Se descubre una nueva cepa de ransomware que se especializa en robar información de inicio de sesión del navegador Chrome

Se ha descubierto una nueva cepa de ransomware llamada Qilin que utiliza una táctica relativamente sofisticada y altamente personalizable para robar información de inicio de sesión de cuentas almacenada en el navegador Google Chrome.

El equipo de investigación de seguridad internacional de Sophos X-Ops observó técnicas de recolección de credenciales durante la respuesta al incidente de Qilin. Esto muestra un cambio alarmante en las tendencias operativas de esta peligrosa cepa de ransomware.

Descripción general del proceso de ataque

El ataque analizado por los investigadores de Sophos comenzó con el malware Qilin accediendo exitosamente a la red objetivo usando credenciales comprometidas en una puerta de enlace VPN sin autenticación multifactor (MFA).

A esto le siguió un período de 18 días de “hibernación” del malware, lo que indica que los piratas informáticos probablemente habían comprado acceso a la red a través de un agente de acceso inicial (IAB). Es posible que Qilin haya pasado tiempo mapeando la red, identificando activos clave y realizando reconocimientos.

Después de los primeros 18 días, el malware se mueve lateralmente a los controladores de dominio y modifica los objetos de política de grupo (GPO) para ejecutar un script de PowerShell ('IPScanner.ps1') en todas las máquinas conectadas a la red del dominio.

Este script se ejecuta mediante un script por lotes ('logon.bat') y también está incluido en la GPO. Está diseñado para recopilar información de inicio de sesión almacenada en Google Chrome.

El script por lotes está configurado para ejecutarse (y activar el script de PowerShell) cada vez que un usuario inicia sesión en su máquina. Paralelamente, las credenciales robadas se guardarán en la partición 'SYSVOL' con el nombre 'LD' o 'temp.log'.

Se descubre una nueva cepa de ransomware que se especializa en robar información de inicio de sesión del navegador Chrome

Después de enviar los archivos al servidor de comando y control (C2) de Qilin, se eliminaron copias locales y registros de eventos relacionados para ocultar la actividad maliciosa. Finalmente, Qilin implementa la carga útil del ransomware y los datos cifrados en las máquinas comprometidas.

También se utilizan otro GPO y un archivo de comando separado ('run.bat') para descargar y ejecutar el ransomware en todas las máquinas del dominio.

Se descubre una nueva cepa de ransomware que se especializa en robar información de inicio de sesión del navegador Chrome

Complejidad en la defensa

El enfoque de Qilin hacia las credenciales de Chrome sienta un precedente preocupante que podría dificultar la protección contra ataques de ransomware.

Debido a que la GPO se aplica a todas las máquinas del dominio, cada dispositivo en el que el usuario inicia sesión está sujeto al proceso de recopilación de credenciales.

Esto significa que el script es capaz de robar credenciales de todas las máquinas del sistema, siempre que esas máquinas estén conectadas al dominio y tengan un usuario conectado durante el tiempo que se ejecuta el script.

Un robo de credenciales tan amplio podría permitir a los piratas informáticos lanzar más ataques, lo que provocaría incidentes de seguridad que abarcarían múltiples plataformas y servicios, haciendo mucho más engorrosos los esfuerzos de respuesta. Esto también representa una amenaza persistente que dura mucho tiempo después de que se resuelve el incidente de ransomware.

Las organizaciones pueden mitigar el riesgo implementando políticas estrictas para prohibir el almacenamiento de secretos en navegadores web. Además, implementar la autenticación multifactor es clave para proteger las cuentas contra el robo de datos, incluso en el caso de que las credenciales estén comprometidas.

Por último, la implementación de principios de mínimo privilegio y segmentación de red puede obstaculizar significativamente la capacidad de un actor de amenazas de propagarse por una red comprometida.

Sign up and earn $1000 a day ⋙

Leave a Comment

Diferencia entre un televisor normal y un Smart TV

Diferencia entre un televisor normal y un Smart TV

Los televisores inteligentes realmente han conquistado el mundo. Con tantas funciones excelentes y conectividad a Internet, la tecnología ha cambiado la forma en que vemos televisión.

¿Por qué el congelador no tiene luz pero el refrigerador sí?

¿Por qué el congelador no tiene luz pero el refrigerador sí?

