Το Qilin Ransomware Προσθέτει Λειτουργία “Call Lawyer” για Πίεση Θυμάτων

Η νέα στρατηγική πίεσης του Qilin

Η ομάδα κυβερνοεγκλήματος πίσω από το Qilin ransomware-as-a-service (RaaS) έχει εισαγάγει μια νέα λειτουργία που προσφέρει νομική καθοδήγηση στους συνεργάτες της, με στόχο να αυξήσει την πίεση στα θύματα για να πληρώσουν μεγαλύτερα λύτρα. Αυτή η κίνηση έρχεται καθώς η ομάδα προσπαθεί να εκμεταλλευτεί το κενό που άφησαν οι ανταγωνιστές της, όπως οι LockBit και Black Cat, οι οποίοι έχουν υποστεί διακοπές λειτουργίας και αποτυχίες.

Η λειτουργία “Call Lawyer” και ο αντίκτυπός της

Η νέα δυνατότητα “Call Lawyer” εμφανίζεται στον πίνακα ελέγχου των συνεργατών, σύμφωνα με την ισραηλινή εταιρεία κυβερνοασφάλειας Cybereason. Αυτή η εξέλιξη σηματοδοτεί την αναζωπύρωση της ομάδας, η οποία είναι επίσης γνωστή ως Gold Feather και Water Galura, και δραστηριοποιείται από τον Οκτώβριο του 2022. Η χρήση νομικής υποστήριξης ως εργαλείο πίεσης είναι μια νέα προσέγγιση που ενισχύει την επιρροή της ομάδας στις διαπραγματεύσεις.

Η θέση του Qilin στην αγορά ransomware

Σύμφωνα με δεδομένα από ιστότοπους διαρροών στο dark web, το Qilin ηγήθηκε με 72 θύματα τον Απρίλιο του 2025. Τον Μάιο, εκτιμάται ότι βρίσκεται πίσω από 55 επιθέσεις, κατατάσσοντάς το πίσω από τις Safepay (72) και Luna Moth (67). Είναι επίσης η τρίτη πιο ενεργή ομάδα μετά τις Cl0p και Akira από την αρχή του έτους, διεκδικώντας συνολικά 304 θύματα.

Η τεχνική υποδομή του Qilin

Η επιτυχία του Qilin οφείλεται σε μια ώριμη υποδομή που περιλαμβάνει payloads γραμμένα σε Rust και C, φορτωτές με προηγμένες δυνατότητες αποφυγής, και έναν πίνακα ελέγχου συνεργατών που προσφέρει εκτέλεση σε Safe Mode, διάδοση δικτύου, καθαρισμό log και αυτοματοποιημένα εργαλεία διαπραγμάτευσης. Οι ερευνητές Mark Tsipershtein και Evgeny Ananin επισημαίνουν ότι το Qilin δεν περιορίζεται μόνο σε ransomware, αλλά προσφέρει πλήρεις υπηρεσίες κυβερνοεγκλήματος.

Νέες λειτουργίες και στρατηγικές του Qilin

Η πτώση άλλων ομάδων συνοδεύεται από νέες ενημερώσεις στον πίνακα ελέγχου συνεργατών του Qilin, που περιλαμβάνουν λειτουργία νομικής βοήθειας, ομάδα εσωτερικών δημοσιογράφων και δυνατότητα εκτέλεσης επιθέσεων DDoS. Μια άλλη αξιοσημείωτη προσθήκη είναι ένα εργαλείο για spam σε εταιρικές διευθύνσεις email και τηλεφωνικούς αριθμούς. Αυτές οι επεκτάσεις δείχνουν την προσπάθεια της ομάδας να παρουσιαστεί ως μια ολοκληρωμένη υπηρεσία κυβερνοεγκλήματος.

Η στρατηγική πίεσης μέσω νομικής παρουσίας

Η εμφάνιση ενός δικηγόρου στη συνομιλία μπορεί να ασκήσει έμμεση πίεση στην εταιρεία και να αυξήσει το ποσό των λύτρων, καθώς οι εταιρείες επιθυμούν να αποφύγουν νομικές διαδικασίες. Η λειτουργία αυτή προσφέρει στους συνεργάτες του Qilin τη δυνατότητα να επικοινωνήσουν με την νομική ομάδα της ομάδας για εξειδικευμένη υποστήριξη.

Συνεργασίες και τεχνικές εξελίξεις

Η Intrinsec αξιολόγησε ότι τουλάχιστον ένας συνεργάτης του Rhysida έχει αρχίσει να χρησιμοποιεί το ανοιχτού κώδικα εργαλείο Eye Pyramid C2 ως εργαλείο μετά την παραβίαση για να διατηρήσει την πρόσβαση σε παραβιασμένα συστήματα. Το Eye Pyramid C2 είναι το ίδιο backdoor που χρησιμοποιήθηκε από την ομάδα RansomHub το τέταρτο τρίμηνο του 2024.

Η δράση του “tinker” και οι αποκαλύψεις

Η ανάλυση των διαρροών συνομιλιών του Black Basta αποκάλυψε ότι ο “tinker”, ένας αξιόπιστος συνεργάτης του ηγέτη της ομάδας, tramp, είχε σημαντικό ρόλο στην εξασφάλιση αρχικής πρόσβασης σε οργανισμούς. Ο “tinker” ανέλυε τα οικονομικά δεδομένα και αξιολογούσε την κατάσταση του θύματος πριν από τις άμεσες διαπραγματεύσεις.

Συλλήψεις και διεθνείς επιχειρήσεις

Οι πρόσφατες συλλήψεις περιλαμβάνουν έναν 33χρονο ξένο μέλος της ομάδας Ryuk, ο οποίος εκδόθηκε στις Ηνωμένες Πολιτείες για τον ρόλο του ως αρχικός μεσίτης πρόσβασης. Εν τω μεταξύ, στην Ταϊλάνδη, συνελήφθησαν Κινέζοι υπήκοοι που συμμετείχαν σε ransomware επιχειρήσεις, καθώς και άλλοι αλλοδαποί που κατηγορούνται για απάτες επενδύσεων μέσω διαδικτύου.