Кампанія з поширення шкідливого програмного забезпечення Qilin Ransomware посилюється у Південній Кореї: російські та корейські актори за руйнуванням фінансового сектору

Вересень 2024 року ознаменував собою критичний переломний момент, коли кількість атак програмного забезпечення-вимагачів Qilin у Південній Кореї зросла до 25 випадків — вражаюче у 12 разів більше порівняно з типовим місячним середнім показником у дві справи. Ця скоординована кампанія, організована російськими кіберзлочинцями та корейськими угрупованнями загроз, скомпрометувала 24 фінансові установи та призвела до крадіжки понад 2 ТБ високочутливих даних.

Анатомія найбільшого зломлення фінансового сектору Південної Кореї

Згідно з Оцінкою загроз Bitdefender за жовтень 2024 року, операція Qilin являє собою гібридну модель загрози, що поєднує інфраструктуру ransomware-as-a-service (RaaS) з цілями шпигунства, підтримуваними державою. Дослідники безпеки виявили 33 випадки за 2024 рік, більшість з яких зосереджена у руйнівний тритижневий період, що почався 14 вересня.

Вектор атаки був обманливо простим, але надзвичайно ефективним: зловмисники проникали до управлінських сервісних провайдерів (MSPs), які виступають посередниками критичної інфраструктури для південнокорейських банків і фінансових компаній. Порушуючи ці MSP, зловмисники отримували привілейований доступ до десятків клієнтів одночасно — стратегія атаки через ланцюг постачання, яку майже неможливо було виявити окремо кожній фінансовій установі.

Аналіз Bitdefender показав, що витік даних відбувався у три скоординовані хвилі. Перший злом 14 вересня 2024 року відкрив файли 10 фінансових компаній. Два наступні витоки між 17-19 вересня і 28 вересня — 4 жовтня додали ще 18 жертв, зібравши приблизно 1 мільйон файлів, що містять оцінки військової розвідки, економічні плани та конфіденційні корпоративні записи.

Російсько-корейський альянс загроз та його наслідки

Саму групу Qilin діє з російської території, її засновники активні на російськомовних кіберзлочинних форумах під псевдонімами, наприклад “BianLian”. Однак кампанія у Південній Кореї має явні ознаки участі Північної Кореї, зокрема зв’язки з угрупованням Moonstone Sleet, відомим проведенням кібероперацій, спрямованих на шпигунство.

Цей альянс перетворив те, що могло бути простою схемою фінансового шантажу, у багатофункціональну операцію збору розвідки. Зловмисники публічно виправдовували витік даних, неправдиво стверджуючи, що викрадені матеріали мають “антикорупційну” цінність — пропагандистська тактика, спрямована на маскування збору розвідданих на рівні держави. У одному з випадків хакери навіть посилалися на підготовку розвідувальних доповідей для іноземного керівництва на основі викрадених креслень мостів і LNG-об’єктів.

Цільова орієнтація на фінансовий центр Південної Кореї не є випадковістю. За рівнем зараженості ransomware у 2024 році Південна Корея посідає друге місце у світі, і її сучасна банківська інфраструктура робить її привабливою ціллю як для комерційних злочинців, так і для державних акторів, що прагнуть отримати економічну розвідку.

Вплив на фінансові ринки та екосистеми криптовалют

Крадіжка 2 ТБ даних створює додаткові ризики для криптовалютних бірж і фінтех-платформ, що залежать від традиційної банківської інфраструктури. Пошкоджені фінансові записи, документи KYC і транзакційні дані можуть бути використані для маніпуляцій ринком, ухилення від регулювання або цілеспрямованого шахрайства проти трейдерів і інституційних інвесторів.

Threat intelligence NCC Group підтверджує, що Qilin тепер становить 29% світових випадків ransomware, з понад 180 жертвами лише у жовтні 2024 року. Доказова здатність групи монетизувати зломи через вимоги викупу, що в середньому становлять мільйони доларів, створює постійний тиск на жертв для виконання вимог — часто ще до того, як дані потраплять на публічні форуми витоків.

Заходи захисту та рекомендований рівень безпеки

Фінансові установи регіону повинні негайно впровадити кілька критичних заходів безпеки:

Перевірка та моніторинг MSP: Встановіть суворі протоколи оцінки постачальників і постійний моніторинг доступу третіх сторін. Архітектури з нульовою довірою, що ставляться до всього мережевого трафіку з підозрою — незалежно від джерела — довели свою ефективність у обмеженні латерального руху.

Сегментація мережі: Якби південнокорейські банки правильно ізолювали критичні системи від мереж, доступних через MSP, витік 2 ТБ був би значно обмежений. Сегментація створює опір, що дає час для виявлення та реагування на інциденти.

Підвищення швидкості реагування: Впроваджуйте інструменти виявлення та реагування на кінцевих точках (EDR) з поведінковою аналітикою. Механізм доставки Qilin базується на створенні постійних “задніх дверей” — інструменти, такі як антивірусний пакет Bitdefender, можуть виявити аномальні процеси до шифрування файлів.

Навчання співробітників: Початкове проникнення MSP, ймовірно, сталося через фішинг або крадіжку облікових даних. Регулярні симуляції атак і тренінги з безпеки зменшують людські вразливості.

Стратегічні наслідки для криптоіндустрії

Кампанія Qilin — Південна Корея демонструє, як ransomware еволюціонував від простого шантажу до гібридної загрози, що поєднує кіберзлочинність із цілями державного шпигунства. Участь південнокорейських акторів свідчить про те, що геополітична напруга все більше проявляється через цифрові атаки на фінансовий сектор.

Платформи криптовалют, що працюють у Південній Кореї або обслуговують її клієнтів, піддаються підвищеному ризику як від прямих атак ransomware, так і через опосередковані компрометації через фінансові сервіси. Витік 2 ТБ даних може містити записи клієнтів, шаблони транзакцій і зв’язки з інституціями, які іноземні актори можуть використовувати для цілеспрямованого націлювання.

Майбутній час для захисних заходів швидко закінчується. Організації, що не впровадять заходи безпеки ланцюга постачання та сегментації мереж у цьому кварталі, можуть зазнати подібних зломів у найближчі місяці, оскільки загрозливі актори продовжують картографувати фінансову інфраструктуру Південної Кореї.

Як підсумувала оцінка Bitdefender за жовтень 2024 року: “Ця операція підкреслює еволюцію конвергенції кіберзлочинності та геополітичних цілей у критичних фінансових секторах. Гібридний характер загроз вимагає рівнозначних гібридних стратегій захисту, що поєднують технічні засоби, управління постачальниками і інтеграцію розвідки загроз.”