Ландшафт программ-вымогателей претерпел существенные изменения во втором квартале 2025 года, когда программа-вымогатель Qilin стала доминирующей угрозой после неожиданного краха RansomHub, ранее самой плодовитой операции по предоставлению программ-вымогателей как услуги.
Этот переход изменил экосистему киберпреступности: Qilin воспользовался вакуумом, образовавшимся после внезапного прекращения деятельности RansomHub в начале апреля 2025 года.
Исчезновение RansomHub ознаменовало конец целой эпохи для ведущей платформы RaaS, которая в течение предыдущих шести месяцев ежемесячно регистрировала в среднем около 75 жертв.
Внезапный уход группы заставил многочисленные филиалы искать альтернативные платформы, что создало возможность, которой быстро воспользовался Qilin.
Эффект был мгновенным и измеримым: многие бывшие перенесли свои операции на инфраструктуру Qilin.
Исследователи Check Point резкий всплеск активности Qilin в этот период: число жертв группировки почти удвоилось — со среднего показателя в 35 жертв в месяц до почти 70.
Это одно из наиболее существенных изменений в системе управления программами-вымогателями, демонстрирующее, насколько быстро субъекты угроз могут адаптироваться и перераспределяться после крупных сбоев.
Модель миграции предполагает определенный уровень непрерывности работы, который демонстрирует и адаптивность современных сетей программ-вымогателей.
Теперь эта операция по вымогательству предлагает интегрированную непосредственно в своей административной панели, что позволяет ее аффилированным лицам подавлять сети жертв, одновременно ведя переговоры.
Такой подход двойного давления сочетает в себе кражу данных с нарушением обслуживания, создавая многочисленные рычаги воздействия на целевые организации.
Кроме того, Qilin внедрила так называемые услуги «юридической помощи», в рамках которых группа анализирует украденные данные для выявления потенциальных нарушений нормативных требований и готовит документацию для представления в соответствующие органы, включая налоговые и правоохранительные органы.
Возможно, наибольшую обеспокоенность вызывает разработка Qilin автоматизированных инструментов преследования, предназначенных для переполнения корпоративных каналов коммуникации.
К ним относятся возможности массовой рассылки спама по электронной почте и телефону, нацеленные на сотрудников, клиентов и партнеров жертвы.
Группа также рекламирует поддержку со стороны предполагаемых журналистов для создания кампаний по публичному разоблачению, хотя специалисты по безопасности полагаются на контент, создаваемый искусственным интеллектом, и автоматизированные системы, а не на сотрудников-людей.
Эта эволюция отражает более широкую тенденцию отрасли к моделям вымогательства, ориентированным на данные, когда угроза публичного разоблачения и нормативных последствий часто оказывается для жертв более убедительной, чем традиционное шифрование файлов.
Комплексный инструментарий Qilin демонстрирует, как современные адаптируют свои бизнес-модели для сохранения прибыльности в условиях все более сложной операционной среды.
Усовершенствованные механизмы вымогательства
Рост популярности Qilin сопровождался внедрением сложных механизмов вымогательства, которые представляют собой существенный шаг в развитии тактики программ-вымогателей.
Группа вышла за рамки традиционных атак, основанных на шифровании, применив комплексную модель кражи и раскрытия данных, которая оказывает максимальное давление на жертв и одновременно снижает операционные риски, связанные с шифрованием файлов.
