De Agenda (Qilin) Ransomware-aanval leidt tot diefstal van Google Chrome-inloggegevens
De Agenda (Qilin) ransomware- groep heeft een verontrustende nieuwe tactiek geïntroduceerd: het inzetten van een aangepaste stealer om accountgegevens te verzamelen die zijn opgeslagen in Google Chrome-browsers. Deze ontwikkeling, waargenomen door het Sophos X-Ops-team tijdens recente incidentresponsinspanningen, markeert een significante escalatie in het ransomwarelandschap, waardoor deze aanvallen nog moeilijker te verdedigen zijn.
Inhoudsopgave
Overzicht van de aanval: een gedetailleerde uitsplitsing
Sophos-onderzoekers analyseerden een Agenda/Qilin-aanval die begon met de groep die toegang kreeg tot een netwerk via gecompromitteerde inloggegevens voor een VPN-portal zonder multi-factor authentication (MFA). De inbreuk werd gevolgd door een periode van 18 dagen van inactiviteit, wat suggereert dat Qilin mogelijk toegang tot het netwerk heeft gekocht van een initial access broker (IAB). Tijdens deze inactiviteit hebben de aanvallers waarschijnlijk tijd besteed aan het in kaart brengen van het netwerk, het identificeren van kritieke activa en het uitvoeren van verkenningen.
Na deze verkenningsperiode verplaatsten de aanvallers zich lateraal naar een domeincontroller, waar ze Group Policy Objects (GPO's) aanpasten om een PowerShell-script, 'IPScanner.ps1', uit te voeren op alle machines die waren aangemeld bij het domeinnetwerk. Dit script, uitgevoerd door een batchbestand, 'logon.bat', was specifiek ontworpen om inloggegevens te verzamelen die waren opgeslagen in Google Chrome.
Chrome-referentieverzameling: een nieuwe laag van gevaar
Het batchscript activeerde het PowerShell-script elke keer dat een gebruiker inlogde op zijn machine, en de gestolen inloggegevens werden opgeslagen op de 'SYSVOL'-share onder de namen 'LD' of 'temp.log'. Deze bestanden werden vervolgens verzonden naar de command and control (C2)-server van Agenda/Qilin, waarna lokale kopieën en gerelateerde gebeurtenislogboeken werden gewist om de sporen van de aanvallers te verbergen. Vervolgens implementeerde Agenda (Qilin) hun ransomware-payload, waarbij gegevens op de gecompromitteerde machines werden gecodeerd. Een afzonderlijk GPO en batchbestand, 'run.bat', werden gebruikt om de ransomware te downloaden en uit te voeren op alle machines in het domein.
De aanpak van Agenda/Qilin om Chrome-referenties te targeten is met name alarmerend omdat de GPO van toepassing was op alle machines binnen het domein. Dit betekende dat elk apparaat waarop een gebruiker inlogde, onderworpen was aan het proces van het verzamelen van referenties. Het script stal mogelijk referenties van alle machines in het bedrijf, zolang ze verbonden waren met het domein en actieve gebruikerslogins hadden gedurende de periode dat het script operationeel was.
Implicaties en mitigatiestrategieën
De uitgebreide diefstal van inloggegevens die door deze methode wordt gefaciliteerd, kan leiden tot vervolgaanvallen, wijdverspreide inbreuken op meerdere platforms en services en kan de respons aanzienlijk compliceren. Bovendien introduceert het een aanhoudende dreiging die zelfs kan blijven hangen nadat het eerste ransomware-incident is opgelost.
Om dit risico te beperken, moeten organisaties strikte beleidsregels afdwingen tegen het opslaan van referenties in webbrowsers. Het implementeren van multi-factor authenticatie is ook cruciaal om accounts te beschermen tegen kaping, zelfs in het geval van inbreuken op de referenties. Bovendien kan het toepassen van de principes van least privilege en het segmenteren van het netwerk de mogelijkheid van een bedreigingsactor om lateraal te bewegen binnen een gecompromitteerde omgeving aanzienlijk belemmeren.
Gezien Qilins banden met de Scattered Spider social engineering-groep en hun multi-platformcapaciteiten, vormt deze tactische verschuiving een substantieel risico voor organisaties. Naarmate ransomware-groepen zoals Qilin zich blijven ontwikkelen, is het belangrijker dan ooit om waakzaam en proactief te blijven bij het implementeren van robuuste beveiligingsmaatregelen.