Se ha descubierto una nueva cepa de ransomware llamada Qilin que utiliza una táctica relativamente sofisticada y altamente personalizable para robar información de inicio de sesión de cuentas almacenada en el navegador Google Chrome.
El equipo de investigación de seguridad internacional de Sophos X-Ops observó técnicas de recolección de credenciales durante la respuesta al incidente de Qilin. Esto muestra un cambio alarmante en las tendencias operativas de esta peligrosa cepa de ransomware.
Descripción general del proceso de ataque
El ataque analizado por los investigadores de Sophos comenzó con el malware Qilin accediendo exitosamente a la red objetivo usando credenciales comprometidas en una puerta de enlace VPN sin autenticación multifactor (MFA).
A esto le siguió un período de 18 días de “hibernación” del malware, lo que indica que los piratas informáticos probablemente habían comprado acceso a la red a través de un agente de acceso inicial (IAB). Es posible que Qilin haya pasado tiempo mapeando la red, identificando activos clave y realizando reconocimientos.
Después de los primeros 18 días, el malware se mueve lateralmente a los controladores de dominio y modifica los objetos de política de grupo (GPO) para ejecutar un script de PowerShell ('IPScanner.ps1') en todas las máquinas conectadas a la red del dominio.
Este script se ejecuta mediante un script por lotes ('logon.bat') y también está incluido en la GPO. Está diseñado para recopilar información de inicio de sesión almacenada en Google Chrome.
El script por lotes está configurado para ejecutarse (y activar el script de PowerShell) cada vez que un usuario inicia sesión en su máquina. Paralelamente, las credenciales robadas se guardarán en la partición 'SYSVOL' con el nombre 'LD' o 'temp.log'.
Después de enviar los archivos al servidor de comando y control (C2) de Qilin, se eliminaron copias locales y registros de eventos relacionados para ocultar la actividad maliciosa. Finalmente, Qilin implementa la carga útil del ransomware y los datos cifrados en las máquinas comprometidas.
También se utilizan otro GPO y un archivo de comando separado ('run.bat') para descargar y ejecutar el ransomware en todas las máquinas del dominio.
Complejidad en la defensa
El enfoque de Qilin hacia las credenciales de Chrome sienta un precedente preocupante que podría dificultar la protección contra ataques de ransomware.
Debido a que la GPO se aplica a todas las máquinas del dominio, cada dispositivo en el que el usuario inicia sesión está sujeto al proceso de recopilación de credenciales.
Esto significa que el script es capaz de robar credenciales de todas las máquinas del sistema, siempre que esas máquinas estén conectadas al dominio y tengan un usuario conectado durante el tiempo que se ejecuta el script.
Un robo de credenciales tan amplio podría permitir a los piratas informáticos lanzar más ataques, lo que provocaría incidentes de seguridad que abarcarían múltiples plataformas y servicios, haciendo mucho más engorrosos los esfuerzos de respuesta. Esto también representa una amenaza persistente que dura mucho tiempo después de que se resuelve el incidente de ransomware.
Las organizaciones pueden mitigar el riesgo implementando políticas estrictas para prohibir el almacenamiento de secretos en navegadores web. Además, implementar la autenticación multifactor es clave para proteger las cuentas contra el robo de datos, incluso en el caso de que las credenciales estén comprometidas.
Por último, la implementación de principios de mínimo privilegio y segmentación de red puede obstaculizar significativamente la capacidad de un actor de amenazas de propagarse por una red comprometida.
El acceso controlado a carpetas es una característica de la aplicación antivirus de escritorio Windows Security de Microsoft. Esta función previene ransomware al impedir la modificación de archivos en carpetas protegidas.
Aunque estos dos términos a menudo se confunden, existe una diferencia entre ransomware y ciberextorsión. Sin embargo, ambos están vinculados y uno puede llevar al otro.
En algunos teléfonos Samsung Galaxy, existe una opción para crear stickers a partir de fotos del álbum, lo que permite a los usuarios crear libremente stickers para usar en mensajes.
Los usuarios no pueden utilizar el Administrador de tareas cuando no se está ejecutando. A continuación, le mostramos cómo puede solucionar el problema del Administrador de tareas que no funciona en una PC con Windows 11/10.
El último Código Dau Than Tuyet The ofrece a los jugadores monedas, lingotes de oro y muchos otros artículos, incluidos Nguyen Phach, cajas de regalo, cofres, piedras Trac Viet...
Las recompensas del código de regalo del Dios Dragón Legendario serán principalmente oro y diamantes. Junto con eso hay algunos cofres de bonificación, piedras, elementos de recuperación...
Dos de las últimas tecnologías son las pantallas OLED y las pantallas NanoCell de LG. Se trata de dos tipos de televisores bastante diferentes que a menudo se comercializan con características similares.
El siguiente artículo le ayudará a comprender cómo utilizar correctamente el modo de limpieza de la lavadora para ayudar a eliminar bacterias y suciedad.
La línea Chromecast de Google ha sido durante mucho tiempo una opción popular si desea reemplazar su experiencia de TV inteligente o convertir cualquier TV en un TV inteligente.
No es el iPhone 15 Pro Max, el nuevo teléfono para juegos Android Asus ROG Phone 8 Pro es el teléfono con la batería de mayor duración en la actualidad, según la última revisión de los expertos de Toms Guide.
Ya sea que desees convertir tu foto en una acuarela, una pintura al óleo o algún otro tipo de pintura, aquí te mostramos cómo crear el efecto usando Relleno generativo en Photoshop.
Una cardióloga pediátrica se pronunció y explicó que tuvo que realizar una cesárea de emergencia después de que el Apple Watch de la mujer le indicara que buscara ayuda médica.
Nintendo Switch es una gran consola y hay un montón de excelentes juegos de Switch para elegir. Pero si todavía está indeciso sobre si comprar uno o no, entonces sus preocupaciones están justificadas.
Si toma una captura de pantalla con la herramienta Recortes y desea editarla más, puede editarla en Paint desde la herramienta Recortes.
Si bien la calidad del hardware ayuda a lucir más profesional, cualquiera puede lograrlo con solo unos pequeños cambios.
Thien Cung DTCL también es muy fácil de jugar cuando hay tanques completos y generales principales, mientras que Soraka esta vez ya no será el general que mejora la salud de los aliados, sino que es completamente un general que inflige daño.
Homiciper es un juego que te situará en un lugar extraño, lleno de oscuridad y miedo constante a lo largo del tiempo.
