RHC Dark Lab : 19 Settembre 2024 08:19
Il qilin (dal cinese :麒麟) è una leggendaria creatura chimerica ungulata che appare nella mitologia cinese e si dice che appaia con l’imminente arrivo o la scomparsa di un saggio o di un illustre sovrano.
Il ransomware Qilin, è un esempio significativo della crescente complessità delle minacce cyber. Scoperto nel 2022, Qilin ha subito attirato l’attenzione per la sua capacità di colpire settori critici come la sanità e l’istruzione, in particolare nelle regioni dell’Africa e dell’Asia. Scritto in Rust e in C, Qilin offre un livello di personalizzazione senza precedenti che lo distingue dalla maggior parte degli altri ransomware. Gli operatori dietro questa minaccia possono modificare l’estensione dei file criptati, terminare processi specifici e regolare vari aspetti del comportamento del malware per adattarsi alle vittime, rendendo difficile una risposta uniforme.
Secondo quanto riportato da SentinelOne, le campagne ransomware di Qilin sono caratterizzate da una sofisticata struttura modulare che permette agli attori malevoli di modificare le operazioni e di selezionare processi da terminare in base al target specifico. Questo tipo di flessibilità è ciò che rende Qilin particolarmente insidioso, poiché ogni attacco può essere adattato alle difese della vittima, aumentando le possibilità di successo.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Dietro Qilin vi è un’organizzazione criminale altamente strutturata e organizzata, il “Qilin cybercrime group”, noto per aver preso di mira numerose vittime, includendo settori di importanza strategica. Come altre bande ransomware, Qilin utilizza tattiche di doppia estorsione: non solo criptano i dati, ma minacciano anche di pubblicarli online se non viene pagato un riscatto (seconda estorsione). Il gruppo opera principalmente su forum clandestini del dark web e si è dimostrato molto abile nell’eludere le forze dell’ordine internazionali.
Quando affrontiamo queste minacce, è fondamentale adottare un approccio strategico e investigativo aumentando le capacità di rilevamento delle minacce e adottando processi di cyber threat Intelligence.
Come sosteniamo da tempo, “conoscere i demoni è il primo passo per combatterli.” Seguendo questo modello del quale ci siamo fatti portavoce da tempo, RedHotCyber conduce costantemente interviste con i threat actors per aiutarci a comprendere le loro TTPs e aumentare conseguentemente le nostre difese. Approfondire le dinamiche interne di gruppi come Qilin permette non solo di anticipare i loro movimenti, ma anche di costruire difese più solide e reattive.
In un contesto in cui gli attacchi ransomware continuano a evolversi, è essenziale mantenere un approccio proattivo e adattabile per difendersi da queste minacce complesse e personalizzabili.
1 – RHC: Grazie ragazzi per aver accettato la nostra intervista. Siete un gruppo comparso nel 2022 e a quanto pare il vostro nome è stato derivato dal qilin (麒麟), una leggendaria creatura mitologica cinese. Sembra che dietro questo nome ci sia un “potente” messaggio, potete parlarci del perché del nome qilin?
Qilin: Siamo lieti di rispondere alle vostre domande. Cominciamo dall’ideologia. Avete capito bene che il nome Qilin affonda le sue radici nell’antica filosofia cinese. Come ogni simbolo antico, Qilin ha un’intera serie di significati, ognuna delle cui luci completa il quadro generale. Probabilmente sapete che l’apparizione di Qilin nell’antica Cina aveva un significato molto specifico. Il Qilin appariva sempre davanti agli occhi della gente prima che un grande guerriero o un grande saggio nascesse sulla Terra. Per questo motivo, i cinesi ritengono che il Qilin sia stato visto prima della nascita di Confucio. Inoltre, vorrei attirare la vostra attenzione sul fatto che Qilin è un drago ardente, spesso raffigurato con il corpo di un bufalo. Si tratta di un’evidente allusione al Toro di Wall Street. Per noi è ovvio che il toro americano si trasforma da aggressore a fuggitivo. E si capisce perfettamente di chi ha paura. Siamo certi che gli egemoni del passato, sotto forma di Stati Uniti e Paesi della vecchia Europa, stanno perdendo la loro influenza nel mondo anno dopo anno. Molto presto, da Paesi prosperi si trasformeranno in “cortili” del mondo, dilaniati da conflitti e guerre civili. E noi vogliamo fare di tutto perché questo accada il prima possibile. Siamo sostenitori di un mondo multipolare. E il nostro Qilin sarà molto presto calpestato dal toro da combattimento del mondo occidentale.