Los refrigeradores son electrodomésticos familiares en los hogares. Los refrigeradores suelen tener 2 compartimentos, el compartimento frío es espacioso y tiene una luz que se enciende automáticamente cada vez que el usuario lo abre, mientras que el compartimento congelador es estrecho y no tiene luz.

2 maneras de solucionar la congestión de la red que ralentiza el Wi-Fi

2 maneras de solucionar la congestión de la red que ralentiza el Wi-Fi

Las redes Wi-Fi se ven afectadas por muchos factores más allá de los enrutadores, el ancho de banda y las interferencias, pero existen algunas formas inteligentes de mejorar su red.

Cómo degradar de iOS 17 a iOS 16 sin perder datos usando Tenorshare Reiboot

Cómo degradar de iOS 17 a iOS 16 sin perder datos usando Tenorshare Reiboot

Si quieres volver a iOS 16 estable en tu teléfono, aquí tienes la guía básica para desinstalar iOS 17 y pasar de iOS 17 a 16.

¿Qué le pasa al cuerpo cuando comes yogur todos los días?

¿Qué le pasa al cuerpo cuando comes yogur todos los días?

El yogur es un alimento maravilloso. ¿Es bueno comer yogur todos los días? Si comes yogur todos los días, ¿cómo cambiará tu cuerpo? ¡Descubrámoslo juntos!

¿Qué tipo de arroz es mejor para la salud?

¿Qué tipo de arroz es mejor para la salud?

Este artículo analiza los tipos de arroz más nutritivos y cómo maximizar los beneficios para la salud del arroz que elija.

Cómo despertarse a tiempo por la mañana

Cómo despertarse a tiempo por la mañana

Establecer un horario de sueño y una rutina para la hora de acostarse, cambiar el despertador y ajustar la dieta son algunas de las medidas que pueden ayudarle a dormir mejor y despertarse a tiempo por la mañana.

Consejos para jugar a Rent Please! Simulación de propietario para principiantes

Consejos para jugar a Rent Please! Simulación de propietario para principiantes

¡Alquiler por favor! Landlord Sim es un juego de simulación para dispositivos móviles iOS y Android. Jugarás como propietario de un complejo de apartamentos y comenzarás a alquilar un apartamento con el objetivo de mejorar el interior de tus apartamentos y prepararlos para los inquilinos.

Últimos códigos de defensa de torres para baños y cómo introducirlos

Últimos códigos de defensa de torres para baños y cómo introducirlos

Obtén el código del juego Bathroom Tower Defense de Roblox y canjéalo por emocionantes recompensas. Te ayudarán a mejorar o desbloquear torres con mayor daño.

Estructura, símbolos y principios de funcionamiento de los transformadores

Estructura, símbolos y principios de funcionamiento de los transformadores

Aprendamos la estructura, los símbolos y los principios de funcionamiento de los transformadores de la forma más precisa.

4 maneras en que la IA está mejorando los televisores inteligentes

4 maneras en que la IA está mejorando los televisores inteligentes

Desde una mejor calidad de imagen y sonido hasta control por voz y más, ¡estas funciones impulsadas por IA hacen que los televisores inteligentes sean mucho mejores!

Por qué ChatGPT es mejor que DeepSeek

Por qué ChatGPT es mejor que DeepSeek

Al principio, la gente tenía grandes esperanzas en DeepSeek. Como chatbot de IA comercializado como un fuerte competidor de ChatGPT, promete capacidades y experiencias de chat inteligentes.

Conoce Fireflies.ai: La secretaria con IA gratuita que te ahorra horas de trabajo

Conoce Fireflies.ai: La secretaria con IA gratuita que te ahorra horas de trabajo

Es fácil pasar por alto detalles importantes cuando se anotan otros elementos esenciales, y tratar de tomar notas mientras se chatea puede ser una distracción. Fireflies.ai es la solución.

Cómo criar Ajolote en Minecraft, domesticar Salamandra en Minecraft

Cómo criar Ajolote en Minecraft, domesticar Salamandra en Minecraft

Axolot de Minecraft será un gran asistente para los jugadores cuando trabajen bajo el agua si saben cómo usarlos.

Configuración del juego para PC A Quiet Place: The Road Ahead

Configuración del juego para PC A Quiet Place: The Road Ahead

La configuración de A Quiet Place: The Road Ahead tiene una calificación bastante alta, por lo que deberás tener en cuenta la configuración antes de decidir descargarla.