Info

• Type: ransomware
• Apparition: juillet 2022 sous le nom Agenda
• Créateur: ? potentielle lien avec la Russie
• Groupe l'utilisant: Beaucoup RaaS (15-20% de commission)
• Language utiliser: Initialement Golang puis Rust
• OS cible: Windows, linux
• Victimologie: secteurs de l’industrie, des finances, juridiques et de la santé
• Solution trouver: Pas de réel solution seulement des recommandation
• Statut: Plus qu'actif
• Site: http://ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion/?page=1
• Actu: ransomware.live

Approche

• RMM tools et Cobalt Strike pour se déployer
• Propagation via PsExec et SecureShell
• Défense en stoppant des service et utilisation de pilote vulnérable
• Chiffrement sélectionnable :
  • ChaCha20
  • AES-256
  • RSA4096
• Exfilatration de donnés puis double extorsion

Caractéristique

• Les documents chiffrés on une extension aléatoire

Historique

• Agenda en juillet 2022
• Septembre renommé Qilin
• Recrutement de nouveau membre en Octobre 2023

Lien utile

• https://cyberveille.esante.gouv.fr/actualites/etats-unis-monde-presentation-du-rancongiciel-qilin-2024-07-02