La nueva versión del ransomware Qilin, llamada «Qilin.B» (desarrollada en Rust), presenta mejoras significativas en su capacidad de cifrado y técnicas de evasión.

Mejoras en el cifrado:
Qilin.B emplea cifrado AES-256-CTR con soporte AESNI, lo que acelera el proceso en procesadores compatibles, mientras que sistemas antiguos sin compatibilidad pueden utilizar ChaCha20, asegurando un cifrado sólido en cualquier equipo. Además, la variante añade RSA-4096 con relleno OAEP para proteger la clave de cifrado, dificultando el descifrado sin la clave privada.

Esta nueva versión, introduce una entrada en el Registro de Windows para persistir y termina procesos como Veeam (Servicio de Instantáneas de Volumen de Windows), y bases de datos SQL, para inutilizar las copias de seguridad y desactivar soluciones de seguridad. También borra las instantáneas de volumen y los registros de eventos para evitar la restauración y dificultar el análisis forense (finalizado el cifrado, elimina su propio binario).

La variante se dirige a directorios locales y compartidos en red, dejando notas de rescate con identificadores de víctimas en cada directorio y modificando el Registro para permitir el uso compartido de unidades de red entre procesos elevados y no elevados.

Fuente:

New Qilin.B Ransomware Variant Boasts Enhanced Encryption and Defense Evasion