Operaciones X de Sophos descubrió una importante brecha relacionada con el ransomware Qilin, revelando una táctica novedosa y alarmante que implica el robo masivo de credenciales almacenadas en Google Chrome navegadores desde puntos finales comprometidos.
El grupo de ransomware Qilin ha estado operativo desde al menos 2022 y ganó notoriedad por su estrategia de “doble extorsión”. Este método implica robar los datos de la víctima, cifrar sus sistemas y amenazar con exponer o vender los datos robados a menos que se pague un rescate.
Esta técnica de recolección de credenciales plantea graves riesgos más allá de las víctimas inmediatas, lo que pone de relieve la naturaleza cambiante de los ataques de ransomware.
Acceso inicial y movimiento lateral
En junio de 2024, El ransomware Qilin atacó a Synnovisun proveedor de servicios gubernamentales del Reino Unido para el cuidado de la salud, lo que puso al grupo de ciberdelincuentes en el centro de atención. La violación comenzó cuando los atacantes obtuvieron acceso a través de credenciales comprometidas para un VPN portal que faltaba autenticación multifactor (MFA).
Después de 18 días de vigilancia, los atacantes se movieron lateralmente dentro de la red hacia un controlador de dominio. Allí, modificaron los objetos de política de grupo (GPO) para introducir un script de PowerShell llamado `IPScanner.ps1`, diseñado para recopilar credenciales almacenadas en Chrome. Navegadores.
Este script se ejecutaba cada vez que un usuario iniciaba sesión en su dispositivo, lo que permitía a los atacantes recopilar credenciales de varios dispositivos conectados a la red. Los datos recopilados se almacenaban en el recurso compartido SYSVOL, que llevaba el nombre del nombre de host del dispositivo infectado, y luego se filtraban al servidor de comando y control de los atacantes. Después de este robo de datos, los atacantes eliminaron las copias locales y borraron los registros de eventos para cubrir sus huellas antes de implementar la carga útil del ransomware.
Objetivos del ransomware Qilin Google Chrome, que posee más del 65% de la cuota de mercado de navegadores, por lo que los atacantes podrían acceder a una amplia gama de nombres de usuario y Contraseñas almacenados por los usuarios.
Las organizaciones afectadas por este ataque deben restablecer todas las contraseñas de Active Directory y recomendar a los usuarios que cambien las contraseñas de todos los sitios guardados en sus navegadores. La escala de la vulneración significa que una sola cuenta comprometida podría dar lugar a docenas o incluso cientos de vulneraciones adicionales en varios servicios, lo que complica significativamente las iniciativas de respuesta.
Los investigadores de Sophos señalaron que este nuevo enfoque podría ser un “multiplicador adicional” para el caos ya inherente a las situaciones de ransomware. Al recopilar credenciales, Qilin y grupos similares pueden obtener información sobre objetivos de alto valor, lo que facilita ataques más sofisticados y dañinos en el futuro. Esta tendencia plantea importantes preocupaciones sobre la seguridad de las organizaciones que pueden no estar adecuadamente preparadas para defenderse contra amenazas tan multifacéticas.
