L'attacco ransomware Qilin recentemente osservato è stato caratterizzato dal furto delle credenziali memorizzate nei browser Google Chrome su un insieme limitato di endpoint compromessi. L'uso della raccolta di credenziali in combinazione con un'infezione ransomware rappresenta una svolta insolita e potrebbe avere conseguenze a cascata, come sottolineato dalla società di sicurezza informatica Sophos in un rapporto di giovedì.

L'attacco, rilevato a luglio 2024, ha comportato l'infiltrazione della rete target tramite credenziali compromesse per un portale VPN privo di autenticazione multi-fattore (MFA), con gli attori delle minacce che hanno eseguito azioni post-sfruttamento 18 giorni dopo l'accesso iniziale. Una volta raggiunto il controller di dominio, gli aggressori hanno modificato la politica di dominio predefinita per introdurre un Oggetto Criteri di Gruppo (GPO) basato sul logon contenente due elementi. Il primo è uno script PowerShell chiamato "IPScanner.ps1" progettato per raccogliere dati di credenziali memorizzati nel browser Chrome. Il secondo è uno script batch ("logon.bat") contenente comandi per eseguire il primo script.

Gli aggressori hanno lasciato questo GPO attivo sulla rete per oltre tre giorni, offrendo ampie opportunità agli utenti di accedere ai loro dispositivi e, senza saperlo, attivare lo script di raccolta delle credenziali sui loro sistemi. Ogni volta che gli utenti si loggavano, veniva innescata questa raccolta di credenziali. Successivamente, gli aggressori hanno esfiltrato le credenziali rubate e preso provvedimenti per cancellare le tracce delle loro attività prima di crittografare i file e lasciare una nota di riscatto in ogni directory del sistema.

Il furto delle credenziali memorizzate nel browser Chrome obbliga ora gli utenti interessati a cambiare le loro combinazioni di nome utente e password per ogni sito di terze parti. I gruppi ransomware continuano a cambiare tattiche e ampliare il loro repertorio di tecniche. Se decidessero di raccogliere credenziali memorizzate sugli endpoint, ciò potrebbe fornire un punto d'ingresso per un obiettivo successivo o informazioni preziose su obiettivi di alto valore da sfruttare con altri mezzi.

Lo sviluppo arriva in un momento in cui gruppi ransomware come Mad Liberator e Mimic sono stati osservati utilizzare richieste AnyDesk non richieste per l'esfiltrazione dei dati e sfruttare server Microsoft SQL esposti a Internet per l'accesso iniziale. Gli attacchi Mad Liberator sono caratterizzati dall'abuso dell'accesso per trasferire e lanciare un binario chiamato "Microsoft Windows Update" che mostra una falsa schermata di aggiornamento di Windows alla vittima, mentre i dati vengono saccheggiati.

L'uso di strumenti di desktop remoto legittimi, anziché malware personalizzati, offre agli aggressori il travestimento perfetto per camuffare le loro attività dannose in bella vista, permettendo loro di mimetizzarsi con il traffico di rete normale e sfuggire alla rilevazione. Nonostante una serie di azioni delle forze dell'ordine, il ransomware rimane un'attività redditizia per i criminali informatici, con il 2024 destinato a essere l'anno con i maggiori guadagni mai registrati.