Европол объявил вознаграждение в размере до 50 тысяч долларов за любые сведения, которые помогут установить личности или задержать предполагаемых лидеров киберпреступной группировки Qilin, известных под псевдонимами Haise и XOracle. По информации международных следственных структур, именно они координировали одну из самых активных в мире схем распространения программ-вымогателей последних лет.
По данным Europol, Qilin — транснациональная структура с корнями в Восточной Европе. Активность группировки зафиксирована как минимум с августа 2022 года. Изначально она действовала под именем Agenda, но вскоре провела ребрендинг, превратившись в полноценную RaaS-платформу — Ransomware-as-a-Service. Это означает, что инструменты шифрования и инструментарий для атак предоставлялись сторонним партнёрам, которые выплачивали долю от выкупа организаторам платформы.
Эксперты по киберугрозам подчёркивают, что Qilin отличает высокий уровень технической подготовки. Использование языков программирования Golang и Rust позволило создавать кроссплатформенные исполняемые файлы, которые сложнее обнаружить и нейтрализовать. В ходе атак применялись методы двойного вымогательства — данные жертв не только шифровались, но и похищались с угрозой публикации, если выкуп не выплачивался.
Жертвами кампаний Qilin стали не менее 678 организаций в более чем 30 странах. В список пострадавших входят медицинские учреждения, учебные заведения, строительные компании, госорганы и объекты инфраструктуры. Чаще всего для проникновения в сети злоумышленники использовали фишинговые письма и уязвимости в VPN-шлюзах, например, FortiGate. Затем применялись PowerShell-скрипты, нацеленные на VMware vCenter и гипервизоры ESXi, что позволяло быстро разворачивать вредоносный код в масштабах всей виртуальной инфраструктуры.
Международное расследование координируется через Europol. Все, кто располагает информацией о местонахождении или деятельности «Haise» и «XOracle», могут рассчитывать на вознаграждение при соблюдении условий конфиденциальности и сотрудничества с правоохранителями.