Руската хакерска група Qilin рязко е увеличила атаките си срещу институции и фирми по цял свят, причиняващи огромни финансови щети чрез кражба на информация и изнудване. Тя използва "рансъмуер" (ransom е откуп на англ. език) - хакерите вкарват зловредни програми в сървъри и мрежи, криптират данни, а после искат откуп, за да "отключат" и/или да не разпространяват похитената информация.    

Само от началото на годината жертвите й са повече от 400 в над 30 държави - сред тях има болници, университети, правителствени агенции и др. Сред последните ударени е фармацевтичната компания Inotiv, която преди дни съобщи, че е била подложена на ransomware атака. Самите хакери се похвалиха на своя сайт, че са откраднали 176 Gb данни от базираната в Индианаполис, САЩ, компания.  

Една от най-известните атаки  - от юни 2024 г. срещу доставчика на здравни услуги Synnovis - парализира болниците на NHS в Лондон и доведе до отмяната на стотици операции и прием на пациенти. Сред изнудваните от Qilin има организации в Малайзия, САЩ, Тайланд, Китай и няколко европейски държави, включително строителни фирми, благотворителни организации и държавни агенции.

Ядрото на Qilin се намира в Източна Европа: участниците редовно общуват на руски език в хакерските форуми. Групата се обозначи за първи път през лятото на 2022 г. под името Agenda. "Тя действа като Ransomware-as-a-Service (RaaS)  - партньорите се набират чрез затворени форуми, като получава 80-85% от приходите от рансъмуер, а организаторите взимат останалото. 

Експертите по киберпрестъпност отбелязват, че Qilin използва мощни криптографски алгоритми, има вградени механизми за борба с логването, както и функции за самоунищожение - в случай, че бъде разкрита.

"Руската кибер армия"  - по света и у нас

Друга руска хакерска група, нарекла се "Народная CyberAрмия", също има жертви по цял свят, вкл; и в България. "Армията" продава достъп до сайта на голям наш университет, разкри Туитър профил. "Услугата" струва 2500 долара.

"С едно гугъл търсене открих, че става дума за ТУ-София. Случайно разбрах, че са хакнали и сайта на "Мебели Явор", пише акаунтът, който прикачва и обяви за продажба на достъп:

Миналата година Google огласи проучване, което доказва връзката на Русия със сериозни кибератаки в много страни по света. Според доклада групата, наричаща се Sandworm и APT44, както и нейни подразделения като "Народная Cyber Армия ” и XakNet, са замесени в атаки срещу енергийна и телекомуникационна инфраструктура, медии, правозащитни и други организации. Sandworm/ APT44 действа в три направления – шпионаж, дезинформация и блокиране на мрежи и оборудване. 

Основна мишена на Sandworm и нейните подразделения е Украйна, в това число масирана кибер атака срещу украинския държавен резерв на 23 февруари 2022 г., часове, преди нахлуването на Русия. Сайтове и структури за киберсигурност определят Sandworm като „най-разрушителната руска кибер-единица".

Хакерите разгласяват акциите и целите си в Телеграм канали, като ги „превземат" чрез вируси и ползват аудиторията им. Така са оповестявани хакванията на огромна пречиствателна станция в Полша, на градска система за водоснабдяване в САЩ, на френска ВЕЦ и др. 

Сред жертвите на хакерите са журналисти, правозащитници, международни организации, които се опитват да следят какво се случва в Русия зад кремълската пропаганда.