El ataque del ransomware The Agenda (Qilin) conduce al robo de credenciales de Google Chrome
El grupo de ransomware Agenda (Qilin) ha introducido una nueva táctica preocupante: implementar un ladrón personalizado para recopilar credenciales de cuentas almacenadas en los navegadores Google Chrome. Este avance, observado por el equipo X-Ops de Sophos durante los recientes esfuerzos de respuesta a incidentes, marca una escalada significativa en el panorama del ransomware, lo que hace que sea aún más difícil defenderse de estos ataques.
Tabla de contenido
Descripción general del ataque: un análisis detallado
Los investigadores de Sophos analizaron un ataque de Agenda/Qilin que comenzó con el grupo obteniendo acceso a una red a través de credenciales comprometidas para un portal VPN que carecía de autenticación multifactor (MFA). La vulneración fue seguida por un período de 18 días de inactividad, lo que sugiere que Qilin puede haber comprado acceso a la red a un agente de acceso inicial (IAB). Durante este período de inactividad, es probable que los atacantes hayan dedicado tiempo a mapear la red, identificar activos críticos y realizar tareas de reconocimiento.
Después de este período de reconocimiento, los atacantes se trasladaron lateralmente a un controlador de dominio, donde modificaron los objetos de directiva de grupo (GPO) para ejecutar un script de PowerShell, 'IPScanner.ps1', en todas las máquinas conectadas a la red del dominio. Este script, ejecutado por un archivo por lotes, 'logon.bat', fue diseñado específicamente para recopilar credenciales almacenadas en Google Chrome.
Recopilación de credenciales de Chrome: una nueva capa de peligro
El script por lotes activaba el script de PowerShell cada vez que un usuario iniciaba sesión en su máquina, y las credenciales robadas se guardaban en el recurso compartido 'SYSVOL' con los nombres 'LD' o 'temp.log'. Estos archivos se enviaban luego al servidor de comando y control (C2) de Agenda/Qilin, después de lo cual se borraban las copias locales y los registros de eventos relacionados para cubrir las huellas de los atacantes. Posteriormente, Agenda (Qilin) implementaba su carga útil de ransomware, cifrando los datos en todas las máquinas comprometidas. Se utilizaba un GPO y un archivo por lotes independientes, 'run.bat', para descargar y ejecutar el ransomware en todas las máquinas del dominio.
El enfoque de Agenda/Qilin para atacar las credenciales de Chrome es particularmente alarmante porque la GPO se aplicaba a todas las máquinas dentro del dominio. Esto significaba que todos los dispositivos en los que un usuario iniciaba sesión estaban sujetos al proceso de recolección de credenciales. El script potencialmente robaba credenciales de todas las máquinas de la empresa, siempre que estuvieran conectadas al dominio y tuvieran inicios de sesión de usuario activos durante el período en el que el script estaba en funcionamiento.
Implicaciones y estrategias de mitigación
El robo de credenciales a gran escala que facilita este método podría dar lugar a ataques posteriores, infracciones generalizadas en múltiples plataformas y servicios y complicar significativamente los esfuerzos de respuesta. Además, introduce una amenaza persistente que puede persistir incluso después de que se resuelva el incidente inicial de ransomware.
Para mitigar este riesgo, las organizaciones deben aplicar políticas estrictas contra el almacenamiento de credenciales en navegadores web. La implementación de la autenticación multifactor también es crucial para proteger las cuentas contra el secuestro, incluso en caso de que se vulneren las credenciales. Además, la aplicación de los principios de privilegio mínimo y la segmentación de la red pueden obstaculizar significativamente la capacidad de un actor de amenazas de moverse lateralmente dentro de un entorno comprometido.
Dados los vínculos de Qilin con el grupo de ingeniería social Scattered Spider y sus capacidades multiplataforma, este cambio táctico representa un riesgo sustancial para las organizaciones. A medida que los grupos de ransomware como Qilin continúan evolucionando, mantenerse alerta y proactivo a la hora de implementar medidas de seguridad sólidas es más fundamental que nunca.