Противниците – Титан и тиранин

В света на телекомуникационната аналитика Tiger Communications plc дълго време бе символ на надеждност и технологична стабилност. Основана през 1979 г. в Рингууд, графство Хампшър (Великобритания), компанията започва с разработка на хардуер за аналогови телефонни централи. През 80-те години Tiger се преориентира към софтуерни решения и се утвърждава като водещ доставчик на системи за управление на обаждания, контрол на разходите и анализ на комуникации с цел предотвратяване на измами.

Флагманският продукт Tiger Prism се използва от държавни институции, университети и корпорации по целия свят за оптимизиране на комуникационни мрежи, проследяване на трафик и осигуряване на сигурност.

Tiger Communications беше олицетворение на ефективност и доверие — докато не настъпи атаката.

А нападателят? Qilin — име, което предизвиква страх в киберпространството.

Qilin е рускоговоряща група за Ransomware-as-a-Service (RaaS), която се появява през юли 2022 г. под псевдонима Agenda. Оттогава насам тя се превръща в една от най-агресивните и технологично напреднали ransomware организации в света. Зловредният им софтуер, написан на Rust и Golang, позволява атаки както върху Windows, така и върху Linux системи.

Моделът им на работа е безмилостно ефективен:

• Партньорите им получават до 85% от платените откупни суми.

• Групата предлага автоматизирани инструменти за преговори, шифроване на данни, разпространение в мрежата, както и юридически консултации чрез функцията „Call Lawyer“.

Само през последните шест месеца, Qilin е отговорна за над 80 потвърдени атаки – включително срещу болници, правителствени агенции, производствени предприятия и телекомуникационни компании. През април 2025 г. са регистрирани 72 нови жертви, а през юни – още 86 компрометирани организации. Това прави Qilin една от най-активните киберпрестъпни групи в света.

Техните методи включват:

• експлоатация на непачнати уязвимости във Fortinet,

• двойна форма на изнудване – криптиране на данни и заплаха за публично изтичане,

• и психологически натиск чрез фалшиви правни документи.

Сега Tiger Communications е на ръба. А индустрията се пита: Кой е следващият?

Цената на мълчанието

Пълният финансов ефект от атаката с ransomware срещу Tiger Communications остава неразкрит. Към 18 юли 2025 г., компанията не е публикувала официално изявление относно пробива, нито е потвърдила дали се водят преговори за откуп.

Въпреки това, анализатори по киберсигурност изчисляват, че средната стойност на щетите от ransomware атака през 2024 г. надхвърля 4,91 милиона долара. Тази сума включва плащания на откуп, прекъсване на дейността, възстановяване на данни, юридически разходи и репутационни щети.

С оглед на мащаба на Tiger, клиентската ѝ база и естеството на услугите ѝ – телекомуникационна аналитика и откриване на измами – експертите смятат, че потенциалните загуби могат да варират между 5 и 12 милиона долара, в зависимост от степента на изтичане на данни и нарушаване на системите. Според Undercode News групата Qilin обикновено изисква плащания между 500 000 и няколко милиона долара, и предупреждава, че ако Tiger не отговори до 25 юли 2025 г., откраднатите файлове могат да бъдат публично изтекли.

Qilin: Империята на киберпрестъпността

Групата Qilin се утвърди като една от най-финансово успешните ransomware организации за годината. Според Cybersecurity News, Qilin е натрупала над 50 милиона долара от откупни плащания само през 2024 г. Един-единствен удар срещу Synnovis е довел до искане на 50 милиона долара и изтичане на 900 000 пациентски досиета.

Анализаторите изчисляват, че през първата половина на 2025 г., Qilin вече е спечелила между 35 и 45 милиона долара, въз основа на изтекли преговорни логове и структури за изплащане на партньори.

Моделът им на работа е безмилостно ефективен:

• Партньорите (affiliates) получават 80% от плащанията под 3 милиона долара, и 85% над този праг.