2 – RHC: Siete un rebrand di un gruppo ransomware già esistente o affiliati di altri RaaS che hanno deciso di mettersi in proprio? Il 2022, in effetti, coincide con la fine del gruppo REvil e del mitico “Happy Blog”, uno tra i primi data Leak Site.
Qilin: La nascita di Qilin non è in alcun modo collegata al crollo di REvil e del suo “Happy Blog”. Naturalmente, monitoriamo attentamente ciò che accade nel nostro settore e abbiamo tratto le giuste conclusioni dopo la chiusura di questa piattaforma. Non ripetiamo i loro errori. Ci avvaliamo dei migliori specialisti al mondo e, naturalmente, teniamo conto dell’esperienza dei nostri predecessori nell’implementazione della nostra soluzione tecnologica.
3 – RHC: Attualmente tra sviluppatori, affiliati, broker di accesso, quante persone gravitano attorno alla vostra organizzazione?
Qilin: Siamo spiacenti ma non possiamo rispondere a questa domanda per la nostra sicurezza. Posso solo dire che i nostri team lavorano in molti stati e che la struttura è decentralizzata.
4 – RHC: Se possibile potete darci un indice dei guadagni di una organizzazione tipo la vostra e che percentuale di questi vengono dirottati verso i vostri affiliati?
Qilin: Anche in questo caso, non siamo pronti a indicare cifre specifiche. Posso dire che non guadagniamo abbastanza. Lavoriamo secondo lo schema: 80% all’attaccante, 20% al servizio. La maggior parte di ciò che riceviamo va a sostenere varie associazioni che lottano per la libertà e l’indipendenza in tutto il mondo. Questa è un’ottima motivazione per aumentare il volume dei nostri attacchi e ampliare il numero dei nostri partecipanti.
5 – RHC: Parliamo ora dei punti di accesso delle vittime. Avete un reparto che scova vulnerabilità che vi consentono l’accesso alle reti delle vittime oppure vi affidate agli Initial Access Broker (IaB)?
Qilin: Posso rispondere in questo modo: utilizziamo tutte le possibilità e in ogni caso specifico un team sceglie il modo migliore per raggiungere il proprio obiettivo. A volte è più facile rivolgersi a un broker, ma il più delle volte preferiamo fare tutto da soli. Solo in questo caso possiamo essere completamente sicuri del risultato finale. Inoltre, ancora una volta, si tratta di questioni di sicurezza. Come diceva il già citato Confucio, è meglio pretendere da se stessi che chiedere agli altri.
6 – RHC: Generalmente, una volta all’interno della rete di una vittima, quanto tempo ci state prima di procedere a lanciare la cifratura dei dati?
Qilin : Possiamo ricordare un altro grande pensatore cinese, ovvero Sun Tzu e la sua arte della guerra. Sappiamo come aspettare. Naturalmente, tutto dipende dal caso specifico e dai compiti, ma possiamo rimanere nella rete della vittima per settimane: studiare il movimento dei processi aziendali, osservare come le persone negoziano all’interno dell’azienda… questo ci aiuta a capire come la vittima è abituata a giocare la partita e, di conseguenza, a vincere sul suo campo. E, naturalmente, ci piace guardare quando ogni sorta di stupido amministratore di sistema cerca di riparare qualcosa nella sua rete falla.
7 – RHC: Parliamo della vostra soluzione. In che modo il vostro ransomware si differenzia dagli altri ransomware come ad esempio i famosi LockBit 3.0 o Akira? Se doveste spiegare ad un potenziale affiliato perchè iniziare una collaborazione con voi, cosa direste dal punto di vista tecnico relativamente alla vostra soluzione?
