Qilin Ransomware เวอร์ชันใหม่ มาพร้อมการเข้ารหัสที่แข็งแกร่งขึ้นและสามารถหลบเลี่ยงระบบป้องกัน

นักวิจัยด้านความมั่นคงปลอดภัยจาก Halcyon ตรวจพบ Qilin.B แรนซัมแวร์เรียกค่าไถ่เวอร์ชันใหม่ที่พัฒนาด้วยภาษา Rust มาพร้อมกับการเข้ารหัสที่แข็งแกร่งขึ้น ความสามารถในการหลบเลี่ยงเครื่องมือรักษาความปลอดภัย และฟีเจอร์ขัดขวางการกู้คืนข้อมูล

Qilin.B ได้รับการปรับปรุงระบบการเข้ารหัสใหม่ โดยใช้ AES-256-CTR ร่วมกับความสามารถ AESNI สำหรับ CPU ที่รองรับ ทำให้การเข้ารหัสทำงานได้เร็วขึ้น ในขณะที่ยังคงใช้ ChaCha20 สำหรับระบบที่เก่ากว่าหรือไม่รองรับ AESNI นอกจากนี้ยังใช้ RSA-4096 พร้อม OAEP padding เพื่อป้องกันกุญแจเข้ารหัส ทำให้การถอดรหัสแทบเป็นไปไม่ได้หากไม่มี Private key หรือค่า Seed ที่ใช้ เมื่อทำงาน แรนซัมแวร์จะเพิ่ม Autorun key ใน Windows Registry เพื่อฝังตัวอยู่ในระบบ และปิดบริการสำคัญหลายอย่าง เช่น Veeam, Windows Volume Shadow Copy Service, บริการฐานข้อมูล SQL, Sophos, Acronis Agent และ SAP เพื่อให้สามารถเข้ารหัสข้อมูลสำคัญได้และปิดการทำงานของเครื่องมือรักษาความปลอดภัยอื่นๆ

แรนซัมแวร์ตัวนี้มุ่งเป้าไปที่ทั้งโฟลเดอร์ในเครื่องและโฟลเดอร์เครือข่าย โดยจะสร้างบันทึกเรียกค่าไถ่ในทุก directory ที่ประมวลผล พร้อมระบุ ID ของเหยื่อในชื่อไฟล์ ก่อนหน้านี้ Qilin เคยถูกใช้โจมตีองค์กรสำคัญหลายแห่ง เช่น โรงพยาบาลในลอนดอน, Court Services Victoria ในออสเตรเลีย และบริษัทยานยนต์ Yanfeng นอกจากนี้กลุ่มผู้โจมตียังมีเวอร์ชัน Linux ที่มุ่งเน้นการโจมตีระบบ VMware ESXi อีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/new-qilin-ransomware-encryptor-features-stronger-encryption-evasion/