Qilin Ransomware ha adoptado una nueva táctica, desplegando un ladrón de credenciales personalizado para extraer datos de cuentas almacenadas en el navegador Google Chrome.
Un análisis realizado por investigadores de Sophos, reveló que el ataque comenzó cuando «Qilin» obtuvo acceso a una red a través de credenciales comprometidas de un portal VPN que no contaba con autenticación multifactor (MFA). Tras la intrusión, los atacantes permanecieron inactivos durante 18 días, lo que sugiere que podrían haber adquirido acceso a través de un intermediario de acceso inicial (IAB).
Después de este periodo de inactividad, los atacantes se movieron lateralmente a un controlador de dominio y alteraron los objetos de directiva de grupo (GPO) para ejecutar un script de PowerShell (‘IPScanner.ps1’) en todas las máquinas conectadas a la red del dominio.
Este script lanzado (‘logon.bat‘), se configuró para ejecutarse cada vez que un usuario inicia sesión en su máquina, y esta diseñado para extraer credenciales almacenadas en Google Chrome. Estas se almacenan en el recurso compartido ‘SYSVOL‘ bajo los nombres de ‘LD‘ o ‘temp.log‘.
Posteriormente, los archivos se envian a un servidor de comando y control (C2), y se borran las copias locales y los registros de eventos para ocultar la actividad maliciosa. Finalmente, Qilin Ransomware cifra los datos en las máquinas comprometidas.
Las organizaciones pueden mitigar este riesgo implementando políticas estrictas que prohíban el almacenamiento de credenciales en navegadores web. Agregar la implementación de autenticación multifactor (MFA) es fundamental para proteger las cuentas (incluso si las credenciales se ven comprometidas). Por último, aplicar principios de privilegios mínimos y segmentación de la red para dificultar significativamente la propagación de un atacante en una red comprometida.
Fuente:
Qilin ransomware caught stealing credentials stored in Google Chrome
Ciberprisma - alianza por la ciberseguridad 