Qilin: Non vorrei entrare nei dettagli tecnici, perché ogni soluzione ha i suoi pro e i suoi contro. Inoltre, non è etico. I colleghi hanno lavorato o lavorano secondo i propri principi e le proprie soluzioni, noi analizziamo attentamente la loro esperienza e prendiamo le nostre decisioni.
8 – RHC: Potete descrivere il tipo di crittografia utilizzata dal vostro ransomware? Come garantite che i file delle vittime rimangano inaccessibili senza la chiave di decrittazione?
Qilin: Guardare qualche vittima che cerca di decifrare è un piacere speciale. Nessuno ci è mai riuscito. Inoltre, stiamo imparando. E vorremmo rivolgerci a queste persone. Amici, ci stiamo annoiando! Non potreste assumere specialisti più competenti. Non abbiamo mai visto nulla di interessante nel loro lavoro, semplici banalità e gli strumenti più primitivi. I vostri specialisti a volte sembrano degli uomini di Neanderthal che hanno legato una pietra a un bastone e hanno colpito la cassaforte. A volte è divertente, ma molto spesso è semplicemente patetico.
9 – RHC: Il codice del vostro ransomware, parte da codici noti (come ad esempio la fuoriuscita del codice di Conti), oppure avete scritto tutto da zero?
Qilin : Potrei offendermi e chiudere la conversazione a questo punto. Non abbiamo Zuckerberg nel nostro team, non rubiamo né compriamo gli sviluppi di altre persone. Vi spiegherò con un esempio accessibile a tutti. State camminando per strada, un tizio si avvicina e vi dà un disco “con le sue canzoni”. Lo inserirete nel vostro computer? Qual è la probabilità che si tratti di roba davvero bella? Abbastanza alta. Qual è la probabilità che sia un virus? Ancora più alta. Ma la probabilità più alta è che contenga sia musica che virus. Come possiamo fidarci di un fornitore del genere? Dove sono le garanzie che qualsiasi codice scaricato dalla rete non sia stato compromesso? Se volete ottenere qualcosa di veramente unico e interessante, fatelo da soli.
10 – RHC: Il vostro ransomware sembra essere disponibile in due versioni diverse: Rust e GoLang. Quali sono le ragioni per cui utilizzate entrambi i linguaggi e come decidete quale sia il più adatto per una particolare campagna? Quali sono le principali sfide che dovete affrontare nello sviluppo e manutenzione sia in ambiente Windows che Linux?
Qilin: Questo è un grosso equivoco. Lavoriamo in Rust e in C. La scelta del linguaggio dipende dallo specifico team di sviluppatori che lavora sul codice.
11 – RHC: Che potete raccontarci tecnicamente un classico processo di infezione da parte di Qilin? Da quanto sappiamo utilizzate il phishing come vettore di attacco iniziale che immaginiamo vi consente injection di specifici loader. Lavorate utilizzando anche falle specifiche di sicurezza o misconfiguration, come ad esempio Remote code Execution o password banali su RDP?
Qilin: In breve, usiamo tutto. Virus, sploit e altri strumenti di cui non voglio parlare molto.
12 – RHC: Le vulnerabilità 0-day o 1-day giocano un ruolo cruciale nel successo di alcuni attacchi. Siete coinvolti nel mercato 0-day? Quanto queste vulnerabilità influenzano la vostra strategia di attacco?
Qilin : Come ho detto sopra, utilizziamo assolutamente tutto, comprese le vulnerabilità 0-day e 1-day. In pratica non utilizziamo il mercato 0-day, per i motivi descritti nella risposta alla domanda 9. Preferiamo cercare le vulnerabilità da soli per due motivi. È più sicuro. È più divertente.
13 – RHC: Potete dirci 3 RaaS che vi piacciono e il perché?
Qilin : Rispondendo a questa domanda, potrei dimenticare alcuni dei miei colleghi e quindi offenderli. Vorrei evitarlo. Tutti i team e gli sviluppatori hanno i loro pro e contro. Abbiamo il nostro percorso.
