ランサムウエアグループ「Qilin」が導入した型破りな決済方法：アフィリエイトを通じた身代金の決済

一般的なRaaS（ランサムウエア・アズ・ア・サービス）プログラムの場合、被害者はRaaSの開発者や運営者が管理するウォレットに身代金を入金し、その後、アフィリエイトが分け前を受け取る仕組みになっています。しかし今年7月、KELAはRaaSプログラム「Qilin（別名Agenda）」を運営する脅威アクターが、「身代金はアフィリエイトのウォレットのみに入金される」と発表したことを確認しました。これは、被害者がQilinのアフィリエイトに身代金を支払った後で、その一部をアフィリエイトがQilinの運営者に支払うという仕組みを意味していると思われます。このアプローチはRaaSプログラムでは一般的ではないものの、LockBitが以前から導入していたことで知られています。

またKELAは、過去数カ月の間にQilinのアフィリエイトが2万5,000～60万米ドルの身代金を要求していたことを確認しました。その1例として、タイの不動産開発会社の事例が挙げられます。我々は、この不動産開発会社が20日間にわたる身代金交渉の末、60万米ドルを支払ったことを確認しました。Qilinは不動産開発会社から身代金を受け取った後、同社の従業員が業務用のPCでフィッシングメールを開いたおかげで初期アクセスを手に入れることができたと明かしていました。さらに、「（不動産開発会社の）ネットワークの深部に侵入するのは簡単だったよ。おたくの管理者のパスワードは、我々がこれまで目にした中でもっとも簡単な部類に入るよ」と語っていました。

Qilinは2022年8月から活動しており、2023年に入って以降、これまでに少なくとも26の組織を侵害しています。



ロシア語からの自動翻訳

自組織を狙う脅威に関するアラートをリアルタイムで受信していただけます。 KELAのサイバー脅威インテリジェンスプラットフォームを、無料でお試しください。