Qilin: переработанный Cyberduck и стратегия двойного вымогательства

Группа вымогателей Qilin, ранее известная как Agenda, активизировала кампанию во второй половине 2025 года: по данным отчёта, злоумышленники ежемесячно публиковали более 40 случаев компрометации данных. Их тактика — привычная для современных операторов вымогателей — сочетает шифрование и публичное раскрытие похищенной информации, что значительно увеличивает давление на жертв и шансы получить выкуп.

Масштабы и приоритетные цели

Наибольшим приоритетом для Qilin стал производственный сектор, за которым следуют профессиональные и научные услуги и оптовая торговля. Такая выборка целей говорит о стремлении атакующих получить доступ к инфраструктуре с критическими данными и операционными процессами, где ущерб от остановки производства и репутационные риски высоки.

Ключевые методы и инструменты

Анализ инцидентов показывает, что Qilin использует широкий набор техник, соответствующих классическим категориям MITRE ATT&CK: первоначальный доступ, перемещение внутри сети, повышение привилегий, обход средств защиты и эксфильтрация данных.

• Эксплойты и атрибуция: обнаружены эксплойты с признаками восточноевропейских связей, однако окончательная атрибуция остаётся неопределённой.
• Модифицированный Cyberduck: инструмент с открытым исходным кодом Cyberduck был существенно переработан для эксфильтрации данных; это позволяет маскировать трафик под легитимную передачу в облако.
• Использование доброкачественных программ: в журналах фигурируют notepad.exe и mspaint.exe, которыми злоумышленники просматривают конфиденциальные файлы перед эксфильтрацией.

Сценарии первоначального доступа

• Использование административных учётных данных, просочившихся в Интернет.
• Доступ через VPN и изменение настроек групповой политики для получения доступа по RDP.
• Широкое применение легитимных административных инструментов, таких как PsExec, для распространения вредоносных исполняемых файлов.

Поведение после компрометации

После получения доступа противники проводят разведку с помощью команд «whoami» и «tasklist», а также применяют инструменты для кражи учётных данных, в том числе mimikatz. Для перемещения внутри сети и повышения привилегий используются попытки изменить настройки RDP, конфигурации брандмауэра и аутентификация по NTLM с применением украденных учётных данных.

• В качестве инструментов постэксплуатации отмечены Cobalt Strike и SystemBC.
• Для маскировки действий и обеспечения стабильного доступа злоумышленники отключают защитные механизмы Windows — в том числе проверку сертификатов AMSI и элементы TLS — и настраивают постоянную связь с серверами управления.

Механика вымогательства и устойчивость внедрения

Тактика Qilin включает «двойное вымогательство»: параллельно со шифрованием файлов злоумышленники публикуют украденные данные, повышая шансы на выплату выкупа. Набор вредоносных компонентов демонстрирует двойное развертывание:

• encryptor_1.exe распространяется по узлам сети через PsExec;
• encryptor_2.exe запускается с одного компьютера и влияет на многочисленные сетевые ресурсы.

Отдельная версия, Qilin.Variant B, содержит закодированные целевые показатели и полагается на конфигурационные файлы, определяющие параметры шифрования и перечень служб для остановки. Выполнение дополнительно скрывается за механизмами закрепления: создание запланированных задач, изменения реестра для автозапуска, отключение теневых копий (Volume Shadow Copy) для затруднения восстановления.

Соответствие MITRE ATT&CK и операционная дисциплина

Операция демонстрирует широкий набор классифицированных TTP, описанных в MITRE ATT&CK, включая:

• Initial Access: компрометация учётных данных, VPN, изменение GPO для RDP;
• Execution & Persistence: запуск шифровальщиков, запланированные задачи, изменения реестра;
• Credential Access: mimikatz, сбор NTLM-учётных данных;
• Lateral Movement: PsExec, удалённое выполнение;
• Defense Evasion: отключение AMSI/TLS, использование легитимных программ;
• Exfiltration: модифицированный Cyberduck, маскировка трафика под легитимный.

«Qilin применяет стратегию двойного вымогательства, сочетая шифрование и публичную публикацию похищенных данных для максимального давления на жертв».

Рекомендации для защиты

На основе выявленных TTP эксперты дают практические рекомендации, которые помогут уменьшить риск успешной компрометации и ограничить ущерб в случае инцидента:

• Внедрить многофакторную аутентификацию (MFA) для VPN и доступа к критическим системам; ограничить доступ по RDP и применять jump-box.
• Защитить и регулярно меняться привилегированные учётные записи; использовать LAPS и минимальные привилегии.
• Мониторить и блокировать использование инструментов типа PsExec, аномальный запуск notepad.exe/mspaint.exe на серверах и подозрительные сетевые соединения к облачным ресурсам.
• Внедрить EDR/NSM с детекцией сигналов, связанных с mimikatz, Cobalt Strike, SystemBC и изменением настроек AMSI/TLS.
• Защитить резервные копии: регулярные, иммутабельные и офлайн-резервные копии; обеспечить контроль доступа к VSS и предотвратить удаление shadow copies.
• Ограничить исходящие подключения и контролировать доменные имени облачных сервисов; анализировать трафик для выявления модифицированного Cyberduck.
• Проводить регулярный аудит GPO, журналов безопасности и мониторинг командной активности (например, массовые вызовы whoami, tasklist).

Вывод

Операция Qilin — пример организованной, эволюционирующей угрозы с продуманной операционной дисциплиной. Комбинация легитимных инструментов, модифицированных утилит и проверенных техник обхода защиты делает группу особенно опасной для организаций с недостаточно жёсткой моделью управления доступом и резервного копирования. Последовательная реализация рекомендаций по защите и непрерывный мониторинг атакующих TTP остаются ключевыми мерами противодействия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.