O Ataque do Agenda (Qilin) Ransomware Leva ao Roubo de Credenciais do Google Chrome
O grupo do Agenda (Qilin) Ransomware introduziu uma nova tática preocupante: implantar um ladrão personalizado para coletar credenciais de conta armazenadas em navegadores Google Chrome. Esse desenvolvimento, observado pela equipe Sophos X-Ops durante os esforços recentes de resposta a incidentes, marca uma escalada significativa no cenário de ransomware, tornando esses ataques ainda mais desafiadores de se defender.
Índice
Visão Geral do Ataque: Uma Análise Detalhada
Pesquisadores da Sophos analisaram um ataque Agenda/Qilin que começou com o grupo obtendo acesso a uma rede por meio de credenciais comprometidas para um portal VPN que não tinha autenticação multifator (MFA). A violação foi seguida por um período de 18 dias de inatividade, o que sugere que a Qilin pode ter comprado acesso à rede de um corretor de acesso inicial (IAB). Durante essa dormência, é provável que os invasores tenham passado um tempo mapeando a rede, identificando ativos críticos e realizando reconhecimento.
Após esse período de reconhecimento, os invasores se moveram lateralmente para um controlador de domínio, onde modificaram os Objetos de Política de Grupo (GPOs) para executar um script do PowerShell, 'IPScanner.ps1,' em todas as máquinas conectadas à rede de domínio. Esse script, executado por um arquivo em lote, 'logon.bat,' foi projetado especificamente para coletar credenciais armazenadas no Google Chrome.
Coleta de Credenciais do Chrome: Uma Nova Camada de Perigo
O script em lote acionava o script do PowerShell toda vez que um usuário fazia login em sua máquina, e as credenciais roubadas eram salvas no compartilhamento 'SYSVOL' sob os nomes 'LD' ou 'temp.log'. Esses arquivos eram então enviados para o servidor de comando e controle (C2) da Agenda/Qilin, após o qual cópias locais e logs de eventos relacionados eram apagados para cobrir os rastros dos invasores. Posteriormente, a Agenda (Qilin) implantou sua carga útil de ransomware, criptografando dados nas máquinas comprometidas. Um GPO e um arquivo em lote separados, 'run.bat', eram usados para baixar e executar o ransomware em todas as máquinas no domínio.
A abordagem da Agenda/Qilin para direcionar credenciais do Chrome é particularmente alarmante porque o GPO se aplicava a todas as máquinas dentro do domínio. Isso significava que cada dispositivo em que um usuário fazia login estava sujeito ao processo de coleta de credenciais. O script potencialmente roubava credenciais de todas as máquinas da empresa, desde que estivessem conectadas ao domínio e tivessem logins de usuário ativos durante o período em que o script estava operacional.
Implicações e Estratégias de Mitigação
O roubo extensivo de credenciais facilitado por esse método pode levar a ataques subsequentes, violações generalizadas em várias plataformas e serviços e complicar significativamente os esforços de resposta. Além disso, ele introduz uma ameaça persistente que pode permanecer mesmo após o incidente inicial de ransomware ser resolvido.
Para mitigar esse risco, as organizações devem aplicar políticas rígidas contra o armazenamento de credenciais em navegadores da web. Implementar autenticação multifator também é crucial para proteger contas contra sequestro, mesmo em caso de comprometimento de credenciais. Além disso, aplicar os princípios de privilégio mínimo e segmentar a rede pode prejudicar significativamente a capacidade de um agente de ameaça de se mover lateralmente dentro de um ambiente comprometido.
Dadas as ligações da Qilin com o grupo de engenharia social Scattered Spider e suas capacidades multiplataforma, essa mudança tática representa um risco substancial para as organizações. À medida que grupos de ransomware como a Qilin continuam a evoluir, permanecer vigilante e proativo na implementação de medidas de segurança robustas é mais crítico do que nunca.