Atacul ransomware Agenda (Qilin) duce la furtul de acreditări Google Chrome
Grupul de ransomware Agenda (Qilin) a introdus o nouă tactică îngrijorătoare: implementarea unui furt personalizat pentru a colecta acreditările contului stocate în browserele Google Chrome. Această dezvoltare, observată de echipa Sophos X-Ops în timpul eforturilor recente de răspuns la incident, marchează o escaladare semnificativă a peisajului ransomware, făcând aceste atacuri și mai dificil de apărat.
Cuprins
Privire de ansamblu asupra atacurilor: o defalcare detaliată
Cercetătorii Sophos au analizat un atac Agenda/Qilin care a început odată cu obținerea accesului grupului la o rețea prin intermediul acreditărilor compromise pentru un portal VPN care nu avea autentificare multifactor (MFA). Încălcarea a fost urmată de o perioadă de inactivitate de 18 zile, ceea ce sugerează că este posibil ca Qilin să fi achiziționat acces la rețea de la un broker de acces inițial (IAB). În timpul acestei repaus, este probabil că atacatorii au petrecut timp cartând rețeaua, identificând activele critice și efectuând recunoașteri.
După această perioadă de recunoaștere, atacatorii s-au mutat lateral la un controler de domeniu, unde au modificat obiectele de politică de grup (GPO) pentru a executa un script PowerShell, „IPScanner.ps1”, pe toate mașinile conectate în rețeaua de domeniu. Acest script, executat de un fișier batch, „logon.bat”, a fost conceput special pentru a colecta acreditările stocate în Google Chrome.
Recoltarea acreditărilor Chrome: un nou strat de pericol
Scriptul batch a declanșat scriptul PowerShell de fiecare dată când un utilizator s-a conectat la computerul său, iar acreditările furate au fost salvate pe partajarea „SYSVOL” sub numele „LD” sau „temp.log”. Aceste fișiere au fost apoi trimise către serverul de comandă și control (C2) al Agenda/Qilin, după care copiile locale și jurnalele de evenimente aferente au fost șterse pentru a acoperi urmele atacatorilor. Ulterior, Agenda (Qilin) și-a implementat sarcina de ransomware, criptând datele de pe mașinile compromise. Un GPO separat și un fișier batch, „run.bat”, au fost folosite pentru a descărca și executa ransomware-ul pe toate mașinile din domeniu.
Abordarea Agenda/Qilin de a viza acreditările Chrome este deosebit de alarmantă, deoarece GPO s-a aplicat tuturor mașinilor din domeniu. Acest lucru însemna că fiecare dispozitiv la care un utilizator s-a conectat a fost supus procesului de colectare a acreditărilor. Scriptul a furat potențial acreditări de la toate mașinile din companie, atâta timp cât acestea au fost conectate la domeniu și au avut autentificări active ale utilizatorilor în perioada în care scriptul a fost operațional.
Implicații și strategii de atenuare
Furtul extins de acreditări facilitat de această metodă ar putea duce la atacuri ulterioare, încălcări pe scară largă pe mai multe platforme și servicii și poate complica semnificativ eforturile de răspuns. Mai mult, introduce o amenințare persistentă care poate persista chiar și după rezolvarea incidentului inițial de ransomware.
Pentru a atenua acest risc, organizațiile ar trebui să aplice politici stricte împotriva stocării acreditărilor în browserele web. Implementarea autentificării cu mai mulți factori este, de asemenea, crucială în protejarea conturilor împotriva deturnării, chiar și în cazul compromisurilor de acreditări. Mai mult, aplicarea principiilor celui mai mic privilegiu și segmentarea rețelei poate împiedica semnificativ capacitatea unui actor de amenințare de a se deplasa lateral într-un mediu compromis.
Având în vedere legăturile lui Qilin cu grupul de inginerie socială Scattered Spider și capacitățile sale multiplatforme, această schimbare tactică reprezintă un risc substanțial pentru organizații. Pe măsură ce grupurile de ransomware precum Qilin continuă să evolueze, rămâneți vigilenți și proactivi în implementarea măsurilor de securitate robuste este mai critic ca niciodată.