Разработчики вымогателя Qilin предложили своим партнерам помощь и консультации команды юристов, чтобы те могли оказать давление на жертв и заставить их заплатить выкуп.
На рекламу новой функциональности обратили внимание специалисты израильской ИБ-компании Cybereason. По их словам, в партнерской панели шифровальщика появилась опция «Вызвать юриста» (Call lawyer).
Также утверждается, что теперь у группировки есть даже штатная команда журналистов, которые могут совместно с юридическим отделом подготовить публикации, чтобы оказать дополнительное давление на жертв.
Помимо этого недавно Qilin добавил в свою партнерскую панель 1 петабайт дискового пространства (часть — для личного пользования партнеров и часть — для хранения данных жертв), возможности для распространения спама по электронной почте и телефону, а также инструменты запуска DDoS-атак, что впервые зафиксировали еще в апреле 2025 года.
Напомним, что шифровальщик Qilin появился еще в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован.
По данным исследователей, только в апреле 2025 года на сайте вымогателя появилась информация о 72 новых жертвах, а в мае специалисты связывали его с 55 атаками. У экспертов есть основания полагать, что сейчас некоторые партнеры RansomHub перешли на использование Qilin, что способствует всплеску активности малвари в последние месяцы.
«Наряду с растущим присутствием на форумах и трекерах активности вымогателей, Qilin обладает технически развитой инфраструктурой. Он предлагает: полезные нагрузки, написанные на Rust и C, загрузчики с расширенными возможностями уклонения от обнаружения, а также партнерскую панель, предлагающую выполнение в Safe Mode, распространение по сети, очистку логов и инструменты для автоматизации переговоров», — пишут аналитики Cybereason.
Что касается новой функции вызова юристов, якобы она может использоваться для приглашения в чат с жертвой юридического консультанта, который предлагает профессиональную помощь по таким вопросам, как:
- юридическая оценка данных, украденных партнерами Qilin;
- справка о том, какие именно законы и правила нарушила жертва, допустив утечку этих данных;
- оценка потенциальных расходов, связанных с устранением инцидента, если жертва решит не платить выкуп.
Также юристы якобы могут вмешаться в переговорный процесс и вести диалог с жертвой самостоятельно, объяснив пострадавшей компании, что отказ от выплаты может обернуться еще большими потерями.
Как отмечают исследователи из компании Tripwire, скорее всего, эти заявления — не более чем маркетинговый трюк.
«Не заблуждайтесь. Их цель — привлечь больше партнеров, увеличить процент успешных атак с получением выкупа и попытаться убедить жертв, что те имеют дело с изощренными преступниками», — говорят эксперты.
Однако в Cybereason предостерегают, что Qilin становится одной из доминирующих на RaaS-сцене (ransomware-as-a-service, «вымогатель-как-услуга») вымогательских группировок. Его бывшие конкуренты, включая LockBit, ALPHV, Everest и RansomHub (который, по слухам, был поглощен DragonForce), в последнее время утратили влияние по разным причинам, чаще всего из-за действий правоохранительных органов.
По мнению исследователей, новые функции в партнерской панели Qilin можно рассматривать как попытку злоумышленников позиционировать себя в качестве авторов полнофункциональной платформы для киберпреступников, а не рядовых поставщиков вымогательской малвари.
