Qilin.B атакует здравоохранение – борьба за жизни идёт на секунды

Qilin.B атакует здравоохранение – борьба за жизни идёт на секунды

Пациенты остаются без критической помощи, пока системы лежат под шквалом атак.

image

Исследователи из компании Halcyon обнаружили новую версию вымогательского ПО Qilin, известную как Qilin.B, с улучшенными тактиками для обхода защитных механизмов. Эта версия использует шифрование AES-256-CTR на системах с поддержкой AESNI, сохраняя ChaCha20 для других систем. Кроме того, применяются ключи RSA-4096 с OAEP-выравниванием, что исключает возможность расшифровки без приватного ключа злоумышленника.

Первые версии Qilin, известного также как Agenda, появились в июле-августе 2022 года. Изначально написанное на Golang, ПО позже перешло на язык Rust. С мая 2023 года схема вымогательства Qilin функционирует как сервис (RaaS), позволяя аффилиатам получать до 85% от суммы выкупа.

Новая версия Qilin.B отличается от традиционных атак с двойным вымогательством — вместо привычного шантажа она нацелена на кражу данных из браузера Google Chrome на заражённых устройствах. В числе других усовершенствований — более сложные методы шифрования и устранение сервисов, связанных с системами безопасности.

Qilin.B также завершает процессы, связанные с резервным копированием и виртуализацией, например, Veeam и SAP, что значительно осложняет восстановление данных. Программа автоматически очищает логи Windows и удаляет сама себя, минимизируя риск обнаружения.

Помимо Qilin.B, исследователи отметили новую угрозу — вымогательское ПО Embargo, распространяемое с помощью Rust-инструментов. Его атаки включают использование техники BYOVD (Bring Your Own Vulnerable Driver), что позволяет завершать работу средств защиты. В процессе атаки задействован вредоносный загрузчик MDeployer и инструмент MS4Killer, аналогичный открытому решению s4killer.

Растущая угроза вымогательских атак особенно ярко проявляется в здравоохранении. В этом финансовом году под атаки попали 389 медицинских учреждений в США, что привело к убыткам до 900 000 долларов в день. Среди известных группировок, нацеленных на больницы, — Lace Tempest, Sangria Tempest, Cadenza Tempest и Vanilla Tempest.

По данным Microsoft, из 99 медицинских организаций, признавших выплату выкупа, средняя сумма составила 4,4 миллиона долларов, а медианная — 1,5 миллиона.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь