L'attacco ransomware Agenda (Qilin) porta al furto di credenziali di Google Chrome
Il gruppo ransomware Agenda (Qilin) ha introdotto una nuova tattica preoccupante: distribuire uno stealer personalizzato per raccogliere le credenziali degli account archiviate nei browser Google Chrome. Questo sviluppo, osservato dal team Sophos X-Ops durante i recenti sforzi di risposta agli incidenti, segna una significativa escalation nel panorama dei ransomware, rendendo questi attacchi ancora più difficili da contrastare.
Sommario
Panoramica dell'attacco: una ripartizione dettagliata
I ricercatori di Sophos hanno analizzato un attacco Agenda/Qilin iniziato con il gruppo che ha ottenuto l'accesso a una rete tramite credenziali compromesse per un portale VPN privo di autenticazione a più fattori (MFA). La violazione è stata seguita da un periodo di inattività di 18 giorni, il che suggerisce che Qilin potrebbe aver acquistato l'accesso alla rete da un broker di accesso iniziale (IAB). Durante questa dormienza, è probabile che gli aggressori abbiano trascorso del tempo a mappare la rete, identificare risorse critiche e condurre ricognizioni.
Dopo questo periodo di ricognizione, gli aggressori si sono spostati lateralmente su un controller di dominio, dove hanno modificato gli oggetti Criteri di gruppo (GPO) per eseguire uno script di PowerShell, 'IPScanner.ps1', su tutte le macchine collegate alla rete di dominio. Questo script, eseguito da un file batch, 'logon.bat', è stato progettato specificamente per raccogliere le credenziali archiviate in Google Chrome.
Raccolta di credenziali Chrome: un nuovo livello di pericolo
Lo script batch attivava lo script PowerShell ogni volta che un utente effettuava l'accesso alla propria macchina e le credenziali rubate venivano salvate nella condivisione 'SYSVOL' con i nomi 'LD' o 'temp.log'. Questi file venivano quindi inviati al server di comando e controllo (C2) di Agenda/Qilin, dopodiché le copie locali e i relativi registri degli eventi venivano cancellati per coprire le tracce degli aggressori. Successivamente, Agenda (Qilin) distribuiva il payload del ransomware, crittografando i dati sulle macchine compromesse. Un GPO separato e un file batch, 'run.bat', venivano utilizzati per scaricare ed eseguire il ransomware su tutte le macchine nel dominio.
L'approccio di Agenda/Qilin al targeting delle credenziali di Chrome è particolarmente allarmante perché il GPO si applicava a tutte le macchine all'interno del dominio. Ciò significava che ogni dispositivo su cui un utente aveva effettuato l'accesso era soggetto al processo di raccolta delle credenziali. Lo script potenzialmente rubava le credenziali da tutte le macchine dell'azienda, a patto che fossero connesse al dominio e avessero accessi utente attivi durante il periodo in cui lo script era operativo.
Implicazioni e strategie di mitigazione
L'ampio furto di credenziali facilitato da questo metodo potrebbe portare ad attacchi successivi, violazioni diffuse su più piattaforme e servizi e complicare notevolmente gli sforzi di risposta. Inoltre, introduce una minaccia persistente che potrebbe persistere anche dopo la risoluzione dell'incidente ransomware iniziale.
Per mitigare questo rischio, le organizzazioni dovrebbero applicare rigide policy contro l'archiviazione delle credenziali nei browser Web. L'implementazione dell'autenticazione a più fattori è inoltre fondamentale per proteggere gli account dal dirottamento, anche in caso di compromissione delle credenziali. Inoltre, l'applicazione dei principi del privilegio minimo e della segmentazione della rete può ostacolare significativamente la capacità di un attore della minaccia di muoversi lateralmente all'interno di un ambiente compromesso.
Considerati i legami di Qilin con il gruppo di ingegneria sociale Scattered Spider e le loro capacità multipiattaforma, questo cambiamento tattico rappresenta un rischio sostanziale per le organizzazioni. Mentre gruppi ransomware come Qilin continuano a evolversi, restare vigili e proattivi nell'implementare misure di sicurezza robuste è più critico che mai.