Qilin é pego roubando credenciais no Google Chrome

30/08/2024 mindsecblog Notícias 3

Qilin é pego roubando credenciais no Google Chrome.

Acredita-se que o Qilin, o grupo de ransomware responsável pelo recente ataque ao Synnovis , tenha sido observado roubando credenciais armazenadas no Google Chrome após obter acesso à rede de um alvo.

Pesquisadores da Sophos X-Ops, que detectaram a atividade, disseram que essa é uma tática incomum para grupos de ransomware e que pode ser um multiplicador de bônus para o caos já inerente às situações de ransomware.

Estabelecendo as bases para a coleta de credenciais

No caso observado pela Sophos, a Qilin não apenas conduziu um ataque de extorsão, mas também implementou um esquema de coleta de credenciais .

O grupo tinha como alvo os navegadores Google Chrome, que atualmente detém mais de 65% do mercado de navegadores.

Quando o grupo atinge um controlador de domínio de destino, ele edita a política de domínio padrão para introduzir um Objeto de Política de Grupo (GPO) baseado em logon contendo dois itens.

“O primeiro, um script do PowerShell chamado IPScanner.ps1, [é] escrito em um diretório temporário dentro do compartilhamento System Volume (SYSVOL) [o diretório compartilhado New Technology File System (NTFS) localizado em cada controlador de domínio dentro de um domínio do Active Directory] no controlador de domínio específico envolvido. Ele contém um script de 19 linhas que tentou coletar dados de credenciais armazenados no navegador Chrome”, explicou a Sophos.

O segundo item, um script em lote chamado logon.bat, continha os comandos para executar o primeiro script.

Essa combinação resultou na coleta de credenciais salvas nos navegadores Chrome em máquinas conectadas à rede.

Coletando credenciais do navegador nos endpoints

Sempre que alguém faz login em um endpoint infectado, o logon.bat inicia o script IPScanner.ps1, criando dois arquivos: um arquivo de banco de dados SQLite chamado LD e um arquivo de texto chamado temp.log.

Esses arquivos são gravados de volta em um diretório recém-criado no compartilhamento SYSVOL do domínio e nomeados de acordo com o nome do host do dispositivo no qual foram executados.

Todas as credenciais dos dispositivos foram então descartadas no banco de dados do LD.

Depois que os arquivos contendo as credenciais coletadas são roubados e exfiltrados, o invasor exclui todos os arquivos e limpa os logs de eventos do controlador de domínio e das máquinas infectadas, depois criptografa os arquivos e libera a nota de resgate.

A Sophos detectou o esquema porque Qilin – “Em uma demonstração de confiança de que não seriam pegos ou perderiam o acesso à rede” – deixou o GPO ativo na rede por mais de três dias.

“Um comprometimento bem-sucedido desse tipo significaria que os defensores não apenas deveriam alterar todas as senhas do Active Directory; eles também deveriam (em teoria) solicitar que os usuários finais alterassem suas senhas para dezenas, potencialmente centenas, de sites de terceiros para os quais os usuários salvaram suas combinações de nome de usuário e senha no navegador Chrome”, alertou a Sophos.

“Se eles, ou outros invasores, decidiram também minerar credenciais armazenadas em endpoints – o que poderia fornecer uma porta de entrada para um alvo subsequente, ou tesouros de informações sobre alvos de alto valor a serem explorados por outros meios – um novo capítulo sombrio pode ter se aberto na história contínua do crime cibernético.”

Recomendações de mitigação

Para mitigar esse tipo de ataque de coleta de credenciais do navegador, a Sophos recomendou as seguintes medidas:

Não use um gerenciador de senhas baseado em navegador
Confie em aplicativos de gerenciamento de senhas que empregam as melhores práticas do setor para desenvolvimento de software
Implementar autenticação multifator (MFA)