L'atac de ransomware Agenda (Qilin) condueix al robatori de credencials de Google Chrome
El grup de ransomware Agenda (Qilin) ha introduït una nova tàctica preocupant: desplegar un robatori personalitzat per recollir les credencials del compte emmagatzemades als navegadors Google Chrome. Aquest desenvolupament, observat per l'equip de Sophos X-Ops durant els últims esforços de resposta a incidents, marca una escalada significativa en el panorama del ransomware, fent que aquests atacs siguin encara més difícils de defensar.
Taula de continguts
Visió general de l'atac: un desglossament detallat
Els investigadors de Sophos van analitzar un atac Agenda/Qilin que va començar amb el grup obtenint accés a una xarxa mitjançant credencials compromeses per a un portal VPN que no tenia autenticació multifactor (MFA). L'incompliment va ser seguit d'un període d'inactivitat de 18 dies, cosa que suggereix que Qilin podria haver comprat l'accés a la xarxa a un agent d'accés inicial (IAB). Durant aquesta latència, és probable que els atacants hagin passat temps mapeant la xarxa, identificant actius crítics i realitzant reconeixements.
Després d'aquest període de reconeixement, els atacants es van traslladar lateralment a un controlador de domini, on van modificar els objectes de política de grup (GPO) per executar un script de PowerShell, "IPScanner.ps1", a totes les màquines connectades a la xarxa de domini. Aquest script, executat per un fitxer per lots, 'logon.bat', s'ha dissenyat específicament per recollir les credencials emmagatzemades a Google Chrome.
Recollida de credencials de Chrome: una nova capa de perill
L'script per lots va activar l'script de PowerShell cada vegada que un usuari iniciava sessió a la seva màquina i les credencials robades es van desar a la part compartida "SYSVOL" amb els noms "LD" o "temp.log". Aquests fitxers es van enviar després al servidor de comandament i control (C2) d'Agenda/Qilin, després del qual es van esborrar les còpies locals i els registres d'esdeveniments relacionats per cobrir les pistes dels atacants. Posteriorment, Agenda (Qilin) va desplegar la seva càrrega útil de ransomware, xifrant les dades a través de les màquines compromeses. Es va utilitzar un fitxer GPO i per lots separat, "run.bat", per descarregar i executar el ransomware a totes les màquines del domini.
L'enfocament d'Agenda/Qilin per orientar les credencials de Chrome és especialment alarmant perquè el GPO s'aplicava a totes les màquines del domini. Això significava que tots els dispositius en què un usuari iniciava sessió estaven subjectes al procés de recollida de credencials. L'script podria robar les credencials de totes les màquines de l'empresa, sempre que estiguessin connectades al domini i tinguessin inicis de sessió d'usuari actius durant el període en què l'script va estar operatiu.
Implicacions i estratègies de mitigació
L'extens robatori de credencials facilitat per aquest mètode podria provocar atacs de seguiment, incompliments generalitzats en múltiples plataformes i serveis i complicar significativament els esforços de resposta. A més, introdueix una amenaça persistent que pot persistir fins i tot després de resoldre l'incident de ransomware inicial.
Per mitigar aquest risc, les organitzacions haurien d'aplicar polítiques estrictes contra l'emmagatzematge de credencials als navegadors web. La implementació de l'autenticació multifactorial també és crucial per protegir els comptes del segrest, fins i tot en cas de compromisos de credencials. A més, l'aplicació dels principis del mínim privilegi i la segmentació de la xarxa pot dificultar significativament la capacitat d'un actor d'amenaça de moure's lateralment dins d'un entorn compromès.
Tenint en compte els enllaços de Qilin amb el grup d'enginyeria social Scattered Spider i les seves capacitats multiplataforma, aquest canvi tàctic representa un risc substancial per a les organitzacions. A mesura que grups de ransomware com Qilin continuen evolucionant, mantenir-se vigilant i proactiu en la implementació de mesures de seguretat sòlides és més crític que mai.