Cyberprzestępcy oferują prawników i "usługi dziennikarskie". To już wyższy poziom wymuszeń

W przestępczym świecie cyberataków typu ransomware, gdzie brutalna siła technologiczna idzie w parze z psychologiczną presją na ofiary, grupa Qilin właśnie przeszła na nowy, niepokojący poziom.

Ta aktywna od 2022 roku organizacja cyberprzestępcza ogłosiła, że zaczyna oferować pomoc prawną oraz wsparcie medialne swoim wspólnikom. Brzmi jak satyra? Niestety, to rzeczywistość opisana w najnowszym raporcie firmy Cybereason, która od miesięcy śledzi rozwój działań Qilin.

Qilin – nowy lider w świecie ransomware

Jak podaje Cybereason, Qilin wyrasta na jednego z dominujących graczy w środowisku ransomware po upadku lub ograniczeniu działalności innych grup, takich jak LockBit, RansomHub czy Everest. Kluczem do sukcesu Qilin jest nie tylko zaawansowane oprogramowanie szyfrujące, ale również kompleksowa infrastruktura cyberprzestępcza, która zamienia grupę w coś w rodzaju "firmy" dla hakerów z całego świata. A teraz – również z działem prawnym i medialnym.

Pomoc prawna – nie po stronie ofiar

Ogłoszenie o nowej „usłudze” zostało opublikowane w języku rosyjskim na jednym z forów cyberprzestępczych. Qilin oferuje swoim afiliantom pomoc prawników – nie w celu obrony w sądzie, lecz jako narzędzie wywierania presji na ofiary ataków. Jak czytamy w ogłoszeniu:

„Samo pojawienie się prawnika na czacie ma pośredni wpływ na firmę i wysokość okupu, ze względu na niechęć firm do wszczynania postępowań prawnych (kosztów) w związku z incydentem. (…) Możliwość negocjacji bezpośrednio z prawnikiem oraz konsultacje w sprawie wyrządzenia maksymalnej szkody ekonomicznej firmie w przypadku odmowy spełnienia żądań.”

W skrócie: cyberprzestępcy zatrudniają prawników, by pełnili funkcję profesjonalnych wyłudzaczy, potrafiących uderzyć w najbardziej wrażliwe punkty firm ofiar – prawne, finansowe, reputacyjne.

Zespół „dziennikarzy” i fałszywe WikiLeaks

Jeszcze bardziej absurdalna – ale też niebezpieczna – jest deklaracja o istnieniu „sztabu dziennikarzy”. Qilin twierdzi, że może zapewnić wsparcie medialne dla atakujących, obejmujące przygotowywanie materiałów do publikacji, tworzenie treści wpływających na negocjacje, a także prowadzenie strony z wyciekami stylizowanej na WikiLeaks. Grupa określa ją jako „WikiLeaks V2”, choć nie ma ona nic wspólnego z pierwotnym portalem.

To wszystko ma na celu budowanie atmosfery zastraszenia i publicznego napiętnowania – zwłaszcza w przypadku firm, które odmówią zapłaty. Opublikowanie skradzionych danych, odpowiednio „przyprawione” przez fałszywych dziennikarzy, może oznaczać nieodwracalne szkody dla reputacji przedsiębiorstwa.

Technologia bez szans na odzyskanie danych

Qilin dysponuje dwoma odmianami swojego oprogramowania szyfrującego – jedną w języku Rust przeznaczoną dla systemów Windows, oraz drugą w języku C, zaprojektowaną specjalnie do atakowania środowisk Linux i systemów wirtualizacji. Obie wykorzystują niezwykle trudne do złamania szyfrowanie: kombinację ChaCha20, AES oraz RSA4096. Co więcej, program samodzielnie niszczy kopie zapasowe ofiary, praktycznie eliminując szansę na odzyskanie danych bez zapłacenia okupu.

Struktura zysków i model „partnerstwa”

Qilin funkcjonuje na zasadzie platformy – oferując oprogramowanie, narzędzia, wsparcie i teraz także „usługi dodatkowe”, w zamian za prowizję. 15–20% każdej zapłaconej kwoty trafia do organizatorów, a resztę otrzymuje cyberprzestępca, który przeprowadził konkretny atak.

Ta quasi-korporacyjna struktura sprawia, że grupa staje się atrakcyjna dla wielu hakerów – zwłaszcza tych, którzy nie mają własnych narzędzi ani doświadczenia, ale chcą błyskawicznie wkroczyć do przestępczego świata.

Co dalej? Czy są szanse na rozbicie Qilin?

Eksperci są zgodni – Qilin to dziś jedna z najbardziej niebezpiecznych grup ransomware na świecie. Jej rosnąca aktywność w 2024 roku, zaawansowana technologia i niekonwencjonalne metody działania sprawiają, że przeciwdziałanie jej wymaga globalnej współpracy organów ścigania, firm technologicznych i służb bezpieczeństwa.

Jedyną nadzieją pozostaje błąd ludzki – potencjalne „ujawnienie” któregoś z członków grupy lub przeciek, który pozwoli służbom namierzyć i zidentyfikować sprawców. Póki co jednak Qilin działa bezkarnie – z nowym arsenałem narzędzi do szantażu i coraz większym gronem wspólników.