Qilinランサムウェア・アズ・ア・サービス(RaaS)スキームの背後にいる脅威アクターは、被害者に支払いを促すために、アフィリエイトに法的助言を提供し始めています。このサイバー犯罪グループは活動を強化し、競合他社が残した空白を埋めようとしています。
この新機能は、イスラエルのサイバーセキュリティ企業Cybereasonによると、アフィリエイトパネル上の「弁護士に電話」機能の形を取っています。
この開発は、LockBit、Black Cat、RansomHub、Everest、BlackLockのようなかつて人気のあったランサムウェアグループが突然の停止、運用の失敗、改ざんを経験した中で、e犯罪グループの新たな復活を示しています。このグループは、Gold FeatherやWater Galuraとしても追跡されており、2022年10月から活動しています。
ランサムウェアグループが運営するダークウェブリークサイトから収集されたデータによると、Qilinは2025年4月に72人の被害者をリードしました。5月には、55件の攻撃の背後にいると推定され、Safepay(72件)やLuna Moth(67件)に次いでいます。また、年初からCl0pとAkiraに次いで3番目に活発なグループで、合計304人の被害者を主張しています。
“Qilinは、成熟したエコシステム、クライアント向けの広範なサポートオプション、そして高額な支払いを要求するように設計された非常にターゲットを絞った高インパクトのランサムウェア攻撃を保証する堅牢なソリューションにより、市場で急速に台頭しています。”とQualysは今週、このグループの分析で述べました。
RansomHubのために働いていたアフィリエイトがQilinに移行したことが、最近のQilinランサムウェア活動の急増に寄与していることを示す証拠があります。
“フォーラムやランサムウェア活動トラッカーでの存在感が増している中、Qilinは技術的に成熟したインフラを運営しています:RustとCで構築されたペイロード、高度な回避機能を備えたローダー、Safe Mode実行、ネットワーク拡散、ログクリーンアップ、自動交渉ツールを提供するアフィリエイトパネルを提供しています。”と研究者のMark TsipershteinとEvgeny Ananinは述べました。
“マルウェア自体を超えて、Qilinはスパムサービス、PBスケールのデータストレージ、法的ガイダンス、そして完全な運用機能を提供しており、単なるランサムウェアグループではなく、フルサービスのサイバー犯罪プラットフォームとして位置付けられています。”
他のグループの衰退と消滅は、Qilinアフィリエイトパネルへの新しい更新によって補完されており、新しい法的支援機能、社内ジャーナリストチーム、分散型サービス拒否(DDoS)攻撃を実行する能力が組み込まれています。もう一つの注目すべき追加は、企業のメールアドレスや電話番号にスパムを送信するためのツールです。
機能の拡張は、脅威アクターが単なるランサムウェアを超えたフルサービスのサイバー犯罪サービスとして自らをマーケティングしようとする試みを示しています。
“ターゲットに関する法的相談が必要な場合は、ターゲットインターフェース内にある「弁護士に電話」ボタンをクリックするだけで、法務チームが個別に連絡を取り、資格のある法的サポートを提供します。”と新しい機能を発表するフォーラム投稿の翻訳版に記載されています。
“チャットに弁護士が登場するだけで、会社に間接的な圧力をかけ、法的手続きを避けたい企業が身代金の額を増やす可能性があります。”
この開発は、Intrinsecが評価したように、Rhysidaの少なくとも1つのアフィリエイトが、侵害されたエンドポイントへのアクセスを維持し、追加のペイロードを配信するためのポストコンプロマイズツールとしてオープンソースユーティリティであるEye Pyramid C2を使用し始めたことを示しています。
注目すべきは、Eye Pyramid C2は、2024年第4四半期にRansomHubクルーに関連する脅威アクターによって展開されたPythonベースのバックドアと同じものを指します。
また、漏洩したBlack Bastaのチャットログの新しい分析に続いており、オンラインの別名「tinker」で知られる脅威アクターに光を当てています。彼らの実際の身元は現在不明です。
Intel 471によると、tinkerはグループのリーダーであるtrampの信頼できる助手の一人であり、かつてコールセンターを運営していた経験を持ち、BlackSuit(別名Royal)の交渉者としての経験を持ち、クリエイティブディレクターとして犯罪組織に参加しました。
“アクターtinkerは、組織への初期アクセスを確保する上で重要な役割を果たしました。”とサイバーセキュリティ企業は述べました。”漏洩した会話は、tinkerが財務データを分析し、被害者の状況を評価してから直接交渉に入ることを明らかにしています。”
脅威アクターは、電話やメッセージを通じて企業の上級スタッフに対して恐喝を行うために、オープンソースの調査を行い、連絡先情報を取得することに加えて、組織を侵害するためのフィッシングメールを書く任務を負っていました。
特にtinkerは、攻撃者がIT部門の従業員になりすまし、被害者にスパム攻撃を受けていると警告し、AnyDeskのようなリモートデスクトップツールをインストールしてシステムを保護するよう促すMicrosoft Teamsベースのフィッシングシナリオを考案しました。
“RMMソフトウェアがインストールされた後、発信者はBlack Bastaのペネトレーションテスターの一人に連絡し、その後、システムとドメインへの持続的なアクセスを確保するために移動しました。”とIntel 471は述べました。
漏洩したメッセージはまた、tinkerが2023年12月18日から2024年6月16日までの間に少なくとも105,000ドルの暗号通貨を受け取ったことを明らかにしています。とはいえ、彼らがどのグループで働いているのかは現在不明です。
この発見は、33歳の外国人メンバーの米国への引き渡しと一致しています。このメンバーは、Ryukランサムウェアグループの一員であり、初期アクセスブローカー(IAB)としての役割を果たし、企業ネットワークへのアクセスを促進したとされています。容疑者は、米国の法執行機関の要請により、今年4月にキエフで逮捕されました。
このメンバーは、”被害者企業の企業ネットワークの脆弱性を探すことに従事していました。”とウクライナ国家警察は声明で述べました。”ハッカーによって取得されたデータは、彼の共犯者によってサイバー攻撃を計画し実行するために使用されました。”
当局は、LockerGoga、MegaCortex、Dharmaランサムウェアファミリーのメンバーを対象とした2023年11月に行われた以前の襲撃で押収された機器の法医学分析を通じて、容疑者を追跡することができたと述べました。
他の場所では、タイの警察当局が、ランサムウェア操作を行うためのオフィスとして使用されていたパタヤのホテルを襲撃した後、数人の中国人と他の東南アジアの容疑者を逮捕しました。
ランサムウェアスキームは、6人の中国人によって運営されていたと言われており、企業に悪意のあるリンクを送信してランサムウェアに感染させていました。地元メディアの報道によると、彼らはサイバー犯罪ギャングの従業員であり、中国企業にトラップ付きリンクを配布するために支払われていました。
タイの中央捜査局(CIB)は今週、オーストラリアの複数の被害者を騙し、長期債券に投資するように促して高いリターンを約束するオンライン投資詐欺を運営していたとして、外国人十数人を逮捕したことを発表しました。
翻訳元: https://thehackernews.com/2025/06/qilin-ransomware-adds-call-lawyer.html