El infame grupo de ransomware Qilin ha implementado una táctica novedosa para robar credenciales almacenadas en Google Chrome. Las técnicas de recolección de credenciales amplían significativamente el alcance del ransomware y la cantidad de ataques potenciales en el futuro.
¿Cómo roba el grupo de ransomware Qilin las credenciales almacenadas en Google Chrome?
El grupo de ransomware Qilin ha estado activo durante más de dos años. Por lo tanto, son muy conscientes de las posibles vulnerabilidades dentro de las grandes redes.
Todo el ataque tuvo un período de gestación de 18 días, indicó el equipo de Sophos X-Ops que descubrió los vectores y módulos de ataque. Esto sugiere fuertemente que Qilin pudo haber comprado credenciales de inicio de sesión y autenticación comprometidas para una red grande de un intermediario de acceso inicial (IAB).
Al permanecer sin ser detectado durante 18 días, Qilin supuestamente mapeó la red, identificó activos críticos y realizó reconocimientos. A partir de entonces, utilizando sus conocimientos mal adquiridos, el grupo Qilin supuestamente accedió a un controlador de dominio dentro del Active Directory del objetivo (AD) dominio. Luego implementaron una novedosa técnica de recolección de credenciales dentro del mismo.
Al alterar la política de dominio predeterminada, el grupo podría ingresar en un objeto de política de grupo (GPO) basado en el inicio de sesión. Este contenía un script de PowerShell que recopilaba credenciales guardadas en las instalaciones del navegador Chrome en las computadoras de las víctimas.
¿Cómo mantenerse protegido del nuevo método de ciberataque?
El grupo de ransomware Qilin es famoso por sus tácticas de doble extorsión. El grupo roba datos, cifra sistemas y luego amenaza con arrojar los datos a Internet o venderlos si no se paga el rescate. Sin embargo, la última técnica indica que el grupo puede haberse diversificado.
La nueva técnica es devastadora principalmente porque Google Chrome domina actualmente el mercado de navegadores. Investigaciones recientes sobre ciberseguridad han indicado que un usuario promedio de Internet almacena alrededor de 87 contraseñas relacionadas con el trabajo y muchas más personales dentro de los navegadores.
Al obtener acceso a las credenciales almacenadas, el grupo de ransomware Qilin podría ampliar significativamente su alcance e impacto. un solo usuario comprometido podría llevar a este grupo a varias plataformas de terceros y comprometer sus defensas con credenciales de inicio de sesión.
Uno de los más obvios técnicas de prevención Sería dejar de almacenar contraseñas en los navegadores web. Los usuarios podrán recurrir a plataformas de terceros para este fin.
Según los métodos de ataque, los usuarios de Internet también podrían mantenerse seguros evitando los servicios VPN con antecedentes dudosos. Finalmente, los usuarios deben optar por la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) siempre que sea posible.
Fuente: Android authority