14 – RHC: Quali sono, secondo voi i fattori principali che ostacolano la capacità del settore della sicurezza informatica di prevenire e mitigare efficacemente le minacce ransomware come il vostro?
Qilin: Se c’è una porta, troveremo la chiave. Inoltre, non capisco il significato della parola “mitigare” in questo contesto. Spesso vediamo stupidi servizi di cybersicurezza che cercano di “mitigare” un hack. Ma se l’azione è compiuta, come si può neutralizzare? Il consiglio è uno solo: imparare. Giochiamo pulito e aspettiamo un avversario degno sul campo, ma troppo spesso ci imbattiamo nell’incompetenza e nella vera e propria stupidità dei servizi di cybersecurity. Naturalmente, siamo soddisfatti di questa situazione. Ma in questo caso sorge un’altra domanda. Perché le aziende spendono così tanto denaro per il lavoro di sciocchi non qualificati? Forse è meglio darci ragione subito?
15 – RHC: Il vostro gruppo è noto per colpire le organizzazioni sanitarie. Potreste spiegare le ragioni dietro il vostro programma e quali obiettivi vi spingono a concentrare gli attacchi in questo settore sapendo anche che particolari incidenti possono portare a perdite di vite umane?
Qilin: Questo non è vero. Non “prendiamo di mira le organizzazioni sanitarie”. Se si guarda oltre i titoli dei media di vendita e si studia da vicino il nostro lavoro, si capisce che non ci concentriamo su nessun settore in particolare.
16 – RHC: Alla luce dei recenti attacchi del vostro gruppo agli ospedali del servizio sanitario nazionale nel Regno Unito, avete dichiarato pubblicamente di non avere rimpianti e di non considerarvi colpevoli. Avete giustificato queste azioni come politicamente motivate, sostenendo che il governo britannico sta trascurando i bisogni di coloro che combattono in prima linea nel mondo libero. Potete chiarire l’apparente contraddizione tra le motivazioni finanziarie e le giustificazioni politiche (hacktivism) per questi attacchi? Queste azioni sono un incidente isolato o rappresentano un cambiamento più ampio negli obiettivi e nelle tattiche del vostro gruppo?
Qilin: Se parliamo di un attacco specifico agli ospedali del Servizio sanitario nazionale, in questo caso abbiamo dato il diritto di commentare il nostro lavoro agli autori dell’attacco, ragazzi ucraini di grande talento. Come ho già detto, molti team di tutto il mondo lavorano con noi. Ad esempio, forniamo software agli Houthi yemeniti. Per noi è stata una rivelazione, ma loro hanno ragazzi di grande talento. Le dirò la stessa cosa che dicono i politici: noi forniamo semplicemente uno strumento, un software che viene utilizzato da una serie di persone in tutto il mondo. Le faccio un esempio. I governi di Gran Bretagna, Stati Uniti, Germania e molti altri Paesi oggi forniscono armi alla stessa Ucraina. Si tratta di uno strumento per risolvere i problemi politici di un determinato Paese. Quando questi Paesi inviano armi all’Ucraina, pensano alle vittime civili? Al fatto che queste armi uccideranno anche i civili nel Donbass? Ovviamente no. Questo è incredibilmente fastidioso. Viviamo in un mondo in cui una vita di un abitante della Gran Bretagna vale più di cento, mille vite di abitanti dell’Eritrea, della Striscia di Gaza, del Pakistan… è una lista infinita! Ma l’intero “mondo civilizzato” si preoccupa solo del fatto che gli studenti di medicina sono stati costretti a trasportare da un ospedale all’altro le provette di urina dei residenti di Londra.
17 – RHC: I professionisti della sicurezza hanno recentemente identificato nuove tecniche impiegate dal vostro gruppo per la raccolta di credenziali. In particolare, il vostro gruppo si sta specializzando nell’estrazione di credenziali memorizzate in Google Chrome dopo essersi pazientemente infiltrato nelle reti delle vittime. Ritenete che questo approccio sia più redditizio ed efficiente? Questi dati vengono utilizzati successivamente anche per sostenere il modello di monetizzazione del vostro gruppo?
Qilin : Rispondo brevemente – usiamo tutto.
18 – RHC: Mentre gran parte della discussione pubblica sui gruppi di ransomware e sulle attività black-hat si concentra sulle vostre azioni, siamo curiosi di conoscere l’esperienza personale di questo stile di vita. Come gestisce le pressioni e le sfide associate a questo lavoro? Pensate di continuare a lavorare in questo settore a lungo termine o avete in programma una strada diversa? Ad esempio alcune gang (recentemente Alpha/Blackat) hanno effettuato un Exit imprevisto. Le piace il suo lavoro come membro di un RaaS o è solo un modo per guadagnare denaro?
Qilin: Non sentiamo alcuna pressione, stiamo andando alla grande. Stiamo vivendo la nostra vita migliore e ci godiamo ogni giorno. Certo, è un modo per fare soldi. Un’altra questione è come si usano i soldi. Il denaro non è il nostro obiettivo principale. Come ho detto, la maggior parte del denaro viene devoluto ai combattenti per la libertà e l’indipendenza in tutto il mondo. Per quanto riguarda le prospettive, è molto difficile parlarne. Stiamo lavorando con successo e abbiamo intenzione di continuare ed espandere le nostre attività. Non posso dire nulla sulle altre squadre, perché non le conosco. Posso solo dire che molte squadre sono ormai distrutte, mentre noi stiamo lavorando e prosperando.
19 – RHC: In seguito all’attacco di Promises2Kids, il vostro gruppo ha affrontato un significativo contraccolpo mediatico. Come valutate i guadagni finanziari di questi attacchi rispetto al danno potenziale a popolazioni vulnerabili come i bambini in affidamento? Come ha risposto il vostro gruppo a queste critiche e sfide?
Qilin: I media vedono e mostrano solo ciò che è redditizio. Bambini poveri, danni potenziali, bla bla bla… Rabbia, compassione, una piccola lacrima e un forte nitrito da cavallo dopo 10 minuti: ecco cosa sono i media moderni. Innescare, scorrere, innescare, scorrere e così via all’infinito. Masturbazione cerebrale: ecco i media moderni.
Date un’occhiata agli altri casi. Collaboriamo con i ragazzi di wikileaksv2: trovate il loro sito e guardate come analizzano alcuni dei casi. Negli archivi pubblicati potete trovare QUALCOSA che vi farà rizzare i capelli in testa. Io stesso ho letto diversi articoli e ho capito che l’hacking è la cosa migliore che possa capitare ad alcune aziende. E i vostri “media autorevoli” preferiti vedono sempre e solo la copertina. Un bel titolo, 5 righe di testo e via. Nessuno di loro ha studiato cosa c’è esattamente negli archivi pubblicati. Chi ne ha bisogno? Una ricerca approfondita è lunga e costosa. Hanno scritto di bambini malati, hanno provocato una reazione primordiale nel lettore e se ne sono dimenticati 10 minuti dopo. È una situazione disgustosa quella in cui ci hanno portato i social network e i media moderni. Nessuno capisce, nessuno va al cuore del problema. Vi svelerò un terribile segreto: a nessuno importa di questi bambini. Sia i media che i lettori.
20 – RHC: DarkLab, il gruppo che si occupa della cyber threat intelligence di Red Hot Cyber, ha individuato una tendenza crescente di operatori ransomware che prendono di mira le catene di fornitura. Il recente attacco di Qilin a Thonburi Energy Storage Systems, un partner di Mercedes, esemplifica questo approccio. Ritenete che prendere di mira le catene di fornitura sia più redditizio e più semplice che attaccare direttamente le aziende più grandi? Secondo la vostra esperienza, quali fattori contribuiscono alla crescente popolarità degli attacchi alle catene di fornitura?
Qilin : C’è un buon idioma che dice: una catena è forte solo quanto il suo anello più debole. Si possono spendere sei mesi e rompere la Mercedes, ma perché spendere tante risorse? “L’eccellenza suprema consiste nel rompere la resistenza del nemico senza combattere”. – Sun Tzu, L’arte della guerra.
