Sulmi Ransomware i Axhendës (Qilin) çon në vjedhje të kredencialeve të Google Chrome
Grupi i ransomware Agenda (Qilin) ka prezantuar një taktikë të re shqetësuese: vendosjen e një vjedhësi të personalizuar për të mbledhur kredencialet e llogarive të ruajtura në shfletuesit Google Chrome. Ky zhvillim, i vëzhguar nga ekipi i Sophos X-Ops gjatë përpjekjeve të fundit të reagimit ndaj incidenteve, shënon një përshkallëzim të rëndësishëm në peizazhin e ransomware, duke i bërë këto sulme edhe më sfiduese për t'u mbrojtur.
Tabela e Përmbajtjes
Përmbledhje e sulmit: Një ndarje e detajuar
Studiuesit e Sophos analizuan një sulm Agenda/Qilin që filloi me marrjen e aksesit të grupit në një rrjet nëpërmjet kredencialeve të komprometuara për një portal VPN të cilit i mungonte vërtetimi me shumë faktorë (MFA). Shkelja u pasua nga një periudhë pasiviteti 18-ditore, e cila sugjeron që Qilin mund të ketë blerë akses në rrjet nga një ndërmjetës fillestar i aksesit (IAB). Gjatë këtij përgjumjeje, ka të ngjarë që sulmuesit kaluan kohë duke hartuar rrjetin, duke identifikuar asetet kritike dhe duke kryer zbulim.
Pas kësaj periudhe zbulimi, sulmuesit kaluan anash te një kontrollues domeni, ku modifikuan Objektet e Politikës së Grupit (GPO) për të ekzekutuar një skript PowerShell, 'IPScanner.ps1', në të gjitha makinat e regjistruara në rrjetin e domenit. Ky skript, i ekzekutuar nga një skedar grupi, 'logon.bat', u krijua posaçërisht për të mbledhur kredencialet e ruajtura në Google Chrome.
Marrja e kredencialeve të kromit: Një shtresë e re rreziku
Skripti i grupit aktivizonte skriptin PowerShell sa herë që një përdorues hynte në kompjuterin e tij dhe kredencialet e vjedhura ruheshin në ndarjen 'SYSVOL' nën emrat 'LD' ose 'temp.log.' Këto skedarë u dërguan më pas në serverin e komandës dhe kontrollit të Agenda/Qilin (C2), pas së cilës kopjet lokale dhe regjistrat e ngjarjeve të lidhura u fshinë për të mbuluar gjurmët e sulmuesve. Më pas, Agenda (Qilin) vendosi ngarkesën e tyre të ransomware, duke enkriptuar të dhënat nëpër makinat e komprometuara. Një skedar i veçantë GPO dhe grupi, 'run.bat', u përdorën për të shkarkuar dhe ekzekutuar ransomware në të gjitha makinat në domen.
Qasja e Axhendës/Qilin për të synuar kredencialet e Chrome është veçanërisht alarmante sepse GPO zbatohej për të gjitha makinat brenda domenit. Kjo do të thoshte se çdo pajisje ku një përdorues ishte identifikuar i nënshtrohej procesit të mbledhjes së kredencialeve. Skripti potencialisht vodhi kredencialet nga të gjitha makinat në të gjithë kompaninë, për sa kohë që ato ishin të lidhura me domenin dhe kishin hyrje aktive të përdoruesve gjatë periudhës kur skripti ishte funksional.
Implikimet dhe Strategjitë e Zbutjes
Vjedhja e gjerë e kredencialeve e lehtësuar nga kjo metodë mund të çojë në sulme pasuese, shkelje të përhapura nëpër platforma dhe shërbime të shumta dhe të komplikojë ndjeshëm përpjekjet e reagimit. Për më tepër, ai paraqet një kërcënim të vazhdueshëm që mund të zgjasë edhe pasi të zgjidhet incidenti fillestar i ransomware.
Për të zbutur këtë rrezik, organizatat duhet të zbatojnë politika strikte kundër ruajtjes së kredencialeve në shfletuesit e internetit. Zbatimi i vërtetimit me shumë faktorë është gjithashtu thelbësor në mbrojtjen e llogarive nga rrëmbimi, edhe në rast kompromisi të kredencialeve. Për më tepër, zbatimi i parimeve të privilegjit më të vogël dhe segmentimi i rrjetit mund të pengojë ndjeshëm aftësinë e një aktori kërcënimi për të lëvizur anash brenda një mjedisi të komprometuar.
Duke pasur parasysh lidhjet e Qilin me grupin e inxhinierisë sociale të Scattered Spider dhe aftësitë e tyre në shumë platforma, ky ndryshim taktik përfaqëson një rrezik thelbësor për organizatat. Ndërsa grupet e ransomware si Qilin vazhdojnë të evoluojnë, të qëndrosh vigjilentë dhe proaktiv në zbatimin e masave të forta të sigurisë është më kritike se kurrë.