Segundo os pesquisadores da equipe Sophos X-Ops, agora o ransomware Qilin rouba credenciais no navegador Chrome.
O grupo de ransomware Qilin tem usado uma nova tática e implanta um ladrão personalizado para roubar credenciais de conta armazenadas no navegador Google Chrome.
Ransomware Qilin rouba credenciais no navegador Chrome
As técnicas de coleta de credenciais foram observadas pela equipe Sophos X-Ops durante os engajamentos de resposta a incidentes e marcam uma mudança alarmante na cena do ransomware.
O ataque que os pesquisadores da Sophos analisaram começou com a Qilin obtendo acesso a uma rede usando credenciais comprometidas para um portal VPN que não tinha autenticação multifator (MFA).
A violação foi seguida por 18 dias de dormência, sugerindo a possibilidade da Qilin comprar sua entrada na rede de um corretor de acesso inicial (IAB).
Possivelmente, a Qilin passou um tempo mapeando a rede, identificando ativos críticos e conduzindo o reconhecimento.
Após os primeiros 18 dias, os invasores se moveram lateralmente para um controlador de domínio e modificaram os Objetos de Política de Grupo (GPOs) para executar um script do PowerShell (‘IPScanner.ps1’) em todas as máquinas conectadas à rede de domínio.
O script, executado por um script em lote (‘logon.bat’) que também foi incluído no GPO, foi projetado para coletar credenciais armazenadas no Google Chrome.
O script em lote foi configurado para ser executado (e acionar o script PS) toda vez que um usuário efetuava login em sua máquina, enquanto credenciais roubadas eram salvas no compartilhamento ‘SYSVOL’ sob os nomes ‘LD’ ou ‘temp.log’.
Após enviar os arquivos para o servidor de comando e controle (C2) da Qilin, as cópias locais e os logs de eventos relacionados foram apagados para ocultar a atividade maliciosa.
Por fim, a Qilin implantou sua carga útil de ransomware e dados criptografados nas máquinas comprometidas.
Outro GPO e um arquivo em lote separado (‘run.bat’) foram usados para baixar e executar o ransomware em todas as máquinas do domínio.
A abordagem da Qilin para atingir credenciais do Chrome cria um precedente preocupante que pode tornar a proteção contra ataques de ransomware ainda mais desafiadora.
Como o GPO se aplicava a todas as máquinas no domínio, cada dispositivo em que um usuário efetuava login estava sujeito ao processo de coleta de credenciais.
Isso significa que o script potencialmente roubou credenciais de todas as máquinas da empresa, desde que essas máquinas estivessem conectadas ao domínio e tivessem usuários efetuando login durante o período em que o script estava ativo.
Esse roubo de credenciais tão extenso poderia permitir ataques de acompanhamento, levar a violações generalizadas em várias plataformas e serviços, tornar os esforços de resposta muito mais complicados e introduzir uma ameaça persistente e duradoura após a resolução do incidente de ransomware.
“Um comprometimento bem-sucedido desse tipo significaria que os defensores não apenas devem alterar todas as senhas do Active Directory; eles também devem (em teoria) solicitar que os usuários finais alterem suas senhas para dezenas, potencialmente centenas, de sites de terceiros para os quais os usuários salvaram suas combinações de nome de usuário e senha no navegador Chrome.” – Sophos
As organizações podem mitigar esse risco impondo políticas rígidas para proibir o armazenamento de segredos em navegadores da web.
Além disso, implementar autenticação multifator é essencial para proteger contas contra sequestros, mesmo no caso de comprometimento de credenciais.
Finalmente, implementar os princípios de privilégio mínimo e segmentar a rede pode prejudicar significativamente a capacidade de um agente de ameaça de se espalhar na rede comprometida.
Considerando que Qilin é uma ameaça irrestrita e multiplataforma com links para os especialistas em engenharia social Scattered Spider, qualquer mudança tática representa um risco significativo para as organizações.