Microsoft mengatakan kelompok penjahat dunia maya Scattered Spider telah menambahkan ransomware Qilin ke dalam gudang senjatanya dan kini menggunakannya dalam serangan.
“Pada kuartal kedua tahun 2024, pelaku ancaman yang bermotivasi finansial Octo Tempest, pelaku ancaman ransomware yang paling banyak dipantau, menambahkan RansomHub dan Qilin ke muatan ransomware dalam kampanye mereka,” Microsoft mengatakan Senin.
Setelah muncul pada awal tahun 2022, kelompok ancaman ini (juga dilacak sebagai Octo Tempest, UNC3944, dan 0ktapus) mencapai ketenaran setelah 0ktapus kampanye yang menargetkan lebih dari 130 organisasi terkenal, termasuk Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games, dan Best Buy.
Geng berbahasa Inggris juga memiliki sistem MGM Resorts yang dienkripsi setelah bergabung dengan ransomware BlackCat/ALPHV sebagai afiliasi pada pertengahan tahun 2023 dan ditautkan oleh Symantec ke RansomHub ransomware-sebagai-layanan.
Pada bulan November, FBI dan CISA mengeluarkan sebuah nasihat menyoroti taktik, teknik, dan prosedur (TTP) Scattered Spider. Ini termasuk menyamar sebagai karyawan IT untuk mengelabui staf layanan pelanggan agar memberi mereka kredensial atau mendapatkan persistensi pada jaringan target menggunakan alat akses jarak jauh.
Taktik lain yang diketahui mereka gunakan untuk akses jaringan awal meliputi phishing, MFA bombing (alias kelelahan MFA), dan pertukaran SIM.
Itu Ransomware Qilin Operasi yang baru saja diikuti oleh Scattered Spider muncul pada bulan Agustus 2022 dengan nama “Agenda” tetapi berganti nama menjadi Qilin hanya dalam waktu satu bulan.
Selama dua tahun terakhir, kelompok Qilin telah mengklaim lebih dari 130 perusahaan di situs kebocoran web gelapnya; namun, operator mereka tidak aktif sampai serangan meningkat menjelang akhir tahun 2023.
Sejak Desember 2023, Qilin juga telah mengembangkan salah satu enkripsi Linux yang paling canggih dan dapat disesuaikan untuk menargetkan mesin virtual VMware ESXiyang disukai organisasi perusahaan untuk kebutuhan sumber daya ringan mereka.
Seperti banyak kelompok ransomware lain yang menyasar bisnis, operator Qilin menyusup ke jaringan perusahaan dan mengekstrak data saat data tersebut bergerak melalui sistem korban.
Setelah memperoleh kredensial admin dan mengumpulkan semua data sensitif, mereka menyebarkan muatan ransomware untuk mengenkripsi semua perangkat jaringan dan memanfaatkan data yang dicuri untuk melakukan serangan pemerasan ganda.
Sejauh ini, BleepingComputer telah melihat tuntutan tebusan Qilin mulai dari yang terendah sebesar $25.000 hingga jutaan dolar, tergantung pada ukuran korban.
Bulan lalu, CEO Pusat Keamanan Siber Nasional Inggris (NCSC) menghubungkan Qilin dengan serangan ransomware yang penyedia layanan patologi hit Synnovis pada awal bulan Juni dan berdampak pada beberapa rumah sakit NHS besar di London, memaksa mereka untuk membatalkan ratusan operasi dan janji temu.
