O grupo de ransomware Qilin está usando uma nova tática para roubar dados armazenados no Google Chrome, o que pode marcar uma mudança significativa no mundo do cibercrime, segundo a Sophos na quinta-feira (22). Pesquisadores da empresa monitoraram a campanha maliciosa ao longo de 18 dias.
Segundo a fornecedora de soluções de segurança, o ataque começou com os autores obtendo acesso a uma rede a partir de credenciais comprometidas para um serviço VPN sem autenticação multifator habilitada. Acredita-se que eles tenham comprado a entrada de um corredor de acesso inicial (IAB) e monitorado a rede buscando alvos críticos.
A nova técnica de roubo de dados no Chrome pode ser mitigada com a implantação da autenticação multifator.
Em seguida, os invasores executaram um script do PowerShell (‘IPScanner.ps1’) em todos os dispositivos conectados à rede, após se moverem para um controlador de domínio e modificarem os Objetos de Política de Grupo (GPOs). O script foi projetado para coletar senhas e outras informações salvas no Chrome.
A organização Qilin também configurou o script para ser executado toda vez que alguém fizesse login nas máquinas afetadas, salvando os dados em seus servidores e apagando os logs de eventos para ocultar a atividade. Depois disso, o ransomware era baixado nos PCs e usado para criptografar seus arquivos.
Precedente alarmante
O método usado pelo Qilin para o roubo de dados no Chrome abre uma brecha preocupante, conforme os pesquisadores, tornando a proteção contra ataques de ransomware ainda mais desafiadora. A campanha pode ter permitido coletar credenciais de todos os dispositivos da empresa alvo do ataque.
A extração de senhas em larga escala possibilita ataques subsequentes, facilitando violações em outras plataformas e serviços da companhia impactada. Além disso, introduz uma ameaça duradoura mesmo depois que o ataque de ransomware tenha sido resolvido, como explica o relatório.
Habilitar a autenticação de dois fatores é uma das formas de dificultar esse tipo de ataque, mitigando riscos mesmo com o comprometimento de credenciais. Os especialistas também sugerem proibir armazenar dados sigilosos nos navegadores e implementar princípios de privilégio mínimo na rede.
Fontes
Categorias