La banda de ciberdelincuentes ransomware Qilin parece estar aumentando las apuestas en sus ataques de ransomware, robando no solo los datos de sus víctimas, sino también recolectando credenciales almacenadas en los navegadores Google Chrome en sus terminales, algo que nunca antes se había observado.
Descrito como un “multiplicador de bonificación para el caos ya inherente a las situaciones de ransomware” por el equipo de investigación de Sophos X-Ops que descubrió por primera vez la novedosa técnica, el robo al por mayor de credenciales que los empleados han almacenado inocentemente en sus navegadores de trabajo bajo la impresión de que lo harán. estar a salvo es motivo de grave preocupación. De hecho, las implicaciones podrían ir mucho más allá de la organización objetivo.
Qilin, que atacó al proveedor de servicios de laboratorio de patología Synnovis en junio de 2024, causando caos en todo el NHS de Londres, había utilizado previamente la técnica estándar de doble extorsión, pero en julio de 2024, los servicios de respuesta a incidentes de Sophos detectaron una actividad extraña en un único controlador de dominio dentro de el dominio Active Directory de una víctima.
La pandilla obtuvo acceso primero a través de credenciales comprometidas tomadas de un portal VPN que carecía de autenticación multifactor (MFA). Luego, 18 días después, sus agentes comenzaron a realizar movimientos laterales hacia un controlador de dominio, donde editaron la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en el inicio de sesión.
El primero de ellos fue un script de PowerShell que se escribió en un directorio temporal dentro del directorio NTFS compartido en el controlador de dominio. Este script de 19 líneas intentó recopilar datos de credenciales almacenados en Chrome. El segundo elemento era un script por lotes que contenía los comandos para ejecutar el primero. La combinación resultó en la filtración de credenciales guardadas en máquinas conectadas a la red y, debido a que los dos scripts estaban contenidos en un GPO de inicio de sesión, pudieron ejecutarse en cada cliente cuando inició sesión.
El equipo de X-Ops dijo que los agentes de Qilin parecían tan seguros de que no se notarían que dejaron el GPO activo durante tres días, tiempo suficiente para que la mayoría de los usuarios iniciaran sesión en sus dispositivos y activaran el script sin darse cuenta. Además, una vez que desaparecieron los archivos que contenían los datos de las credenciales, Qilin eliminó todos los archivos y borró los registros de eventos tanto para el controlador de dominio como para los dispositivos del usuario. Sólo entonces comenzaron a cifrar los archivos de la víctima y a dejar caer su nota de rescate.
El equipo de investigación, compuesto por Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland de Sophos, dijo que era natural que Qilin hubiera apuntado a Chrome de esta manera: tiene una participación mayoritaria en el mercado de navegadores y, según una encuesta de NordPass de abril de 2024. , el usuario medio tiene que gestionar casi 90 contraseñas relacionadas con el trabajo, sin mencionar las personales.
!Un compromiso exitoso de este tipo significaría que los defensores no sólo deben cambiar todas las contraseñas de Active Directory; También deberían, en teoría, solicitar que los usuarios finales cambien sus contraseñas de docenas, potencialmente cientos, de sitios de terceros para los cuales los usuarios han guardado sus combinaciones de nombre de usuario y contraseña en el navegador Chrome”, escribió el equipo.
“Los defensores, por supuesto, no tendrían forma de obligar a los usuarios a hacer eso. En cuanto a la experiencia del usuario final, aunque prácticamente todos los usuarios de Internet en este momento han recibido al menos un aviso de “su información ha sido vulnerada” de un sitio que ha perdido el control de los datos de sus usuarios, en esta situación es al revés: un usuario , docenas o cientos de infracciones distintas”.
Por supuesto, se sabe que las bandas de ransomware cambian continuamente sus tácticas, técnicas y procedimientos (TTP) y, desafortunadamente, son innovadores competentes cuando se trata de ampliar su repertorio.
En este sentido, dijo el equipo de X-Ops, que Qilin buscaría cambiar las cosas después de haber estado activo durante aproximadamente dos años era completamente predecible. Sin embargo, concluyeron, si ahora están buscando credenciales almacenadas en endpoints, ellos y otros podrían mucho más fácilmente entrar en la puerta de objetivos posteriores u obtener información útil sobre personas de interés para ataques de phishing dirigidos.
“Es posible que se haya abierto un nuevo y oscuro capítulo en la historia actual del delito cibernético”, afirmó el equipo.
¿Qué hago ahora?
Google promociona su servicio Administrador de contraseñas como una forma “sencilla” de ayudar a los usuarios a iniciar sesión en sitios y aplicaciones en todos los dispositivos sin necesidad de recordar o reutilizar contraseñas. La función está integrada en Chrome en todas las plataformas y también en todas las aplicaciones de Android.
Sin embargo, los administradores de contraseñas basados en navegador están lejos de tener la última palabra en seguridad y, a menudo, se encuentran en riesgo. Aunque esto agrega más fricción para los usuarios, la mejor práctica es utilizar una aplicación de administrador de contraseñas, teniendo cuidado de seleccionar una que siga las mejores prácticas de desarrollo de la industria y que haya sido probada y asegurada por un tercero.
En la cadena de ataque descrita por el equipo de X-Ops, MFA habría sido una medida preventiva eficaz, ya que probablemente habría impedido que Qilin obtuviera acceso a cualquiera de los sistemas de la víctima. La buena noticia es que el uso de MFA está aumentando entre las empresas, pero los niveles de adopción aún caen drásticamente entre las pymes.
“Hablando sin rodeos, las empresas deben hacerlo mejor, por su propia seguridad y, en este caso, también por la seguridad de otras empresas”, concluyó el equipo.
Computer Weekly se puso en contacto con Google para solicitar comentarios, pero no había recibido respuesta al momento de la publicación.