Atak ransomware Agenda (Qilin) prowadzi do kradzieży danych uwierzytelniających Google Chrome
Grupa ransomware Agenda (Qilin) wprowadziła niepokojącą nową taktykę: wdrażanie niestandardowego złodzieja w celu zbierania danych uwierzytelniających konta przechowywanych w przeglądarkach Google Chrome. Ten rozwój sytuacji, zaobserwowany przez zespół Sophos X-Ops podczas ostatnich działań reagowania na incydenty, oznacza znaczną eskalację w krajobrazie ransomware, co sprawia, że obrona przed tymi atakami jest jeszcze trudniejsza.
Spis treści
Przegląd ataku: szczegółowe omówienie
Badacze Sophos przeanalizowali atak Agenda/Qilin, który rozpoczął się od uzyskania przez grupę dostępu do sieci za pośrednictwem naruszonych danych uwierzytelniających portalu VPN, który nie obsługiwał uwierzytelniania wieloskładnikowego (MFA). Po naruszeniu nastąpił 18-dniowy okres braku aktywności, co sugeruje, że Qilin mógł kupić dostęp do sieci od brokera dostępu początkowego (IAB). Podczas tego uśpienia atakujący prawdopodobnie spędzili czas na mapowaniu sieci, identyfikowaniu kluczowych zasobów i przeprowadzaniu rozpoznania.
Po tym okresie rozpoznania atakujący przeszli poziomo do kontrolera domeny, gdzie zmodyfikowali obiekty zasad grupy (GPO), aby wykonać skrypt programu PowerShell, „IPScanner.ps1”, na wszystkich komputerach zalogowanych do sieci domeny. Ten skrypt, wykonywany przez plik wsadowy, „logon.bat”, został specjalnie zaprojektowany do zbierania poświadczeń przechowywanych w przeglądarce Google Chrome.
Zbieranie danych uwierzytelniających Chrome: nowy poziom zagrożenia
Skrypt wsadowy uruchamiał skrypt PowerShell za każdym razem, gdy użytkownik logował się do swojego komputera, a skradzione dane uwierzytelniające były zapisywane w udziale „SYSVOL” pod nazwami „LD” lub „temp.log”. Następnie pliki te były wysyłane do serwera poleceń i kontroli (C2) Agenda/Qilin, po czym kopie lokalne i powiązane dzienniki zdarzeń były czyszczone, aby zatrzeć ślady atakujących. Następnie Agenda (Qilin) wdrożyła ładunek ransomware, szyfrując dane na zainfekowanych komputerach. Oddzielny GPO i plik wsadowy „run.bat” zostały użyte do pobrania i uruchomienia ransomware na wszystkich komputerach w domenie.
Podejście Agenda/Qilin do atakowania poświadczeń Chrome jest szczególnie alarmujące, ponieważ GPO dotyczyło wszystkich maszyn w domenie. Oznaczało to, że każde urządzenie, do którego zalogował się użytkownik, podlegało procesowi zbierania poświadczeń. Skrypt potencjalnie kradł poświadczenia ze wszystkich maszyn w firmie, o ile były one połączone z domeną i miały aktywne logowania użytkowników w okresie, w którym skrypt działał.
Konsekwencje i strategie łagodzenia
Rozległe kradzieże danych uwierzytelniających ułatwione tą metodą mogą prowadzić do kolejnych ataków, powszechnych naruszeń na wielu platformach i usługach oraz znacznie komplikować działania reagowania. Ponadto wprowadza trwałe zagrożenie, które może utrzymywać się nawet po rozwiązaniu pierwotnego incydentu ransomware.
Aby złagodzić to ryzyko, organizacje powinny egzekwować surowe zasady dotyczące przechowywania poświadczeń w przeglądarkach internetowych. Wdrożenie uwierzytelniania wieloskładnikowego jest również kluczowe w ochronie kont przed przejęciem, nawet w przypadku naruszenia poświadczeń. Ponadto stosowanie zasad najmniejszych uprawnień i segmentacja sieci może znacznie utrudnić aktorowi zagrożenia poruszanie się bocznie w zagrożonym środowisku.
Biorąc pod uwagę powiązania Qilin z grupą inżynierii społecznej Scattered Spider i ich możliwości multiplatformowe, ta zmiana taktyki stanowi poważne ryzyko dla organizacji. W miarę jak grupy ransomware, takie jak Qilin, nadal ewoluują, zachowanie czujności i proaktywności we wdrażaniu solidnych środków bezpieczeństwa jest ważniejsze niż kiedykolwiek.