Il gruppo ransomware Qilin innova il modello RaaS introducendo un servizio di assistenza legale per aumentare la pressione sulle vittime e sugli affiliati.
Autore: Redazione SecurityOpenLab
Organizzati, tecnologicamente avanzati e dotati di una spiccata capacità di adattamento, i gruppi ransomware continuano a dare del filo da torcere ai difensori perché innovano continuamente il proprio approccio al business. Ne è un esempio lampante il caso, studiato da Cybereason, del RaaS Qilin – noto anche come Agenda – che ora offre supporto legale ai suoi affiliati per spingere più efficacemente le vittime a pagare.
Qilin, emerso sulla scena cyber attorno al 2022, si è rapidamente imposto come uno dei principali operatori Ransomware-as-a-Service. Le sue vittime operano in settori eterogenei, dalla sanità al manifatturiero, passando per servizi pubblici e infrastrutture critiche. Un tratto distintivo del gruppo è la comunicazione aggressiva.
L’analisi di Cybereason è interessante nella misura in cui mette in luce come Qilin faccia affidamento su una combinazione di campagne di phishing mirate, sfruttamento di vulnerabilità note (in particolare nei servizi esposti su Internet) e l’utilizzo di credenziali compromesse. Una volta ottenuto l’accesso iniziale, gli operatori Qilin attuano movimenti laterali all’interno della rete abusando di strumenti legittimi e tecniche di living-off-the-land (LotL), in modo da ridurre la probabilità di essere individuati dalle difese cyber.
Una delle peculiarità più rilevanti del gruppo è la capacità di personalizzare i payload ransomware per ciascuna vittima. A tale riguardo, i ricercatori di Cybereason hanno evidenziato che Qilin fornisce ai propri affiliati dei builder che permettono loro di generare eseguibili su misura, adattando di volta in volta al target le funzionalità di cifratura, i messaggi di riscatto e persino le estensioni dei file cifrati. È questa flessibilità a rappresentare un vantaggio competitivo per il gruppo, perché ostacola efficacemente le soluzioni di sicurezza.
Nella fase di esfiltrazione, Qilin utilizza una varietà di strumenti – sia open source che sviluppati internamente – per trasferire grandi volumi di dati sensibili verso infrastrutture di comando e controllo sotto il proprio controllo. L’esfiltrazione dei dati precede spesso la cifratura dei sistemi, così da permettere agli operatori di attuare la tecnica del doppio riscatto.
I ricercatori di Cybereason hanno portato avanti anche un’analisi tecnica del ransomware distribuito dal gruppo Qilin, che si distingue per una serie di caratteristiche avanzate. Il payload viene spesso mascherato mediante tecniche di offuscamento e packer personalizzati. Qilin implementa algoritmi di cifratura robusti che combinano AES e RSA di modo che il recupero dei dati sia pressoché impossibile senza la chiave privata che è in possesso degli attaccanti. Il ransomware modifica inoltre le estensioni dei file cifrati.
Come accennato, Qilin ha investito nello sviluppo di tecniche di persistenza e di evasione dei controlli di sicurezza. Il malware è in grado di disabilitare servizi di backup e copie shadow per ostacolare i tentativi di ripristino dei dati senza pagare il riscatto. Inoltre disattiva i software di sicurezza, modifica le policy di sistema e cancella i log delle attività per complicare l’analisi forense post-attacco.
Sul fronte dell’evasione, Qilin sfrutta tecniche di living-off-the-land, abusando dei noti strumenti nativi del sistema operativo (come PowerShell, WMI e PsExec) per muoversi lateralmente e ottenere privilegi elevati. Il gruppo adotta infine misure anti-analisi, come il controllo della presenza di ambienti virtualizzati o sandbox, e interrompe l’esecuzione del malware in caso di rilevamento di condizioni sospette.
Un aspetto centrale nella strategia di Qilin è la gestione della comunicazione con le vittime. Il gruppo fornisce canali di contatto dedicati, spesso tramite piattaforme di messaggistica cifrata, e adotta un tono professionale durante le negoziazioni. In alcuni casi, gli operatori Qilin offrono prove della possibilità di decifrare i file, restituendo gratuitamente alcuni documenti come gesto dimostrativo. Su tutto resta preponderante la minaccia della pubblicazione dei dati esfiltrati.
Qilin, infatti, ha introdotto una vera e propria assistenza legale a supporto delle operazioni di estorsione. Secondo quanto riportato da Cybereason, questa funzione si concretizza in un pulsante presente nel pannello di controllo degli affiliati, chiamato “Call Lawyer”, che permette di richiedere il supporto di un team legale interno durante le fasi più delicate della negoziazione con la vittima.
A che cosa serve la figura legale è presto detto: la presenza di un avvocato (o presunto tale) nella chat di negoziazione serve a rafforzare la percezione di organizzazione e serietà del gruppo agli occhi degli affiliati, oltre a esercitare una pressione psicologica indiretta sulle vittime. La semplice comparsa di una figura legale durante la trattativa, infatti, può indurre la vittima a temere conseguenze legali e reputazionali, aumentando così la probabilità che paghi il riscatto.
Secondo la documentazione analizzata da Cybereason, i servizi offerti dal sedicente dipartimento legale di Qilin includono la valutazione giuridica dei dati esfiltrati, la classificazione delle violazioni alle normative del Paese della vittima, la stima dei potenziali danni economici e reputazionali, nonché la possibilità di condurre negoziazioni dirette tra la vittima e il legale del gruppo.
L’avvocato, inoltre, fornisce consulenza sulle modalità per infliggere il massimo danno economico alla vittima in caso di mancato pagamento, e su come evitare che situazioni simili si ripetano in futuro. Questa novità potrebbe attrarre nuovi affiliati interessati a un ecosistema di servizi che va ben oltre la semplice fornitura del malware e incuriositi da quella che di fatto potrebbe essere la prima piattaforma criminale “full service”, capace di supportare i propri partner in tutte le fasi dell’attacco, dalla compromissione tecnica alla gestione delle trattative e delle minacce legali.