Qilin ransomware: nuovo attacco per rubare dati da Chrome

Il gruppo ransomware Qilin ha adottato una nuova tecnica di attacco, utilizzando uno stealer personalizzato per rubare le credenziali memorizzate nel browser Google Chrome. Questa nuova tattica rappresenta una seria minaccia nel panorama della sicurezza informatica, come osservato dai ricercatori di Sophos X-Ops durante le loro attività di risposta agli incidenti.

L’attacco studiato da Sophos ha avuto inizio quando Qilin ha ottenuto l'accesso a una rete attraverso credenziali compromesse di un portale VPN privo di autenticazione a più fattori (MFA). Dopo questa violazione iniziale, il gruppo ha atteso 18 giorni, il che suggerisce che potrebbe aver acquistato l'accesso alla rete tramite un broker di accesso iniziale (IAB). Durante questo periodo, i criminali hanno probabilmente esaminato la rete e identificato risorse chiave.

Successivamente, gli aggressori hanno agito spostandosi lateralmente verso un controller di dominio, dove hanno modificato gli oggetti delle politiche di gruppo (GPO). Questi cambiamenti hanno permesso l'esecuzione di uno script PowerShell chiamato 'IPScanner.ps1' su tutte le macchine collegate alla rete del dominio.

Uno script progettato per raccogliere dati direttamente da Google Chrome

Lo script era progettato per raccogliere le credenziali memorizzate su Chrome e veniva attivato ogni volta che un utente effettuava l'accesso al proprio computer. Le credenziali rubate venivano poi archiviate in una condivisione 'SYSVOL' con file denominati 'LD' o 'temp.log', per poi essere inviate al server di comando e controllo (C2) di Qilin. Una volta inviati i dati, gli aggressori eliminavano le copie locali e i registri degli eventi per nascondere le tracce.

Alla fine, Qilin ha distribuito il ransomware su tutte le macchine collegate al dominio, utilizzando un altro GPO e un file batch ('run.bat') per eseguire il payload che ha crittografato i dati. Questo approccio sofisticato rende difficile difendersi, poiché ha potenzialmente permesso a Qilin di rubare credenziali da ogni macchina collegata al dominio.

Le aziende possono mitigare questi rischi evitando l'archiviazione delle credenziali nei browser e implementando l'autenticazione a più fattori. Altri accorgimenti, come la segmentazione della rete e l'adozione dei principi dei privilegi minimi, possono limitare la capacità degli aggressori di diffondersi ulteriormente nella rete.