Ransomware Qilin rouba credenciais do Chrome

O grupo de ransomware Qilin intensificou as suas tácticas, agora roubando credenciais armazenadas no Google Chrome durante os seus ataques. Esta mudança, descoberta pela equipa X-Ops da Sophos, representa um novo perigo para organizações que utilizam o armazenamento de credenciais no Chrome.

O ataque analisado pela Sophos começou com o Qilin a aceder a uma rede usando credenciais roubadas para um portal VPN sem autenticação multifactor (MFA). Depois de obter acesso, os atacantes mantiveram-se inactivos durante 18 dias, possivelmente a avaliar a rede e identificar alvos valiosos. Posteriormente, modificaram os Objetos de Política de Grupo (GPOs) para implementar um script PowerShell em todas as máquinas do domínio, capturando credenciais do Chrome e armazenando-as numa pasta partilhada para posterior extracção.

Depois de recolherem as credenciais, o Qilin encriptou as máquinas na rede, eliminando registos e ficheiros locais para ocultar o rasto. A utilização extensiva de GPOs permitiu que o script de roubo de credenciais do Qilin fosse activado em qualquer máquina ligada à rede. Esta abordagem complica as estratégias de defesa, pois pode exigir que as organizações redefinam palavras-passe em vários sistemas e serviços onde os utilizadores armazenaram credenciais.

Para se defenderem contra essas ameaças, as organizações são aconselhadas a implementar políticas para impedir o armazenamento de palavras-passe nos browsers, exigir MFA em todas as contas e aplicar o princípio de privilégio mínimo para limitar a propagação de ataques. A Sophos alerta que a associação do Qilin ao grupo Scattered Spider, conhecido pela sua engenharia social sofisticada, só reforça a necessidade de todas as medidas de segurança possíveis.