Il ransomware Qilin è stato avvistato mentre esfiltrava con successo dati sensibili memorizzati in Google Chrome.
I ricercatori di Sophos hanno rivelato come un gruppo criminale abbia utilizzato credenziali precedentemente compromesse per entrare nell'infrastruttura IT di un'organizzazione senza nome.
Le credenziali del browser erano relative a un portale direte privata virtuale (VPN), privo di autenticazione a più fattori (MFA) e quindi relativamente facile da raggiungere.
Furto di credenziali in massa
Sophos afferma che non è noto se la violazione iniziale sia stata effettuata da uno IAB (Initial Access Broker) e poi consegnata agli operatori del ransomware, o se tutto sia stato fatto da un'unica organizzazione.
In ogni caso, il gruppo si è soffermato per più di due settimane (18 giorni) prima di passare a un controller di dominio utilizzando le credenziali compromesse. Mentre i criminali sono stati individuati su un singolo controller di dominio all'interno del dominio Active Directory del loro obiettivo, altri controller di dominio in quel dominio AD sono stati infettati, hanno concluso i ricercatori. Tuttavia, sono stati colpiti in modo diverso.
Qilin è una classica operazione di ransomware che si impegna nel consueto attacco a doppia estorsione: ruba quante più informazioni possibili, prima di criptare il dispositivo compromesso e chiedere il pagamento in cambio della chiave di decriptazione. Tuttavia, ciò che rende questa operazione relativamente unica, sostengono i ricercatori, è il modo in cui prende di mira Google Chrome.
"Durante una recente indagine su una violazione del ransomware Qilin, il team Sophos X-Ops ha identificato un'attività dell'attaccante che ha portato al furto in massa delle credenziali memorizzate nei browser Google Chrome su un sottoinsieme di endpoint della rete, una tecnica di raccolta delle credenziali con potenziali implicazioni che vanno ben oltre l'organizzazione della vittima originale", hanno spiegato i ricercatori. "Si tratta di una tattica insolita, che potrebbe moltiplicare il caos già presente nelle situazioni di ransomware".
In altre parole, Qilin avrebbe raccolto le credenziali salvate nei browser Chrome su macchine connesse alla stessa rete di quella inizialmente compromessa.
I criminali informatici continuano a evolvere le loro tattiche, conclude Sophos, sottolineando che le organizzazioni devono affidarsi maggiormente ai gestori di password e assicurarsi di attivare l'MFA ogni volta che è possibile, per ridurre al minimo le possibilità di cadere in trappola.
