एजेंडा (किलिन) रैनसमवेयर हमले से गूगल क्रोम क्रेडेंशियल चोरी हो गई

एजेंडा (किलिन) रैनसमवेयर समूह ने एक चिंताजनक नई रणनीति शुरू की है: Google Chrome ब्राउज़र में संग्रहीत खाता क्रेडेंशियल्स को प्राप्त करने के लिए एक कस्टम स्टीलर को तैनात करना। हाल ही में घटना प्रतिक्रिया प्रयासों के दौरान सोफोस एक्स-ऑप्स टीम द्वारा देखा गया यह विकास रैनसमवेयर परिदृश्य में एक महत्वपूर्ण वृद्धि को दर्शाता है, जिससे इन हमलों से बचाव करना और भी चुनौतीपूर्ण हो जाता है।

हमले का अवलोकन: विस्तृत विवरण

सोफोस शोधकर्ताओं ने एजेंडा/किलिन हमले का विश्लेषण किया, जिसकी शुरुआत समूह द्वारा VPN पोर्टल के लिए समझौता किए गए क्रेडेंशियल के माध्यम से नेटवर्क तक पहुँच प्राप्त करने से हुई, जिसमें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) की कमी थी। उल्लंघन के बाद 18 दिनों की निष्क्रियता की अवधि थी, जो बताती है कि किलिन ने प्रारंभिक एक्सेस ब्रोकर (IAB) से नेटवर्क तक पहुँच खरीदी हो सकती है। इस निष्क्रियता के दौरान, यह संभावना है कि हमलावरों ने नेटवर्क को मैप करने, महत्वपूर्ण संपत्तियों की पहचान करने और टोही करने में समय बिताया।

इस टोही अवधि के बाद, हमलावर एक डोमेन नियंत्रक पर चले गए, जहाँ उन्होंने डोमेन नेटवर्क में लॉग इन सभी मशीनों पर PowerShell स्क्रिप्ट, 'IPScanner.ps1' को निष्पादित करने के लिए समूह नीति ऑब्जेक्ट्स (GPO) को संशोधित किया। बैच फ़ाइल, 'logon.bat' द्वारा निष्पादित यह स्क्रिप्ट विशेष रूप से Google Chrome में संग्रहीत क्रेडेंशियल्स को इकट्ठा करने के लिए डिज़ाइन की गई थी।

क्रोम क्रेडेंशियल हार्वेस्टिंग: खतरे की एक नई परत

बैच स्क्रिप्ट ने हर बार जब कोई उपयोगकर्ता अपनी मशीन में लॉग इन करता था, तो PowerShell स्क्रिप्ट को ट्रिगर किया, और चुराए गए क्रेडेंशियल 'SYSVOL' शेयर पर 'LD' या 'temp.log' नामों के तहत सहेजे गए। इन फ़ाइलों को फिर एजेंडा/किलिन के कमांड और कंट्रोल (C2) सर्वर पर भेजा गया, जिसके बाद स्थानीय प्रतियों और संबंधित ईवेंट लॉग को हमलावरों के ट्रैक को कवर करने के लिए मिटा दिया गया। इसके बाद, एजेंडा (किलिन) ने अपने रैनसमवेयर पेलोड को तैनात किया, जो समझौता किए गए मशीनों में डेटा को एन्क्रिप्ट करता है। डोमेन में सभी मशीनों में रैनसमवेयर को डाउनलोड करने और निष्पादित करने के लिए एक अलग GPO और बैच फ़ाइल, 'run.bat' का उपयोग किया गया था।

क्रोम क्रेडेंशियल को लक्षित करने के लिए एजेंडा/किलिन का दृष्टिकोण विशेष रूप से चिंताजनक है क्योंकि GPO डोमेन के भीतर सभी मशीनों पर लागू होता है। इसका मतलब यह था कि उपयोगकर्ता द्वारा लॉग इन किया गया प्रत्येक डिवाइस क्रेडेंशियल-हार्वेस्टिंग प्रक्रिया के अधीन था। स्क्रिप्ट संभावित रूप से कंपनी भर में सभी मशीनों से क्रेडेंशियल चुरा लेती थी, जब तक कि वे डोमेन से जुड़ी हुई थीं और स्क्रिप्ट के चालू रहने की अवधि के दौरान उनमें सक्रिय उपयोगकर्ता लॉगिन थे।

निहितार्थ और शमन रणनीतियाँ

इस पद्धति द्वारा सुगम बनाए गए व्यापक क्रेडेंशियल चोरी से अनुवर्ती हमले, कई प्लेटफ़ॉर्म और सेवाओं में व्यापक उल्लंघन हो सकते हैं, और प्रतिक्रिया प्रयासों को काफी जटिल बना सकते हैं। इसके अलावा, यह एक लगातार खतरा पैदा करता है जो प्रारंभिक रैनसमवेयर घटना के हल होने के बाद भी बना रह सकता है।

इस जोखिम को कम करने के लिए, संगठनों को वेब ब्राउज़र में क्रेडेंशियल संग्रहीत करने के विरुद्ध सख्त नीतियाँ लागू करनी चाहिए। क्रेडेंशियल समझौता होने की स्थिति में भी खातों को अपहरण से बचाने के लिए बहु-कारक प्रमाणीकरण लागू करना भी महत्वपूर्ण है। इसके अलावा, कम से कम विशेषाधिकार के सिद्धांतों को लागू करने और नेटवर्क को विभाजित करने से किसी खतरे वाले अभिनेता की समझौता किए गए वातावरण में पार्श्विक रूप से आगे बढ़ने की क्षमता में काफी बाधा आ सकती है।

स्कैटर्ड स्पाइडर सोशल इंजीनियरिंग समूह और उनकी मल्टी-प्लेटफ़ॉर्म क्षमताओं के साथ किलिन के संबंधों को देखते हुए, यह सामरिक बदलाव संगठनों के लिए एक बड़ा जोखिम दर्शाता है। चूंकि किलिन जैसे रैनसमवेयर समूह लगातार विकसित हो रहे हैं, इसलिए मजबूत सुरक्षा उपायों को लागू करने में सतर्क और सक्रिय रहना पहले से कहीं ज़्यादा महत्वपूर्ण है।