Os agentes de ameaças por trás de um ataque de ransomware Qilin observado recentemente roubaram credenciais armazenadas nos navegadores Google Chrome em um pequeno conjunto de endpoints comprometidos.
Qilin – Ransomware
O uso de coleta de credenciais em conexão com uma infecção de ransomware marca uma reviravolta incomum e que pode ter consequências em cascata, disse a empresa de segurança cibernética Sophos em um relatório de quinta-feira.
O ataque, detectado em julho de 2024, envolveu a infiltração na rede alvo por meio de credenciais comprometidas para um portal VPN que não tinha autenticação multifator (MFA), com os agentes da ameaça conduzindo ações pós-exploração 18 dias após o acesso inicial.
“Quando o invasor alcançou o controlador de domínio em questão, ele editou a política de domínio padrão para introduzir um Objeto de Política de Grupo (GPO) baseado em logon contendo dois itens”, disseram os pesquisadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia e Robert Weiland .
O primeiro deles é um script do PowerShell chamado “IPScanner.ps1” que foi projetado para coletar dados de credenciais armazenados no navegador Chrome. O segundo item é um script em lote (“logon.bat”) que contata comandos para executar o primeiro script.
“O invasor deixou esse GPO ativo na rede por mais de três dias”, acrescentaram os pesquisadores.
“Isso forneceu ampla oportunidade para os usuários fazerem logon em seus dispositivos e, sem que eles soubessem, acionar o script de coleta de credenciais em seus sistemas. Novamente, como tudo isso foi feito usando um GPO de logon, cada usuário experimentaria esse roubo de credenciais toda vez que fizesse login.”
Os invasores então exfiltraram as credenciais roubadas e tomaram medidas para apagar as evidências da atividade antes de criptografar os arquivos e inserir a nota de resgate em todos os diretórios do sistema.
O roubo de credenciais armazenadas no navegador Chrome significa que os usuários afetados agora precisam alterar suas combinações de nome de usuário e senha para cada site de terceiros.
“Como era de se esperar, os grupos de ransomware continuam mudando de tática e expandindo seu repertório de técnicas”, disseram os pesquisadores.
“Se eles, ou outros invasores, também decidiram minerar credenciais armazenadas em endpoints — o que poderia fornecer uma porta de entrada para um alvo subsequente, ou tesouros de informações sobre alvos de alto valor a serem explorados por outros meios — um novo capítulo sombrio pode ter se aberto na história contínua do crime cibernético.”
Tendências em constante evolução em ransomware#
O desenvolvimento ocorre no momento em que grupos de ransomware como Mad Liberator e Mimic foram observados usando solicitações não solicitadas do AnyDesk para exfiltração de dados e aproveitando servidores Microsoft SQL expostos à Internet para acesso inicial, respectivamente.
Os ataques do Mad Liberator são caracterizados ainda mais pelos agentes da ameaça que abusam do acesso para transferir e iniciar um binário chamado “Microsoft Windows Update”, que exibe uma tela inicial falsa do Windows Update para a vítima para dar a impressão de que atualizações de software estão sendo instaladas enquanto os dados estão sendo roubados.
O abuso de ferramentas legítimas de área de trabalho remota , em oposição ao malware personalizado, oferece aos invasores o disfarce perfeito para camuflar suas atividades maliciosas à vista de todos, permitindo que eles se misturem ao tráfego normal da rede e evitem a detecção.
O ransomware continua sendo um empreendimento lucrativo para os cibercriminosos, apesar de uma série de ações policiais, com 2024 definido para ser o ano de maior arrecadação até agora. O ano também viu o maior pagamento de ransomware já registrado, de aproximadamente US$ 75 milhões, para o grupo de ransomware Dark Angels .
“O pagamento médio de resgate para as cepas de ransomware mais graves aumentou de pouco menos de US$ 200.000 no início de 2023 para US$ 1,5 milhão em meados de junho de 2024, sugerindo que essas cepas estão priorizando atingir empresas maiores e provedores de infraestrutura crítica que podem estar mais propensos a pagar resgates altos devido aos seus bolsos fundos e importância sistêmica”, disse a empresa de análise de blockchain Chainalysis .