• Групата управлява персонализиран панел за партньори, включващ юридически съветници и медийни консултанти, които оказват натиск върху жертвите.

• Инфраструктурата им поддържа PB-скейл съхранение на данни, автоматизирани инструменти за спам, и дори функция „Call Lawyer“, която заплашва жертвите с правни последици.

С други думи, Qilin не просто изнудва – тя управлява киберпрестъпна корпорация с блясъка на Fortune 500 компания.

Анатомия на една атака – и защитата, която можеше да я спре

Атаката срещу Tiger Communications не беше случайна – тя бе резултат от многоетапна кибероперация, извършена с хирургическа прецизност от групата Qilin. Според анализи на заплахи, операцията следваше класическа „kill chain“ структура, използвайки известни уязвимости и усъвършенствани зловредни модули.

Тактики на Qilin

1. Първоначален достъп

• Експлоатация на уязвимости във Fortinet SSL VPN и CVE-2023-27532 във Veeam Backup & Replication.

• Фишинг кампании и използване на откраднати идентификационни данни за заобикаляне на автентикация.

2. Изпълнение и ескалация на привилегии

• Разпространение на зловреден код чрез PowerShell скриптове и фалшиви системни файлове.

• Техника BYOVD („Bring Your Own Vulnerable Driver“) за деактивиране на EDR системи.

• Използване на Mimikatz за извличане на домейн идентификационни данни и достигане на SYSTEM ниво.

3. Странично движение и криптиране

• Използване на PsExec, RDP и SMB споделяния за разпространение в мрежата.

• Деактивиране на Volume Shadow Copy Service (VSS) и изтриване на резервни копия.

• Криптиране с AES-256 CTR и ChaCha20, с разширения като .qilin и .agenda.

Tiger Communications очевидно не разполагаше с централизирана платформа за реакция при заплахи – критичен пропуск в сигурността.

Как Cy-Napea® би могла да предотврати атаката

Cy-Napea®, разработена от Aurora Consolidated Ltd., е модулна платформа за киберсигурност, създадена за защита срещу сложни заплахи като Qilin. Основни функции:

1. Endpoint Detection and Response (EDR)

• Откриване и изолиране на подозрителни процеси в реално време.

• Поведенчески анализ на PowerShell и командни активности.

2. Extended Detection and Response (XDR)

• Корелация на сигнали от крайни точки, мрежи и облачни услуги.

• Откриване на странични движения и неоторизиран достъп до домейн контролери.

3. Защита срещу ransomware и възстановяване

• Блокиране на криптиране и защита чрез непроменяеми резервни копия.

• Възстановяване с едно кликване на компрометирани системи.

4. Управление на уязвимости и пачове

• Откриване и корекция на уязвимости като CVE-2023-27532 и CVE-2024-21762.

• Автоматизирани актуализации за VPN, защитни стени и инструменти за отдалечен достъп.

5. Обучение и симулации

• Обучение на служители за фишинг и социално инженерство.

• Симулации на реални атаки за подготовка при инциденти.

Cy-Napea® не е просто защитна система – тя е дигитална крепост за съвременния бизнес.

Финансово обобщение

• Очаквани загуби за Tiger Communications: между 5 и 12 милиона долара, според индустриални оценки и степента на нарушението.

• Приходи на Qilin: между 35 и 45 милиона долара за първата половина на 2025 г., базирани на изтекли преговорни логове и партньорски модели.

Tiger Communications все още не е потвърдила официално финансови щети или преговори за откуп.

Проверени източници

• Qilin Ransomware: Tactics, Techniques and Mitigation – Daily Security Review

• Qilin Ransomware: Attack Methods – CybelAngel

• Qilin Ransomware: TTPs – Picus Security

• Qilin Ransomware Explained – Qualys Blog

• Cy-Napea® – Официален сайт

• Aurora Consolidated Ltd. – Профил на компанията