Qilin Ransomware го претвора пробивањето на јужнокорејскиот MSP во „корејско протекување“ на податоци со 28 жртви

Финансискиот сектор на Јужна Кореја бил таргетиран од она што е опишано како софистициран напад врз синџирот на снабдување, што резултирало со активирање на Qilin рансомвер.

„Оваа операција ја комбинираше моќта на голема Ransomware-as-a-Service (RaaS) група, Qilin, со потенцијално учество на државно поврзани севернокорејски актери (Moonstone Sleet), користејќи компромитирање на Managed Service Provider (MSP) како почетен пристапен вектор,“ соопшти Bitdefender во извештај споделен со The Hacker News.

Qilin се појави како една од најактивните рансомвер операции оваа година, при што RaaS тимот покажал „експлозивен раст“ во октомври 2025 година со повеќе од 180 жртви. Групата е одговорна за 29% од сите рансомвер напади, според податоците од NCC Group.

Романската сајбер-безбедносна компанија одлучила да истражи подлабоко по откривањето на необична зголемување на жртвите на рансомвер од Јужна Кореја во септември 2025 година, кога земјата станала втора најпогодена по САД, со 25 случаи, што е значително зголемување од просечно 2 жртви месечно во периодот од септември 2024 до август 2025 година.

Понатамошната анализа покажала дека сите 25 случаи се единствено поврзани со групата Qilin, при што 24 од жртвите биле во финансискиот сектор. Кампањата ја добила името „Korean Leaks“ од самите напаѓачи.

Иако потеклото на Qilin веројатно е руско, заканувачките актери се идентификуваат како „политички активисти“ и „патриоти на државата.“ Групата следи традиционален афилијативен модел, кој вклучува регрутирање на различни хакери за изведување на нападите во замена за мал дел од незаконските плаќања, до 20%.

Еден посебен афилијат од интерес е севернокорејски државно спонзориран актер, следен како Moonstone Sleet, кој според Microsoft, лансирал прилагодена варијанта на рансомвер наречена FakePenny во напад насочен кон неименувана компанија за одбранбена технологија во април 2024 година.

Потоа, во февруари 2025 година, се случила значителна промена кога заканувачот бил забележан како испорачува Qilin рансомвер во ограничен број организации. Иако не е целосно јасно дали последната серија напади навистина била изведена од групата, таргетирањето на јужнокорејските компании е во согласност со нејзините стратешки цели.

„Korean Leaks“ се случи во три бранови на објавување, при што беа украдени над 1 милион фајлови и 2 TB податоци од 28 жртви. Објавите за жртвите поврзани со уште четири други ентитети беа отстранети од сајтот за објавување на протечени податоци (DLS), што сугерира дека тие можеби биле симнати по преговори за откуп или според некаква уникатна внатрешна политика, соопшти Bitdefender.

Трите бранови се следни:

Бран 1 – опфаќа 10 жртви од секторот за финансиски менаџмент и беше објавен на 14 септември 2025
Бран 2 – опфаќа девет жртви и беше објавен меѓу 17 и 19 септември 2025
Бран 3 – опфаќа девет жртви и беше објавен меѓу 28 септември и 4 октомври 2025

Необичен аспект на овие протекувања е отстапувањето од воспоставените тактики на вршење притисок врз компромитираните организации, со силно насочување кон пропаганда и политички јазик.

„Целата кампања беше претставена како јавна услуга за разобличување на системска корупција, што се гледа преку заканите за објавување фајлови кои би можеле да бидат ‘доказ за манипулација на берзата’ и имиња на ‘познати политичари и бизнисмени во Кореја’“, изјави Bitdefender за првиот бран од кампањата.

Наредните бранови ја зголемија заканата, тврдејќи дека протекување на податоците може да претставува сериозен ризик за корејскиот финансиски пазар. Напаѓачите исто така ги повикаа јужнокорејските власти да го истражат случајот, повикувајќи се на строгите закони за заштита на податоци.

Дополнителна промена во пораките беше забележана во третиот бран, каде групата првично ја продолжи истата тема за национална финансиска криза како последица од објавување на украдените информации, но потоа премина на јазик кој „повеќе наликува на типичните, финансиски мотивирани пораки за изнуда на Qilin“.

Со оглед на тоа што Qilin се фали со „внатрешен тим на новинари“ кој им помага на соработниците во пишување текстови за блог-објави и вршење притисок за време на преговорите, се проценува дека јадрените членови на групата стоеле зад објавувањето на текстовите на DLS.

„Објавите содржат неколку од препознатливите граматички недоследности на главниот оператор“, соопшти Bitdefender. „Сепак, оваа контрола врз финалниот текст не значи дека соработникот бил исклучен од клучно влијание врз пораката или генералната насока на содржината.“

За извршување на овие напади, се наведува дека соработник на Qilin компромитирал еден централен управуван давател на услуги (MSP), искористувајќи го тој пристап за компромитирање на повеќе жртви истовремено. На 23 септември 2025, Korea JoongAng Daily објави дека повеќе од 20 компании за управување со средства биле заразени со ransomware по компромитирањето на GJTec.

За намалување на овие ризици, од суштинско значење е организациите да применуваат повеќефакторска автентикација (MFA), принцип на најмала привилегија (PoLP) за ограничување на пристапот, сегментација на критичните системи и чувствителните податоци, како и проактивни чекори за намалување на површината на напад.

„Компромитирањето на MSP што ја поттикна операцијата ‘Korean Leaks’ укажува на критична слепа точка во дискусиите за сајбер безбедноста“, изјави Bitdefender. „Искористувањето на продавач, изведувач или MSP кој има пристап до други бизниси е почеста и попрактична рута што RaaS групите ја користат за таргетирање на групирани жртви.“

Извори:

• The Hacker News – Qilin Ransomware Turns South Korean MSP Breach Into 28-Victim ‘Korean Leaks’ Data Heist The Hacker News