СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
09.05.2025
#Dev#ИБ

Хакеры из Qilin захватили лидерство среди вымогателей и установили антирекорд по числу атак за месяц

Хакеры из Qilin захватили лидерство среди вымогателей и установили антирекорд по числу атак за месяц

изображение: recraft

Группа Qilin, известная также под псевдонимом Agenda, в апреле 2025 года вышла на первое место среди преступных коллективов, занимающихся вымогательскими атаками. Эксперты Group-IB сообщили, что только за один месяц на их «витрине утечек» были опубликованы данные 72 атакованных организаций — это стало новым максимумом за весь период наблюдений.

До недавнего времени подобных показателей не фиксировали: с июля 2024 по январь 2025 эта цифра едва превышала 20–23 публикации в месяц. С февраля же рост оказался стремительным — сначала 48 пострадавших, затем 44, а уже в середине апреля — ещё 45.

Аналитики Group-IB полагают, что катализатором такого резкого скачка стало исчезновение конкурентов. После того как в тени ушла структура RansomHub, занимавшая вторую строчку по числу кибератак, часть её сообщников перешла под крыло Qilin. Такое пополнение кадров стало движущей силой расширения масштабов атак. По информации, собранной командой Flashpoint, RansomHub за период с апреля 2024 по апрель 2025 успела атаковать 38 предприятий, связанных с финансовыми потоками, а затем стремительно исчезла с радаров.

Новая волна активности Qilin опирается на свежий технический арсенал. В рамках атак используется комбинация известных и недавно созданных вредоносных компонентов. Специалисты обнаружили, что в связке применяется троянец SmokeLoader, а также новый загрузчик, созданный с использованием платформы .NET и обозначенный как NETXLOADER.

Исследовательская команда Trend Micro тщательно проанализировала структуру NETXLOADER и пришла к выводу, что он является ядром всей инфраструктуры заражения. Этот загрузчик незаметно внедряет вредоносные модули, в том числе и саму платформу Agenda, обходя большинство защитных механизмов. Его код скрыт с помощью инструментов защиты .NET Reactor шестой версии, а поведение модуля маскируется через сложные алгоритмы.

Специалисты отметили, что разбор такого инструмента практически невозможен без применения песочниц или работы в живой среде. Имена функций намеренно сделаны неразборчивыми, а логика исполняемого кода многократно усложнена. Среди методов, применяемых для сокрытия, указаны перехват вызовов JIT-компилятора и прямое внедрение библиотек в память без задействования стандартных файлов. Это исключает возможность анализа по исходному коду или строкам — требуется только динамическое изучение.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: