在网络犯罪生态系统中的重大转变中,麒麟勒索软件集团在2025年4月飙升,根据最新的威胁情报报告,在全球范围内策划了74次网络攻击。
兰森枢纽(RansomHub)意外消失,自2024年初以来一直主导勒索软件领域,但在4月份其数据泄露网站下线之前,该公司仅声称三次攻击。
Qilin麒麟的崛起代表了勒索软件即服务(RaaS)市场的重大调整,许多附属公司在RansomHub衰落后寻求新的忠诚。
麒麟的攻击表现出了显着的地理多样性,在北美,欧洲和亚太地区都有大量存在。
虽然美国仍然是4月份最有针对性的国家,共有234次勒索软件攻击,但麒麟在多个大陆上成为一个强大的威胁。
该集团特别关注软件,制造和关键基础设施领域的高价值目标,提出了一种旨在最大限度地提高赎金潜力的复杂受害者选择方法。
identifiedCyble研究人员在Qilin的操作策略中发现了一种令人担忧的模式,并指出该小组特别强调在加密之前进行数据泄漏。
这种“双重勒索”方法在最近的竞选活动中变得越来越精致,该组织声称仅在4月份就从一家法国运输软件提供商那里窃取了超过1.1TB的数据,并在4月份从韩国一家大型工业集团窃取了大约1TB的数据。
ransomware勒索软件攻击的全球影响实际上从3月的564降至4月的450,为2024年11月以来的最低水平。
然而,分析师警告说,这种暂时的下降可能反映了过渡期,因为附属公司与新兴的RaaS领导者重新调整,而不是勒索软件威胁活动的任何可持续减少。
勒索软件攻击的长期趋势仍然决定性地向上。
感染链分析
对麒麟的感染机制进行更深入的检查,揭示了一个复杂的多阶段过程。
最初的妥协通常始于包含恶意文档附件的有针对性的网络钓鱼电子邮件,这些电子邮件利用了文档处理应用程序中的已知漏洞。
执行后,第一阶段的加载程序,通常伪装成合法的系统过程,通过注册表修改建立持久性:
New-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SystemHealthMonitor" -Value "C:\Windows\System32\wscript.exe //B //E:jscript C:\ProgramData\svchost.js" -PropertyType String -Forcemalware该脚本使恶意软件能够在系统重新启动中幸存下来,之后它开始全面的网络侦察以识别加密的关键资产。
麒麟的勒索软件展示了先进的规避能力,包括检测虚拟化环境,如果存在分析工具,则终止自身。
在部署其加密程序之前,恶意软件通过加密通道窃取数据以命令和控制服务器,这些服务器主要位于国际合作有限的司法管辖区。
麒麟的攻击链从初始访问到数据加密,突出了在初始妥协和勒索软件部署之间通常观察到的关键4小时窗口。
相对较短的时间框架强调了实时检测和响应功能的必要性,以防止成功的攻击。
麒麟作为4月份领先的勒索软件威胁的出现标志着勒索软件格局的不断发展,新演员迅速填补了离开的团体留下的空白,并展示了越来越复杂的技术能力。
发表评论
您还未登录,请先登录。
登录