СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.12.2025
#ИБ#ИИ

Qilin (Agenda): эволюция RaaS и угроза двойного вымогательства

Программа‑вымогатель Qilin, также известная как «Agenda», с момента появления в 2022 году превратилась в одну из заметных киберугроз, действующих по модели RaaS. После упадка RansomHub активность Qilin выросла: группа применяет тактику двойного вымогательства, сочетая шифрование данных с кражей конфиденциальной информации и угрозами публикации, чтобы усилить давление на жертв и получить выкуп.

Кому угрожает Qilin

Основные цели Qilin — организации с высокой финансовой или операционной ценностью. В прицеле группы находятся:

  • здравоохранение (включая медицинские лаборатории и клиники);
  • производство;
  • образование;
  • критическая инфраструктура;
  • государственные структуры — государственные и местные органы власти.

Географически активность Qilin концентрируется в Северной Америке и Европе. В числе известных инцидентов — значимая атака против британской медицинской организации Synnovis.

Тактики, техники и процедуры (TTPs)

Qilin использует широкий набор приемов для получения и удержания доступа к сетям жертв. Ключевые этапы операций включают:

  • целевой фишинг для первоначального доступа; фишинг остаётся основным методом — злоумышленники рассылают убедительные письма и используют фишинг‑сайты;
  • использование AI-generated content для повышения правдоподобия фишинговых кампаний и обхода фильтров;
  • подбор или применение уже скомпрометированных учетных записей, полученных через credential dumps;
  • последующая разведка сети — картирование инфраструктуры, установка VPN или RDP‑подключений, поиск доверительных отношений между доменами и уязвимых компонентов (включая серверы резервного копирования);
  • эксплуатация устаревших систем, неправильно настроенных служб удаленного доступа и масштабных распределённых сетей;
  • двойное вымогательство: шифрование и кража данных с угрозой публикации.

«Использование AI-generated content делает фишинговые сценарии гораздо убедительнее и сложнее для автоматического обнаружения», — отмечают аналитики.

Индикаторы компрометации (IOCs)

Для команд реагирования и SOC-ов важны характерные артефакты, позволяющие выявить и реконструировать инциденты. Среди IOCs, связанных с Qilin, наблюдаются:

  • ссылки и домены фишинг‑страниц;
  • домены‑двойники, в том числе подмена сервисов типа ScreenConnect;
  • конкретные пути установки и файловые шаблоны для развертывания пагубного ПО;
  • хэши файлов программы‑вымогателя;
  • IP‑адреса, связанные с Tor/C2-инфраструктурой;
  • пути и шаблоны файлов с заметками о выкупе.

Эти артефакты помогают обнаруживать следы прошлых вторжений и понимать схемы развертывания вредоносных операций Qilin.

Рекомендации по защите

Оборона от Qilin требует сочетания технических мер и повышения осведомлённости персонала. Рекомендованные шаги:

  • организация регулярного обучения сотрудников и целевых тренингов для руководителей — именно они часто становятся объектом фишинга;
  • усиление контроля удалённого доступа: безопасная настройка RDP, VPN и многофакторная аутентификация (MFA);
  • обнаружение и блокировка typosquatting‑доменов и фишинговых URL;
  • мониторинг использования легитимных облачных сервисов — злоумышленники активно используют legitimate cloud services для затруднения обнаружения;
  • регулярное обновление и патчинг систем, ограничение привилегий и сегментация сети, чтобы минимизировать распространение после компрометации;
  • создание и тестирование плана реагирования на инциденты, включающего сценарии двойного вымогательства и взаимодействие с правоохранительными органами;
  • сбор и корреляция IOCs в SIEM для быстрого обнаружения известных индикаторов.

Вывод

Qilin остаётся адаптивной и ориентированной на финансовую выгоду угрозой: сочетание RaaS‑модели, double extortion и использования AI делает ее опасной для организаций в критических секторах. Комплексная защита — от технических мер до непрерывной подготовки персонала — является ключом к снижению рисков и быстрому обнаружению атак. В современных условиях проактивный подход и корректная обработка IOCs позволяют существенно уменьшить вероятность успеха атакующих и сократить ущерб в случае инцидента.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: