Se ha descubierto una nueva cepa de ransomware llamada Qilin que utiliza una táctica relativamente sofisticada y altamente personalizable para robar información de inicio de sesión de cuentas almacenada en el navegador Google Chrome.
El equipo de investigación de seguridad internacional de Sophos X-Ops observó técnicas de recolección de credenciales durante la respuesta al incidente de Qilin. Esto muestra un cambio alarmante en las tendencias operativas de esta peligrosa cepa de ransomware.
Descripción general del proceso de ataque
El ataque analizado por los investigadores de Sophos comenzó con el malware Qilin accediendo exitosamente a la red objetivo usando credenciales comprometidas en una puerta de enlace VPN sin autenticación multifactor (MFA).
A esto le siguió un período de 18 días de “hibernación” del malware, lo que indica que los piratas informáticos probablemente habían comprado acceso a la red a través de un agente de acceso inicial (IAB). Es posible que Qilin haya pasado tiempo mapeando la red, identificando activos clave y realizando reconocimientos.
Después de los primeros 18 días, el malware se mueve lateralmente a los controladores de dominio y modifica los objetos de política de grupo (GPO) para ejecutar un script de PowerShell ('IPScanner.ps1') en todas las máquinas conectadas a la red del dominio.
Este script se ejecuta mediante un script por lotes ('logon.bat') y también está incluido en la GPO. Está diseñado para recopilar información de inicio de sesión almacenada en Google Chrome.
El script por lotes está configurado para ejecutarse (y activar el script de PowerShell) cada vez que un usuario inicia sesión en su máquina. Paralelamente, las credenciales robadas se guardarán en la partición 'SYSVOL' con el nombre 'LD' o 'temp.log'.
Después de enviar los archivos al servidor de comando y control (C2) de Qilin, se eliminaron copias locales y registros de eventos relacionados para ocultar la actividad maliciosa. Finalmente, Qilin implementa la carga útil del ransomware y los datos cifrados en las máquinas comprometidas.
También se utilizan otro GPO y un archivo de comando separado ('run.bat') para descargar y ejecutar el ransomware en todas las máquinas del dominio.
Complejidad en la defensa
El enfoque de Qilin hacia las credenciales de Chrome sienta un precedente preocupante que podría dificultar la protección contra ataques de ransomware.
Debido a que la GPO se aplica a todas las máquinas del dominio, cada dispositivo en el que el usuario inicia sesión está sujeto al proceso de recopilación de credenciales.
Esto significa que el script es capaz de robar credenciales de todas las máquinas del sistema, siempre que esas máquinas estén conectadas al dominio y tengan un usuario conectado durante el tiempo que se ejecuta el script.
Un robo de credenciales tan amplio podría permitir a los piratas informáticos lanzar más ataques, lo que provocaría incidentes de seguridad que abarcarían múltiples plataformas y servicios, haciendo mucho más engorrosos los esfuerzos de respuesta. Esto también representa una amenaza persistente que dura mucho tiempo después de que se resuelve el incidente de ransomware.
Las organizaciones pueden mitigar el riesgo implementando políticas estrictas para prohibir el almacenamiento de secretos en navegadores web. Además, implementar la autenticación multifactor es clave para proteger las cuentas contra el robo de datos, incluso en el caso de que las credenciales estén comprometidas.
Por último, la implementación de principios de mínimo privilegio y segmentación de red puede obstaculizar significativamente la capacidad de un actor de amenazas de propagarse por una red comprometida.
El acceso controlado a carpetas es una característica de la aplicación antivirus de escritorio Windows Security de Microsoft. Esta función previene ransomware al impedir la modificación de archivos en carpetas protegidas.
Aunque estos dos términos a menudo se confunden, existe una diferencia entre ransomware y ciberextorsión. Sin embargo, ambos están vinculados y uno puede llevar al otro.
Todavía existen muchas herramientas de fotografía gratuitas y potentes que puedes utilizar para mejorar tus fotos.
El widget de Búsqueda de Google le brinda acceso rápido a la Búsqueda de Google y al feed Discover, junto con la Búsqueda por voz y Google Lens.
Si aparece el mensaje Su contraseña ha expirado y debe cambiarse en la pantalla de inicio de sesión de Windows, es porque las contraseñas de las cuentas locales de Windows expiran cada 42 días de manera predeterminada.
Para convertir imágenes WebP a formatos PNG y JPG, podemos hacerlo de muchas maneras diferentes, como hacerlo directamente en la URL de la imagen o utilizando herramientas de conversión de imágenes.
El nuevo modo Canvas de ChatGPT agrega una nueva dimensión a la escritura y edición en el motor de IA generativa líder en el mundo.
Si bien los editores de fotografías con inteligencia artificial pueden simplificar significativamente el flujo de trabajo de edición, están lejos de ser perfectos. Hay algunas cosas que a los usuarios no les gustan y en el artículo de hoy descubrirás cuáles son.
Cuando Play Store no actualiza automáticamente las aplicaciones, los usuarios corren el riesgo de perderse nuevas funciones, parches de seguridad y correcciones de errores. Afortunadamente, puedes configurar Google Play Store para que actualice automáticamente tus aplicaciones siguiendo estos pasos.
En un movimiento que cambia por completo la forma en que se distribuyen los juegos digitales, Nintendo presentó oficialmente el sistema de tarjetas de juego virtuales en el evento Nintendo Direct.
Además de enviar fotos en Messenger, los usuarios ahora pueden enviar archivos en la aplicación a otras personas, con todos los formatos de documentos como pdf, doc, xlx...
CapCut también tiene la opción de insertar subtítulos de vídeo como algunas aplicaciones de subtitulado de vídeo famosas. Luego, la aplicación reconoce automáticamente el sonido y la voz en el vídeo y luego los muestra en el vídeo.
Acaba de decidir reemplazar su antiguo enrutador. Cuando desempaquete su nuevo enrutador inalámbrico, es posible que se pregunte por qué hay dos redes: 2,4 GHz y 5 GHz. Entonces, ¿es más fuerte la red de 5 GHz? ¿Cuál es la diferencia entre ellos?
Hoy en día, los usuarios pueden pagar para proteger todos sus dispositivos, ya sea una PC, una Mac o un teléfono inteligente. Pero con tantas opciones disponibles en el mercado hoy en día, puede resultar difícil saber por dónde empezar. A continuación se muestra una lista de los mejores paquetes de software de seguridad de Internet disponibles en la actualidad.
Con una gran cantidad de herramientas para creadores digitales, Adobe Express es la herramienta creativa todo en uno definitiva para todos, y no desaparecerá.
Para mayor comodidad al utilizar Gmail, puedes convertirlo en una aplicación en tu computadora sin tener que acceder a él manualmente.
Code Thien Nhai Minh Nguyet Dao ayuda a los jugadores a no aburrirse cuando se unen al juego por primera vez.
