Группировка программ-вымогателей Qilin, ответственная за разрушительную кибератаку 2024 года на крупного партнера NHS, сохранила свой статус «главного игрока» в экосистеме программ-вымогателей в январе 2026 года, на которую пришлось почти пятая часть всех зафиксированных атак, согласно данным, собранным NCC Group для своего регулярного ежемесячного кибербарометра. В своем последнем отчете NCC сообщила, что в январе зафиксировала 108 атак Qilin, что составляет 17% от общего числа, хотя это немного меньше, чем в декабре, когда было зарегистрировано 170 атак, — NCC отметила, что общий объем атак в это время года имеет тенденцию к снижению, что и произошло в январе: активность упала на 17% до 651 зарегистрированного инцидента. Вице-президент NCC по киберразведке и реагированию Мэтт Халл заявил, что такая картина активности тесно повторяет ту, что наблюдалась в прошлом году. «Учитывая масштабы и сбои 2025 года, эта модель может быть ранним сигналом того, что 2026 год может пойти по схожему пути. Организации не должны принимать ежемесячное снижение за уменьшение риска», — сказал он. Что касается Qilin, то ее атаки не показывают признаков прекращения — за последние несколько дней группировка заявила о взломе Местного отделения 100 Американского профсоюза транспортных рабочих (TWU), затронувшем 41 000 нынешних и 26 000 бывших сотрудников системы общественного транспорта Нью-Йорка. NCC заявила, что банда последовательно нацеливается на организации в критически важных и промышленных секторах, где операционные сбои и раскрытие конфиденциальных данных могут усилить давление с целью уступок ее требованиям о выкупе. Активная около трех с половиной лет, Qilin — которая некоторое время использовала название Agenda — работает по стандартной модели Ransomware-as-a-Service (RaaS), распространяя свои инструменты среди сети доверенных аффилиатов, которые выполняют за нее грязную работу. С большим отрывом наибольшее число зарегистрированных жертв приходится на США — 333 известные жертвы, за которыми следуют Канада, Великобритания, Франция и Германия — согласно данным, собранным прошлой осенью командой Cisco Talos. В то время Talos сообщала о примерно 24 известных жертвах Qilin в Великобритании. «Северная Америка остается наиболее целевым регионом из-за сочетания геополитических факторов, экономических стимулов и широкой цифровой уязвимости. Атаки Qilin с высоким резонансом на американские организации… показывают, как ведущие угрозы фокусируются на секторах, где данные и сбои несут наибольшую ценность», — сказал Халл. Другими наиболее активными операциями по программам-вымогателям, которые NCC наблюдала в прошлом месяце, были Akira, осуществившая 68 известных атак, sinobi с 56, INC Ransom с 47 и Cl0p с 46. Промышленный сектор оставался наиболее пострадавшим, на его долю приходилось 32% активности, за ним следовали дискреционные потребительские товары, которые пострадали от 23% известных атак, и ИТ — 11%.
Фрагментированный ландшафт
В своем отчете Threat Pulse за этот месяц NCC выразила сожаление по поводу того, как быстро децентрализующийся ландшафт программ-вымогателей — что также отмечают другие наблюдатели рынка в последние недели — делает все более сложным получение точной отчетности по разведывательным данным об угрозах. Это, несомненно, является результатом популярности моделей «бизнеса» RaaS среди киберпреступников. Например, несколько злоумышленников могут проводить операции под одним и тем же брендом, а аффилиаты могут легко работать с несколькими операциями RaaS одновременно, и NCC ссылалась на недавние исследования, которые выявили общие адреса для вывода криптовалюты, связывающие несколько банд программ-вымогателей, включая Qilin, через общего аффилиата. В то же время проблемы, с которыми сталкиваются банды программ-вымогателей, такие как риски операционной безопасности от разгневанных конкурентов или давление со стороны правоохранительных органов, увеличивают темпы, с которыми группы перевоплощаются и меняют свои названия. Ситуацию не улучшает сохраняющийся высокий уровень активности программ-вымогателей и огромный объем «шума», генерируемого источниками, начиная от форумов в даркнете и заканчивая сайтами с утечками и социальными сетями. NCC отметила недавний случай с 0APT, который вызвал большой ажиотаж в январе и побудил многих штатных исследователей угроз из различных поставщиков услуг безопасности поспешно подготовить новый анализ для своих клиентов, только чтобы обнаружить, что заявления банды оказались преувеличенным вздором через пару дней. Дополнительная проблема, с которой сталкиваются исследовательские группы в 2026 году, заключается в частом расхождении между тем, когда и как сообщается, обнаруживаются и раскрываются атаки. Например, в январе Qilin была связана с атакой на систему здравоохранения США Covenant, которая на самом деле произошла в мае 2025 года. Эти искаженные временные рамки еще больше усложняют анализ, потенциально искажая истинный операционный темп банд программ-вымогателей, что, в свою очередь, может привести к ситуациям, когда в данных появляются «искусственные» всплески активности. Это произошло летом 2023 года, когда массовая публикация Cl0p о жертвах MOVEit резко исказила данные отчета NCC. Все это в совокупности затрудняет аналитикам понимание тактик, методов и процедур (TTP) и создает риск того, что «хорошие парни» сделают дублирующие или неточные атрибуции. Команды NCC работают над преодолением некоторых из этих ограничений в будущем. Ключевым моментом в этой работе является консолидация нескольких агрегаторов потоков угроз в централизованную базу данных, которая служит единым источником истины с высокой степенью достоверности и теперь подвергается многократному процессингу, фильтрации, дедупликации и обогащению, чтобы попытаться составить более точную картину ландшафта программ-вымогателей. Это позволило лучше различать подтвержденные и заявленные списки, а также те, которые — как причудливые заявления 0APT — являются переработанными или откровенными выдумками.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
