В последние годы рост числа и сложности атак вымогателей (ransomware) становится одной из самых острых проблем для организаций по всему миру. Среди множества киберугроз выделяется Qilin — крайне активный и технически продвинутый вымогатель, который не только совершенствует вредоносное программное обеспечение, но и расширяет спектр оказываемых услуг. Одной из таких инноваций стала функция «Позвонить юристу», ранее не встречавшаяся в арсенале большинства киберпреступных групп. Эта функция предназначена для повышения психологического давления на жертву, что увеличивает шансы успешного вымогательства большего выкупа. Новая тактика Qilin отражает тенденцию к развитию ransomware-направленных сервисов как многофункциональных платформ, интегрирующих киберпреступные услуги и поддержку, выходящую за рамки традиционных схем.
Группа, стоящая за Qilin, действует с октября 2022 года и позиционируется как Ransomware-as-a-Service (RaaS) — модель, подразумевающая продажу или аренду вредоносного ПО и инфраструктуры внешним партнёрам, называемым аффилиатами. Это позволяет значительно расширять масштаб атак и ускорять распространение угрозы. За последние несколько месяцев Qilin занял место одного из лидеров по количеству жертв, уступая лишь немногим другим группам, таким как Safepay и Luna Moth. В апреле 2025 года было зафиксировано 72 атаки с использованием Qilin, что является ярким свидетельством интенсивности операций. Одним из факторов, способствующих росту активности Qilin, является спад и частичная дезинтеграция других известных групп вымогателей, таких как LockBit, Black Cat и RansomHub.
Именно партнёры и аффилиаты этих команд, в поисках новых каналов для преступной деятельности, переходят на платформу Qilin, обеспечивая ей приток новых ресурсов и экспансивный рост. Это также объясняет техническое совершенство инфраструктуры группы: программные компоненты, созданные на современных языках программирования Rust и C, обеспечивают высокоэффективное и незаметное внедрение вредоносного ПО, а встроенные в панель управления инструменты позволяют аффилиатам оптимизировать атаки, включая безопасное выполнение кода, распространение в сети жертвы и автоматические переговоры по выкупу. Функция «Позвонить юристу» появилось в панели управления аффилиатами и представляет собой нововведение, позволяющее обращаться за юридической консультацией, якобы оказываемой представителями группы. Речь идет не о настоящих адвокатах, а о тактическом приеме, который включает отправку сообщения жертве с упоминанием возможности запуска юридического преследования в случае отказа от выплаты. Такая стратегия оказывает психологическое давление и заставляет компании пересматривать размер предполагаемого выкупа, чтобы избежать дальнейших сложностей, связанных с судебными процессами и репутационными потерями.
Дополнительно стоит отметить, что Qilin превратился в полноценную платформу киберпреступности, предлагая широкий спектр услуг, выходящих далеко за рамки распространения ransomware. Помимо самого программного обеспечения, группа обеспечивает спам-рассылки, масштабное хранилище данных для выкраденной информации в петабайтных объемах, операции по распределённым атакам отказа в обслуживании (DDoS), а также наличие команды «журналистов», отслеживающих новости и ситуацию вокруг жертв для повышенного давления. В целом, Qilin демонстрирует зрелую и комплексную бизнес-модель киберпреступлений, предоставляющую своим партнёрам продвинутые инструменты и услуги для максимизации прибыли от атак. Это поднимает вызовы перед специалистами по кибербезопасности, которым приходится сталкиваться с не только техническими аспектами вредоносного ПО, но и с новыми уровнями социальной инженерии и психологического манипулирования. Стоит также учитывать, что использование таких функций, как «Позвонить юристу», ознаменовало смену тактик в коммуникациях между преступниками и жертвами.
Ранее вымогатели использовали классические угрозы публикации украденных данных или полных технических разрушений. Сейчас добавляется еще один слой — симуляция юридических процедур, что вызывает дополнительные опасения у руководства компаний и юридических отделов, не готовых к подобным психологическим ходам. Появление подобных инноваций среди вымогателей связано с общим ростом сопротивления организаций к атакам и усилением правового и технического давления на киберпреступников со стороны международных правоохранительных органов и спецслужб. Чтобы сохранить экономическую эффективность вымогательства, группам приходится искать дополнительные способы убеждения жертв заплатить, увеличивать масштаб запугивания и демонстрировать возможность негативных последствий в случае отказа. Важный тренд в эволюции Qilin — использование всего набора современных технических средств для обхода систем защиты и обеспечения долговременного присутствия в скомпрометированных сетях.
Помимо передовых методов обфускации и уклонения от обнаружения, они применяют инструменты для автоматической очистки логов, что затрудняет расследования, а также разрабатывают безопасный режим работы вредоносного ПО, позволяющий минимизировать риски преждевременного раскрытия. Создание инфраструктуры с многокаскадными средствами управления атаками и встроенной поддержкой спам-кампаний также выделяет Qilin на фоне многих конкурентов. Возможность рассылать фишинговые сообщения и спам напрямую затрагивает исходные этапы атаки и обеспечивает проникновение — распространение вредоносных загрузчиков и дальнейшее внедрение шифровальщика. Для компаний, стремящихся минимизировать угрозу со стороны подобных киберпреступных групп, крайне важно сосредоточить усилия на превентивных мерах, включающих не только технические системы обнаружения и защиты, но и обучение персонала методам распознавания социального инжиниринга и фишинга. Адекватная подготовка и понимание новых тактик, таких как использование юридического давления, поможет снизить эффект от манипуляций и усилить внутренние процессы реагирования.
Интересно отметить, что на фоне активности Qilin правоохранительные органы по всему миру активно осуществляют операции против связанных с киберпреступностью групп. В результате задержаний и судебных процессов распространяется информация, выявляющая подробности работы вымогателей — от первичного доступа до методов убеждения жертв. Эти данные играют ключевую роль в разработке эффективных контрмер и формировании международного сотрудничества на ниве цифровой безопасности. Появление «юридической поддержки» в интерфейсе аффилиатов подчеркивает общий переход к коммерциализации киберпреступлений, когда криминальные организации не просто распространяют вредоносный код, но предоставляют комплексные сервисы, напоминающие легальный бизнес с собственным обслуживанием клиентов и расширенной поддержкой. Такое явление заставляет специалистов и организации пересмотреть подходы к построению своих стратегий кибербезопасности в условиях все более сложного и динамичного ландшафта угроз.
В завершение стоит подчеркнуть, что Qilin и подобные ему RaaS-модели представляют серьезную и устойчивую угрозу современной цифровой среде. Постоянное обновление технологий и методов атак, а также внедрение новых психологических приемов, таких как функция «Позвонить юристу», требуют от бизнес-сообщества и специалистов по информационной безопасности максимально углубленной аналитики и адаптивных стратегий защиты, способных предвосхищать и нейтрализовать новые вызовы киберпреступности.