Estima-se que as vítimas de ransomware pagaram US$ 459,8 milhões a criminosos cibernéticos no primeiro semestre do ano, acima dos US$ 449,1 milhões do ano anterior. No entanto, os eventos totais de pagamento de ransomware, medidos on-chain, caíram YoY em 27,29%, indicando uma queda nas taxas de pagamento.
Além disso, grupos de ameaças de língua russa foram responsáveis por pelo menos 69% de todos os lucros com criptomoedas vinculados a ransomware no ano anterior, ultrapassando US$ 500 milhões.
De acordo com dados compartilhados pelo NCC Group, o número de ataques de ransomware observados em julho de 2024 saltou mês a mês de 331 para 395, mas caiu de 502 registrados no ano passado. As famílias de ransomware mais ativas foram RansomHub, LockBit e Akira. Os setores mais frequentemente visados incluem indústrias, cíclicos de consumo e hotéis e entretenimento.
Organizações industriais são um alvo lucrativo para grupos de ransomware devido à natureza crítica de suas operações e ao alto impacto de interrupções, aumentando assim a probabilidade de as vítimas pagarem o valor do resgate exigido pelos invasores.
“Os criminosos se concentram onde podem causar mais dor e interrupção, então o público exigirá resoluções rápidas e, espera-se, pagamentos de resgate para restaurar os serviços mais rapidamente”, disse Chester Wisniewski, diretor global de tecnologia de campo da Sophos.
“Isso torna os serviços públicos os principais alvos de ataques de ransomware. Por causa das funções essenciais que eles fornecem, a sociedade moderna exige que eles se recuperem rapidamente e com o mínimo de interrupção.”
Os ataques de ransomware direcionados ao setor quase dobraram no Q2 de 2024 em comparação ao Q1, de 169 para 312 incidentes, segundo Dragos . A maioria dos ataques destacou a América do Norte (187), seguida pela Europa (82), Ásia (29) e América do Sul (6).
“Os agentes de ransomware estão programando estrategicamente seus ataques para coincidir com períodos de pico de feriados em algumas regiões para maximizar a interrupção e pressionar as organizações a pagar”, disse o NCC Group .
A Malwarebytes, em seu próprio relatório State of Ransomware de 2024, destacou três tendências em táticas de ransomware no ano passado, incluindo um aumento nos ataques durante os fins de semana e nas primeiras horas da manhã, entre 1h e 5h, e uma redução no tempo entre o acesso inicial e a criptografia.
Outra mudança notável é o aumento da exploração de serviços de ponta e o direcionamento de pequenas e médias empresas, disse a WithSecure , acrescentando que o desmantelamento da LockBit e da ALPHV (também conhecida como BlackCat) levou a uma erosão da confiança na comunidade de criminosos cibernéticos, fazendo com que os afiliados se afastassem das grandes marcas.
De fato, a Coveware disse que mais de 10% dos incidentes tratados pela empresa no segundo trimestre de 2024 não foram afiliados, o que significa que foram “atribuídos a invasores que estavam operando deliberadamente de forma independente de uma marca específica e ao que normalmente chamamos de ‘lobos solitários'”.
“As remoções contínuas de fóruns e mercados de criminosos cibernéticos encurtaram o ciclo de vida dos sites criminosos, pois os administradores dos sites tentam evitar chamar a atenção das autoridades policiais”, disse a Europol em uma avaliação divulgada no mês passado.
“Essa incerteza, combinada com um aumento nos exit scams , contribuíram para a fragmentação contínua dos mercados criminosos. As recentes operações LE e o vazamento de códigos-fonte de ransomware (por exemplo, Conti, LockBit e HelloKitty) levaram a uma fragmentação de grupos ativos de ransomware e variantes disponíveis.”
Fontes: The Hacker News
2 thoughts on “Novo ataque de ransomware Qilin usa credenciais de VPN e rouba dados do Chrome”
Comments are closed.