Новая вариация программы-вымогателя Qilin была замечена при успешной краже конфиденциальных данных, хранящихся в браузере Google Chrome.
Исследователи из компании Sophos в своей статье рассказали, как киберпреступная группа использовала ранее скомпрометированные учетные данные для проникновения в IT-инфраструктуру неназванной организации. Эти учетные данные были для портала виртуальной частной сети (VPN), который не имел многофакторной аутентификации (MFA), что значительно упростило доступ.
Неизвестно, было ли первоначальное нарушение безопасности сделано брокером начального доступа (IAB) и затем передано операторам вымогателя, или все было выполнено одной группой.
Кража учетных данных в массовом порядке
В любом случае, группа находилась внутри системы более двух недель (18 дней), прежде чем перейти на контроллер домена, используя взломанные учетные данные. Исследователи заявили, что злоумышленники были замечены на одном контроллере домена в целевой структуре Active Directory, однако были заражены и другие контроллеры домена в этой же структуре. Однако они пострадали по-разному.
Qilin представляет собой классическую операцию программы-вымогателя, которая использует двойное вымогательство — сначала крадет как можно больше информации, а затем шифрует скомпрометированное устройство, требуя выкуп за получение ключа расшифровки. Тем не менее, исследователи отметили, что отличительной чертой этой операции является то, как она нацелена на Google Chrome.
«Во время недавнего расследования взлома программы-вымогателя Qilin, команда Sophos X-Ops выявила действия злоумышленников, которые привели к массовой краже учетных данных, хранящихся в браузерах Google Chrome на части конечных точек сети — что является техникой сбора данных с возможными последствиями, выходящими далеко за рамки организации-жертвы», — объяснили исследователи. «Эта необычная тактика может значительно усилить хаос, уже присущий ситуациям с вымогателями».
Иными словами, Qilin собирал учетные данные, сохраненные в браузерах Chrome на компьютерах, подключенных к той же сети, что и первоначально скомпрометированное устройство.
Исследователи Sophos заключили, что киберпреступники продолжают совершенствовать свои тактики, подчеркивая, что организациям необходимо чаще использовать менеджеры паролей и обязательно включать MFA, чтобы минимизировать вероятность попасть в ловушку.
Источник: TechRadar
