Η Qilin, μια ομάδα χάκερ που δημιουργεί ransomware (κακόβουλο λογισμικό που κλειδώνει τα αρχεία σας και ζητά λύτρα για να τα ξεκλειδώσει), έχει βρει έναν νέο τρόπο να επιτίθεται, έχοντας αναπτύξει ένα ειδικό εργαλείο (stealer) για να κλέψουν τους κωδικούς σας που έχετε αποθηκεύσει στον Google Chrome.
Αυτή η τεχνική συλλογής διαπιστευτηρίων παρατηρήθηκε από την ομάδα Sophos X-Ops όταν ανέλαβαν να αντιμετωπίσουν κυβερνοεπιθέσεις και αποτελεί μια ανησυχητική εξέλιξη στον κόσμο των ransomware.
Επισκόπηση της επίθεσης
Η επίθεση που ανέλυσαν οι ερευνητές της Sophos ξεκίνησε όταν η ομάδα Qilin απέκτησε πρόσβαση σε ένα δίκτυο χρησιμοποιώντας συμβιβασμένα διαπιστευτήρια για μια αδύναμη VPN που δεν είχε ενεργοποιημένο τον πολλαπλό παράγοντα ελέγχου ταυτότητας (MFA).
Μετά την παραβίαση, ακολούθησαν 18 ημέρες αδράνειας, κάτι που υποδηλώνει την πιθανότητα η ομάδα Qilin να αγόρασε την είσοδο στο δίκτυο από έναν αρχικό μεσίτη πρόσβασης (IAB).
Πιθανώς, η Qilin πέρασε αυτόν τον χρόνο χαρτογραφώντας το δίκτυο, αναγνωρίζοντας κρίσιμα περιουσιακά στοιχεία και διεξάγοντας αναγνώριση.
Εξάπλωση εντός του δικτύου
Μετά τις πρώτες 18 ημέρες, οι επιτιθέμενοι κινήθηκαν πλευρικά προς έναν domain controller και τροποποίησαν τα Group Policy Objects (GPOs) για να εκτελέσουν ένα PowerShell script («IPScanner.ps1») σε όλες τις μηχανές που ήταν συνδεδεμένες στο domain network.
Το σενάριο, που εκτελέστηκε από ένα batch script («logon.bat») που περιλήφθηκε επίσης στο GPO, σχεδιάστηκε για να συλλέγει διαπιστευτήρια αποθηκευμένα στον Google Chrome.
Το batch script ήταν διαμορφωμένο να τρέχει (και να ενεργοποιεί το PS script) κάθε φορά που ένας χρήστης συνδεόταν στη μηχανή του, ενώ τα κλεμμένα διαπιστευτήρια αποθηκεύονταν στο κοινόχρηστο SYSVOL με τα ονόματα «LD» ή «temp.log».
Περιεχόμενα του dump αρχείου ld
Μετά την αποστολή των αρχείων στον command and control (C2) server της ομάδας Qilin, τα τοπικά αντίγραφα και τα σχετικά αρχεία καταγραφής συμβάντων διαγράφηκαν, για να κρύψουν τη κακόβουλη δραστηριότητα. Τελικά, η ομάδα Qilin ανέπτυξε το ransomware φορτίο τους και κρυπτογράφησε τα δεδομένα στις παραβιασμένες μηχανές.
Ένα άλλο GPO και ένα ξεχωριστό batch file («run.bat») χρησιμοποιήθηκαν για να γίνει λήψη και εκτέλεση του ransomware σε όλες τις μηχανές στο domain.
Περίπλοκες αμυντικές κινήσεις
Η προσέγγιση της ομάδας Qilin για την στόχευση των διαπιστευτηρίων του Chrome δημιουργεί ένα ανησυχητικό προηγούμενο που θα μπορούσε να κάνει την προστασία από επιθέσεις ransomware ακόμα πιο δύσκολη.
Επειδή το GPO εφαρμόστηκε σε όλες τις μηχανές του domain, κάθε συσκευή που ένας χρήστης συνδέθηκε σε αυτήν υπέστη τη διαδικασία κλοπής των διαπιστευτηρίων.
Αυτό σημαίνει ότι το σενάριο ενδεχομένως έκλεψε διαπιστευτήρια από όλες τις μηχανές της εταιρείας, εφόσον οι μηχανές αυτές ήταν συνδεδεμένες στο domain και οι χρήστες συνδέθηκαν σε αυτές κατά την περίοδο που το σενάριο ήταν ενεργό.
Μια τόσο εκτεταμένη κλοπή διαπιστευτηρίων θα μπορούσε να επιτρέψει επακόλουθες επιθέσεις, να οδηγήσει σε εκτεταμένες παραβιάσεις σε πολλές πλατφόρμες και υπηρεσίες, να κάνει τις προσπάθειες αντιμετώπισης πολύ πιο δύσκολες και να εισαγάγει μια παρατεταμένη, μακροχρόνια απειλή μετά την επίλυση του περιστατικού ransomware.
Οι οργανισμοί μπορούν να μειώσουν αυτόν τον κίνδυνο επιβάλλοντας αυστηρές πολιτικές που απαγορεύουν την αποθήκευση μυστικών σε web browsers.
Επιπλέον, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων είναι το κλειδί για την προστασία των λογαριασμών από παραβιάσεις, ακόμη και σε περίπτωση παραβιάσεων διαπιστευτηρίων.
Δεδομένου ότι το Qilin είναι μια απειλή χωρίς περιορισμούς και πολλαπλές πλατφόρμες με συνδέσμους με τους ειδικούς της κοινωνικής μηχανικής του Scattered Spider, οποιαδήποτε αλλαγή τακτικής ενέχει σημαντικό κίνδυνο για τους οργανισμούς.
Ενδεικτικό βίντεο
Μήνες πριν, το Qilin Ransomware έπληξε έναν πάροχο υπηρεσιών παθολογίας που επηρέασε πολλά νοσοκομεία στο Λονδίνο προκαλώντας απώλεια δεδομένων και καθυστερώντας τις χειρουργικές επεμβάσεις. Αυτό το βίντεο αναλύει αυτό το Qilin Ransomware ως απειλή και τις παραλλαγές του.
