Il ransomware Qilin diventa più pericoloso: oltre a crittografare i dati, ruba anche le password salvate in Google Chrome

Il famigerato gruppo ransomware, dietro la campagna contro gli ospedali di Londra, si arricchisce di una nuova capacità che gli permette di estrarre password degli account salvati in Google Chrome prima di cifrare i dati
di Andrea Bai pubblicata il 23 Agosto 2024, alle 13:11 nel canale SicurezzaIl gruppo ransomware Qilin ha adottato una nuova strategia nel modo di approcciarsi alle vittime designate, che prevede oltre alla cifratura dei file del sistema preso di mira, anche l'uso di uno stealer per sottrarre le credenziali degli account memorizzate nel browser Google Chrome. Questa nuova tattica è stata riscontrata dal team Sophos X-Ops durante le operazioni di risposta agli incidenti di sicurezza.
I ricercatori di sicurezza hanno osservato in un caso specifico l'accesso alla rete della vittima tramite credenziali compromesse di un portale VPN privo di autenticazione a più fattori (MFA). Alla fase di infiltrazione iniziale è seguito un periodo di inattività di 18 giorni, durante i quali gli aggressori hanno probabilmente condotto attività di mappatura della rete per identificare risorse chiave e condurre operazioni di ricognizione.

Nella seconda fase dell'operazione, dopo aver raccolto le informazioni necessarie per orientarsi all'interno della rete della vittima, gli aggressori hanno iniziato a muoversi lateralmente verso un controller di dominio che è stato sfruttato per eseguire uno script PowerShell su tutte le macchine registrate nella rete del dominio. Lo script è stato progettato con l'obiettivo di raccogliere appunto le credenziali archiviate in Google Chrome ogni volta che un utente effettuava l'accesso al proprio computer. Le credenziali venivano poi salvate in un file per essere successivamente inviate al server di comando e controllo di Qilin. Il file veniva poi eliminato per cancellare le tracce. Infine Qilin ha distribuito il payload del ransomware per crittografare i dati sui sistemi compromessi.
E' importante sottolineare che dal momento che lo script veniva eseguito su tutte le macchine del dominio, ogni dispositivo su cui un utente avesse effettuato un accesso era potenzialmente soggetto al furto di credenziali. Le conseguenze di ciò sono particolarmente gravi, poiché la raccolta su larga scala di credenziali di autenticazione può facilitare la preparazione di campagne successive su più piattaforme e servizi, complicando le operazioni di risposta agli incidenti e di fatto dar vita ad una minaccia sempre aleggiante anche dopo la risoluzione dell'incidente iniziale.
Sottolineano i ricercatori Sophos: "Un compromesso di questo tipo significherebbe non solo che i difensori devono cambiare tutte le password di Active Directory, ma dovrebbero anche (in teoria) richiedere agli utenti finali di cambiare le loro password per decine, potenzialmente centinaia, di siti di terze parti per i quali gli utenti hanno salvato le loro combinazioni nome utente-password nel browser Chrome".
A rendere la minaccia ancor più preoccupante è proprio la presenza di Qilin, un ransomware multipiattaforma e di recente associato alle operazioni di Scattered Spider, gruppo hacker noto per le sue sofisticate tecniche di ingegneria sociale.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".