Il gruppo Qilin, noto per l’omonimo ransomware, ha usato una nuova tattica per ottenere le credenziali di accesso a siti di terze parti salvate in Google Chrome. Il furto di username/email e password dal browser rappresenta una fonte aggiuntiva di guadagno, oltre ai riscatti pagati dalle vittime. Gli attacchi sono stati scoperti dai ricercatori di Sophos.
Descrizione dell’attacco
L’accesso iniziale alla rete avviene tramite un portale VPN senza autenticazione multi-fattore, usando credenziali compromesse, probabilmente acquistate da un IAB (Initial Access Broker). Dopo aver effettuato una scansione della rete viene preso di mira un controller di dominio.
I cybercriminali modificano quindi la policy predefinita con uno script PowerShell, installato su tutti i computer, che raccoglie le credenziali memorizzate in Chrome. Lo script viene eseguito ogni volta che l’utente effettua il login. Le credenziali sono salvate in un file SQLite copiato in una directory creata nella condivisione SYSVOL.
Dopo l’invio dei dati al server C2 (command and control), le copie locali vengono cancellate per non lasciare tracce. Successivamente viene eseguito un file batch che scarica ed esegue il ransomware su tutti i computer nel dominio. In ogni directory viene infine copiato il file di testo con le istruzioni da seguire per pagare il riscatto.
Gli esperti di Sophos consigliano di attivare l’autenticazione multi-fattore per tutti gli account e non memorizzare le credenziali nei browser. Meglio usare un password manager (ovviamente non connesso ad Internet).