 2025 года киберпреступное сообщество столкнулось с появлением программы-вымогателя Arkana, которая привлекла внимание громкой атакой на американского интернет-провайдера WideOpenWest (ВАУ!). Отчет последних исследований выявляет подробности деятельности Arkana, а также ее связь с сетью Qilin Network — одной из самых активных киберпреступных организаций текущего года.

Атака на WideOpenWest и масштабы утечки

Группа Arkana заявила о похищении обширных баз данных, включающих приблизительно 403 000 записей и 2,2 миллиона записей о клиентах. В ходе атаки злоумышленники получили контроль над серверными системами провайдера, включая платформы AppianCloud и Symphonica. Эти данные стали ключевой ставкой в их вымогательской стратегии и базой для дальнейших финансовых требований.

Связь Arkana с Qilin Network: программа-вымогатель как услуга

Arkana рассматривается как часть сети Qilin Network, представляющей собой RaaS (Ransomware-as-a-Service). Qilin Ransomware стала одной из наиболее активных угроз 2025 года, предлагая партнерам гибкие инструменты для проведения атак, включая настраиваемые методы шифрования и получения выкупа.

Интересен тот факт, что Arkana позиционирует себя под видом услуги “тестирования после проникновения”, скрывая реальную цель — вымогательство с использованием украденных данных. Их деятельность ведется через тёмный веб-сайт «Arkana Security», на котором публикуются примеры скомпрометированных данных и списки жертв, разделенные по категориям:

• требование выкупа;
• продажа украденных данных;
• публичное раскрытие информации (утечка).

Присутствие кириллических сообщений указывает на возможную связь с русскоязычными группами, однако точное географическое происхождение Arkana остается под вопросом.

Тактика и методы атаки Arkana

Основной принцип работы Arkana заключается в краже учетных данных, что позволяет проникать во внутренние корпоративные системы, включая платформы выставления счетов и административные панели. В ряде случаев нападения осуществлялись с использованием взломанных рабочих станций сотрудников, что упрощало перемещение в сети с помощью инструментов PsExec и программ удаленного доступа Citrix, AnyDesk.

Особенностью Arkana является психологическое давление на жертв — угрозы раскрытия украденных данных зачастую эффективнее, чем традиционное шифрование. Такая стратегия больше напоминает вымогательство данных (data extortion), нежели классическую Ransomware-атаку.

Отличия от Qilin Ransomware

В то время как Arkana ограничивается кражей и публикацией данных, Qilin Ransomware предоставляет своим партнерам полноценные возможности для нанесения ущерба, включая:

• использование настраиваемых методов шифрования;
• прямое заражение систем с последующим требованием выкупа;
• многообразие методов проникновения — от фишинга до эксплуатации уязвимостей;
• развертывание фреймворков типа Cobalt Strike и PowerShell loaders;
• направленность на стратегические отрасли — здравоохранение, государственный сектор и другие;
• комбинированное давление: утечка данных и системное шифрование.

Рекомендации по защите от Arkana и Qilin

Для противодействия угрозам со стороны Arkana и Qilin организации должны принимать комплекс мер, направленных на предотвращение кражи и распространения учетных данных:

• внедрение многофакторной аутентификации (MFA) для критически важных систем;
• установление строгих правил по использованию паролей;
• повышение осведомленности сотрудников о методах фишинга;
• использование современных решений для обнаружения вредоносных инструментов;
• мониторинг утечек данных в «темном интернете» для раннего выявления угроз.

Следование этим рекомендациям сможет значительно усилить безопасность и минимизировать риски кибератак от Arkana и связанных с ней группировок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.