Новият вариант на Qilin.B Ransomware се появява с подобрена енкрипция и тактики за прикриване

В динамично развиващия се свят на кибер заплахите, нов и опасен вариант на ransomware, наречен Qilin.B, излезе на сцената.

"MDeployer и MS4Killer са написани на Rust. Същото важи и за основния ransomware payload, което подсказва, че Rust е предпочитаният език за разработчиците на тази група."

Този конкретен вирус комбинира подобрени механизми за криптиране и тактики за прикриване, което го прави още по-голямо предизвикателство за екипите по киберсигурност. Според последните разузнавателни данни, разработчиците на Qilin.B използват Rust – език, който бързо се превръща във фаворит за създаването на високопроизводителни и трудно проследими злонамерени инструменти.

Rust: предпочитаният език за зловреден софтуер

Rust става избор номер едно за злонамерените лица поради своята ефективност и ниско ниво на контрол върху системните ресурси. Както MDeployer, така и MS4Killer, два от ключовите инструменти, свързани с атаките на Qilin.B, са написани на Rust, което подчертава нарастващото му използване от хакерските групи. Самият ransomware payload също не прави изключение. Написан изцяло на Rust, този код осигурява по-висока производителност, като същевременно остава труден за анализ.

Тази тенденция към използване на Rust от ransomware разработчиците представлява значителна заплаха, особено тъй като структурата на компилация на езика прави обратния инженеринг много по-труден за традиционните инструменти за киберсигурност. Това показва, че групата зад Qilin.B разполага с високи технически умения, които им позволяват по-бързо да криптират системите на жертвите и успешно да избегнат много от стандартните системи за откриване.

Опустошителното въздействие върху здравните институции

Особено тревожен аспект на Qilin.B е неговото фокусиране върху здравни институции. Според данни, споделени от Microsoft, 389 здравни организации в САЩ са били ударени от ransomware атаки през тази финансова година. С разходи от до 900,000 долара на ден заради престой, тези организации изпитват сериозни финансови и оперативни загуби.

Някои от най-активните ransomware групи, известни с атаките си срещу болници, включват Lace Tempest, Sangria Tempest, Cadenza Tempest и Vanilla Tempest. Всяка от тези групи адаптира своите стратегии, за да насочи атаките си към критични сектори като здравеопазването, където прекъсванията могат буквално да струват животи.

Финансово въздействие: нарастващи суми за откуп

Финансовата тежест върху здравните организации се е увеличила драматично. От 99 здравни организации, които признаха, че са платили откупа, средната сума за откуп е била 1.5 милиона долара, докато средната стойност е скочила до 4.4 милиона долара. Тези цифри показват трудните решения, пред които са изправени много организации – да платят откупа или да рискуват дълъг престой, което може да има катастрофални последици за грижите за пациентите и за бизнес продължителността.

Подобрена енкрипция и тактики за избягване на откриване

Основната сила на Qilin.B е неговата подобрена енкрипция. Ransomware използва многостепенни енкрипционни алгоритми, които правят декриптирането почти невъзможно без ключа на атакуващите. Всеки слой допълнително усложнява процеса на декриптиране, правейки традиционните инструменти за декриптиране безполезни.

По отношение на избягването на откриване, зловредният софтуер използва напреднали анти-откривателни техники, включително избягване на sandbox и инжектиране в паметта. Той също така избягва изпълнението на машини, маркирани като изследователски или виртуални среди, което пречи на анализаторите да проучат неговото поведение. Освен това, вирусът използва легитимни системни процеси, за да остане скрит, докато криптира файлове, което затруднява откриването от антивирусни програми, базирани на сигнатури.

С разрастващите се ransomware варианти като Qilin.B, които стават все по-сложни, техният фокус върху критични сектори като здравеопазването увеличава последствията от тези атаки. С нарастващото използване на Rust като предпочитан език за злонамерени софтуери, традиционните защитни механизми трябва да се развиват. Организациите, особено тези в здравния сектор, трябва да дадат приоритет на напреднали решения за откриване на заплахи, да увеличат инвестициите в планове за реакция при инциденти с киберсигурност и да обучат своя персонал относно тактиките за смекчаване на ransomware атаки.

Нарастващите финансови загуби, както от откупи, така и от престои, подчертават необходимостта от проактивни мерки за сигурност. Само чрез силни защитни стратегии организациите могат да останат крачка напред пред все по-софистицираните ransomware групи.