Ang Agenda (Qilin) Ransomware Attack ay Humahantong sa Google Chrome Credential Theft
Ang Agenda (Qilin) ransomware group ay nagpakilala ng isang may kinalaman sa bagong taktika: pag-deploy ng custom na magnanakaw upang kunin ang mga kredensyal ng account na nakaimbak sa mga browser ng Google Chrome. Ang pag-unlad na ito, na naobserbahan ng koponan ng Sophos X-Ops sa mga kamakailang pagsusumikap sa pagtugon sa insidente, ay nagmamarka ng isang makabuluhang pagtaas sa landscape ng ransomware, na ginagawang mas mahirap ipagtanggol ang mga pag-atakeng ito.
Talaan ng mga Nilalaman
Pangkalahatang-ideya ng Pag-atake: Isang Detalyadong Breakdown
Sinuri ng mga mananaliksik ng Sophos ang isang pag-atake ng Agenda/Qilin na nagsimula sa pagkakaroon ng grupo ng access sa isang network sa pamamagitan ng mga nakompromisong kredensyal para sa isang VPN portal na walang multi-factor authentication (MFA). Ang paglabag ay sinundan ng 18-araw na panahon ng kawalan ng aktibidad, na nagmumungkahi na si Qilin ay maaaring bumili ng access sa network mula sa isang initial access broker (IAB). Sa panahon ng dormancy na ito, malamang na gumugol ng oras ang mga umaatake sa pagmamapa sa network, pagtukoy ng mga kritikal na asset, at pagsasagawa ng reconnaissance.
Pagkatapos ng panahon ng reconnaissance na ito, lumipat ang mga attacker sa isang domain controller, kung saan binago nila ang Group Policy Objects (GPOs) upang magsagawa ng PowerShell script, 'IPScanner.ps1,' sa lahat ng machine na naka-log in sa domain network. Ang script na ito, na isinagawa ng isang batch file, 'logon.bat,' ay partikular na idinisenyo upang mangolekta ng mga kredensyal na nakaimbak sa Google Chrome.
Chrome Credential Harvesting: Isang Bagong Layer ng Panganib
Na-trigger ng batch script ang PowerShell script sa tuwing magla-log in ang isang user sa kanilang machine, at ang mga ninakaw na kredensyal ay nai-save sa bahaging 'SYSVOL' sa ilalim ng mga pangalang 'LD' o 'temp.log.' Pagkatapos ay ipinadala ang mga file na ito sa server ng command and control (C2) ng Agenda/Qilin, pagkatapos nito ay na-wipe ang mga lokal na kopya at mga nauugnay na log ng kaganapan upang masakop ang mga track ng mga umaatake. Kasunod nito, ang Agenda (Qilin) ay nag-deploy ng kanilang ransomware payload, na nag-encrypt ng data sa mga nakompromisong machine. Ang isang hiwalay na GPO at batch file, 'run.bat,' ay ginamit upang i-download at i-execute ang ransomware sa lahat ng machine sa domain.
Ang diskarte ng Agenda/Qilin sa pag-target sa mga kredensyal ng Chrome ay partikular na nakakaalarma dahil inilapat ang GPO sa lahat ng makina sa loob ng domain. Nangangahulugan ito na ang bawat device na na-log in ng user ay napapailalim sa proseso ng pag-aani ng kredensyal. Ang script ay posibleng magnakaw ng mga kredensyal mula sa lahat ng makina sa buong kumpanya, hangga't nakakonekta ang mga ito sa domain at may mga aktibong login ng user sa panahon ng pagpapatakbo ng script.
Mga Implikasyon at Istratehiya sa Pagbabawas
Ang malawak na pagnanakaw ng kredensyal na pinadali ng paraang ito ay maaaring humantong sa mga follow-up na pag-atake, malawakang paglabag sa maraming platform at serbisyo, at makabuluhang palubhain ang mga pagsusumikap sa pagtugon. Bukod dito, nagpapakilala ito ng patuloy na banta na maaaring magtagal kahit na matapos na malutas ang paunang insidente ng ransomware.
Upang mabawasan ang panganib na ito, dapat na ipatupad ng mga organisasyon ang mga mahigpit na patakaran laban sa pag-iimbak ng mga kredensyal sa mga web browser. Ang pagpapatupad ng multi-factor na pagpapatotoo ay mahalaga din sa pagprotekta sa mga account mula sa pag-hijack, kahit na sa kaganapan ng mga kompromiso sa kredensyal. Higit pa rito, ang paglalapat ng mga prinsipyo ng pinakamaliit na pribilehiyo at pagse-segment ng network ay maaaring makahadlang nang malaki sa kakayahan ng isang banta na lumipat sa gilid sa loob ng isang nakompromisong kapaligiran.
Dahil sa mga link ni Qilin sa pangkat ng social engineering ng Scattered Spider at sa kanilang mga kakayahan sa multi-platform, ang taktikal na pagbabagong ito ay kumakatawan sa isang malaking panganib sa mga organisasyon. Habang patuloy na umuunlad ang mga grupo ng ransomware tulad ng Qilin, ang pananatiling mapagbantay at proaktibo sa pagpapatupad ng mga matatag na hakbang sa seguridad ay mas kritikal kaysa dati.