Pesquisadores de cibersegurança descobriram uma nova variante avançada do ransomware Qilin, que apresenta maior sofisticação e táticas aprimoradas para evitar a detecção. Entre suas melhorias, destaca-se o suporte à criptografia AES-256-CTR para sistemas com capacidades AESNI, além de ainda utilizar o algoritmo Chacha20 para sistemas que não possuem esse suporte. Além disso, a variante usa RSA-4096 com preenchimento OAEP para proteger as chaves de criptografia, tornando a descriptografia dos arquivos impossível sem a chave privada do atacante ou os valores de semente capturados.

O ransomware Qilin, também conhecido como Agenda, foi identificado pela primeira vez pela comunidade de cibersegurança em julho/agosto de 2022, com as versões iniciais escritas em Golang, antes de migrarem para a linguagem Rust. Um relatório da Group-IB de maio de 2023 revelou que o esquema de ransomware como serviço (RaaS) do Qilin permite que seus afiliados recebam entre 80% e 85% de cada pagamento de resgate. Ataques recentes vinculados à operação do Qilin roubaram credenciais armazenadas em navegadores Google Chrome em um conjunto limitado de endpoints comprometidos, o que sinaliza uma mudança em relação aos ataques de dupla extorsão típicos.

Entre as táticas observadas estão a interrupção de serviços associados a ferramentas de segurança, o apagamento contínuo dos logs de eventos do Windows e a autoexclusão após o ataque. A variante também inclui funções para encerrar processos ligados a serviços de backup e virtualização, como Veeam, SQL e SAP, além de excluir cópias de sombra de volume, complicando os esforços de recuperação.