21 – RHC: Se una azienda non paga il riscatto, come vi comportate? Oltre a pubblicare i dati sul vostro Data Leak Site, effettuate aste private per dati di particolare valore, come ad esempio i dati sanitari? Ci potete raccontare le vostre tattiche di monetizzazione in caso di mancato pagamento di un riscatto?
Qilin: Il nostro principio è l’onestà. Non inganniamo mai le nostre vittime, non chiediamo il riscatto due o tre volte. La vittima non compra i suoi dati da noi. Compra l’opportunità di evitare che questi dati finiscano nelle mani sbagliate. Se riceviamo un rifiuto, ovviamente utilizziamo tutti gli strumenti per ottenere il massimo profitto. Possiamo vendere i dati all’asta, possiamo contattare direttamente i concorrenti della vittima, possiamo pubblicare i dati ricevuti e distruggere completamente la reputazione dell’azienda. Francamente, non ci interessa se la vittima ci paga o meno. È nel suo interesse. In caso contrario, troveremo il modo migliore per utilizzare queste informazioni.
22 – RHC: Se doveste dire ad una azienda da quale parte cominciare per poter essere resiliente ad attacchi informatici che cosa consigliereste?
Qilin : Il consiglio principale è quello di stabilire un budget per il pagamento, o meglio ancora di agire per primi e concordare con noi in anticipo. Possiamo vendere l’immunità all’attacco. È come un vaccino Covid-19, ma efficace al 100% e senza complicazioni.
23 – RHC: Con l’introduzione di standard più rigidi come il NIS2 in ambito Europa, i governi stanno fornendo regole più rigide per anticipare futuri attacchi soprattutto alle infrastrutture critiche. Si sta anche iniziando a parlare di crittografia Post Quantistica. Pensate che tutto questo possa ostacolare in qualche modo il vostro lavoro?
Qilin: Anche noi attendiamo con ansia l’emergere della crittografia post-quantistica, perché vogliamo studiare questo strumento e naturalmente lo utilizzeremo negli attacchi futuri. Per quanto riguarda il lavoro dei governi e le “regole più severe”, questo è semplicemente ridicolo. Mentre loro adottano le loro regole e leggi, noi avremo già trovato dieci modi per aggirare questa protezione. Anche se, molto probabilmente, non saranno in grado di mostrarci nulla di nuovo.
24 – RHC: Come funziona la vostra suddivisione delle revenue con i vostri affiliati? Avevamo letto che trattenete il 15% dei riscatti. È cambiato ad oggi qualcosa ed è sempre una quota fissa?
Qilin : I partner ricevono l’80% dei loro portafogli. Possono indicare i loro portafogli crypro nelle lettere in modo che tutto sia estremamente onesto con noi. Noi riceviamo un modesto 20%.
25 – RHC: Qual è la visione a lungo termine per Qilin? Avete intenzione di espandere le vostre attività ad altri settori o regioni geografiche? Che novità riserverà il futuro?
Qilin : Aspettate. Abbiamo alcune idee che vi sorprenderanno. E questo è un eufemismo. Attualmente stiamo lavorando a diversi sviluppi promettenti.
26 – RHC: Grazie davvero per la disponibilità. Facciamo queste interviste per far comprendere ai nostri lettori che la cybersecurity è una materia prettamente tecnica e che per poter vincere la lotta contro il cybercrime occorre essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori, oppure alle potenziali vittime delle vostre operazioni?
Qilin: Grazie per le sue domande. A differenza di altri “media famosi”, lei ha affrontato questa intervista a mente fredda. Spero davvero che vi comporterete onestamente al momento della pubblicazione. Per quanto riguarda i desideri. Ho già spiegato più volte come dovrebbero comportarsi le potenziali vittime dei nostri attacchi. Preparate il vostro denaro sporco, lo prenderemo presto.
A questo link trovate l’intervista originale in lingua inglese fatta a Qilin ransomware.