La société de cybersécurité détaille tous les petits secrets du gang de rançongiciel, spécialisé dans les cibles critiques

Group-IB a publié, le 15 mai 2023, un compte-rendu de son infiltration de Qilin, un gang de rançongiciel avec des affiliés, fonctionnant sur un modèle de Ransomware-as-a-Service (RaaS). Les experts de Group-IB ont pu accéder, en mars 2023, au tableau de gestion de Qilin, qui permet à chaque affilié de visualiser les étapes de son attaque. À l’image d’un site légitime, celui du groupe cybercriminel dispose d’une FAQ, avec une assistance, une documentation et des recommandations sur les stratégies à adopter.

Au-delà, cette infiltration a permis de déterminer que Qilin avait fait douze victimes entre juillet 2022 et mars 2023, appartenant pour la plupart à des secteurs critiques. Ces victimes étaient originaires du Canada, des États-Unis, de Colombie, de France, des Pays-Bas, de Serbie, du Royaume-Uni et du Japon. Group-IB a d’ailleurs découvert que le gang de rançongiciel interdit à ses affiliés d’attaquer des cibles russes ou de l’Est de l’Europe.

D’un point de vue opérationnel, Qilin utilise un rançongiciel fondé sur le langage de programmation Rust, comme d’autres gangs de ransomware de plus grande ampleur (Hive, BlackCat, Luna…). Group-IB note que Rust gagne en popularité chez les cybercriminels car « il est plus difficile à analyser et son taux de détection par les moteurs antivirus est plus faible ».

Selon le rapport, Qilin personnalise le plus souvent ses attaques, « afin d’en maximiser l’impact ». Le gang pratique la double extorsion, et dispose de plusieurs modes de chiffrement. Qilin ponctionne une commission de 20 % sur les rançons inférieures à 3 millions de dollars, de 15 % sur les rançons supérieures – des chiffres dans la moyenne du secteur. Il serait en pleine campagne de recrutement, et fait la promotion de son rançongiciel sur le dark web.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.