O grupo de ransomware Qilin tem utilizado uma nova tática e implantado um stealer personalizado para roubar credenciais de conta armazenadas no navegador Google Chrome.
A técnica de coleta de credenciais foi observada pela equipe Sophos X-Ops durante engajamentos de resposta a incidentes e marca uma mudança alarmante no cenário de ransomware.
O ataque que os pesquisadores da Sophos analisaram começou com o Qilin ganhando acesso a uma rede usando credenciais comprometidas para um portal VPN que não possuía autenticação multi-fator (MFA).
A violação foi seguida por 18 dias de dormência, sugerindo a possibilidade de Qilin ter comprado seu caminho na rede a partir de um broker de acesso inicial (IAB).
Possivelmente, Qilin passou um tempo mapeando a rede, identificando ativos críticos e conduzindo reconhecimento.
Após os primeiros 18 dias, os atacantes se moveram lateralmente para um controlador de domínio e modificaram Objetos de Política de Grupo (GPOs) para executar um script PowerShell ('IPScanner.ps1') em todas as máquinas logadas na rede do domínio.
O script, executado por um script em lote ('logon.bat') que também estava incluído no GPO, foi projetado para coletar credenciais armazenadas no Google Chrome.
O script em lote foi configurado para rodar (e acionar o script PS) toda vez que um usuário iniciasse sessão na sua máquina, enquanto as credenciais roubadas eram salvas no compartilhamento 'SYSVOL' sob os nomes 'LD' ou 'temp.log'.
Após enviar os arquivos para o servidor de comando e controle (C2) do Qilin, as cópias locais e os registros de eventos relacionados eram apagados, para ocultar a atividade maliciosa.
Eventualmente, Qilin implantou seu payload de ransomware e criptografou dados nas máquinas comprometidas.
Outro GPO e um arquivo em lote separado ('run.bat') foram usados para baixar e executar o ransomware em todas as máquinas no domínio.
A abordagem do Qilin para visar credenciais do Chrome cria um precedente preocupante que poderia tornar a proteção contra ataques de ransomware ainda mais desafiadora.
Como o GPO foi aplicado a todas as máquinas no domínio, cada dispositivo no qual um usuário iniciava sessão estava sujeito ao processo de coleta de credenciais.
Isso significa que o script potencialmente roubou credenciais de todas as máquinas da empresa, contanto que essas máquinas estivessem conectadas ao domínio e tivessem usuários logando nelas durante o período em que o script estava ativo.
Um roubo de credenciais tão extenso poderia possibilitar ataques sequenciais, levar a violações em várias plataformas e serviços, tornar os esforços de resposta muito mais onerosos e introduzir uma ameaça duradoura e persistente após o incidente de ransomware ser resolvido.
As organizações podem mitigar esse risco impondo políticas estritas para proibir o armazenamento de segredos em navegadores da web.
Além disso, implementar a autenticação multi-fator é fundamental na proteção de contas contra sequestros, mesmo no caso de comprometimentos de credenciais.
Finalmente, implementar os princípios de mínimo privilégio e segmentação da rede pode significativamente dificultar a capacidade de um ator de ameaça de se espalhar na rede comprometida.
Dado que Qilin é uma ameaça irrestrita e multiplataforma com ligações com os especialistas em engenharia social Scattered Spider, qualquer mudança tática representa um risco significativo para as organizações.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...