Qilin ransomware: Κλέβει credentials από τον Chrome browser
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Qilin ransomware: Κλέβει credentials από τον Chrome browser
https://www.secnews.gr/613997/qilin-ransomware-klebei-credentials-apo-chrome-browser/
Aug 23rd 2024, 09:50
Η ομάδα ransomware Qilin αναπτύσσει τώρα ένα νέο custom πρόγραμμα κλοπής δεδομένων, για να κλέψει τα credentials λογαριασμών που είναι αποθηκευμένα στο Google Chrome.
Η ερευνητική ομάδα Sophos X-Ops μελέτησε τις τεχνικές συλλογής credentials αυτού του προγράμματος και διαπίστωσε μια ανησυχητική αλλαγή στον τρόπο λειτουργίας του ransomware.
Qilin ransomware: Νέες επιθέσεις
Η επίθεση που ανέλυσαν οι ερευνητές της Sophos ξεκίνησε με τη συμμορία Qilin να αποκτά πρόσβαση σε ένα δίκτυο χρησιμοποιώντας παραβιασμένα credentials για ένα VPN portal, που δεν προστατευόταν με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Μετά την αρχική παραβίαση, οι ερευνητές παρατήρησαν 18 ημέρες αδράνειας. Πιθανώς, οι hackers χρειάστηκαν κάποιο χρόνο για να χαρτογραφήσουν το δίκτυο, με σκοπό να εντοπίσουν κρίσιμα assets και δεδομένα.
Δείτε επίσης: QNAP QTS 5.2: Νέες δυνατότητες προστασίας από ransomware
Μετά τις πρώτες 18 ημέρες, οι εισβολείς μετακινήθηκαν σε ένα domain controller και τροποποίησαν τα Group Policy Objects (GPO) για να μπορέσουν να εκτελέσουν ένα PowerShell script («IPScanner.ps1») σε όλα τα μηχανήματα που είναι συνδεδεμένα στο δίκτυο domain.
Αυτό το script (που εκτελέστηκε από ένα batch script που υπήρχε στο GPO) έχει σχεδιαστεί για τη συλλογή credentials που είναι αποθηκευμένα στο Google Chrome.
Το batch script διαμορφώθηκε ώστε να εκτελείται και να ενεργοποιεί το άλλο script κάθε φορά που ο χρήστης συνδέεται στον υπολογιστή του. Ταυτόχρονα, τα κλεμμένα credentials αποθηκεύονταν στο 'SYSVOL' share με τα ονόματα «LD» ή «temp.log».
Αφού η ransomware συμμορία λάβει τα δεδομένα στον διακομιστή εντολών και ελέγχου (C2), τα τοπικά αντίγραφα και τα σχετικά αρχεία καταγραφής συμβάντων διαγράφονται. Αυτό στοχεύει στην απόκρυψη της κακόβουλης δραστηριότητας. Στο τέλος, η Qilin αναπτύσσει το ίδιο το ransomware payload στα παραβιασμένα μηχανήματα.
Οι ερευνητές παρατήρησαν, επίσης, ένα άλλο GPO και ένα ξεχωριστό batch file («run.bat»), τα οποία χρησιμοποιήθηκαν για τη λήψη και την εκτέλεση του ransomware σε όλα τα μηχανήματα στο domain.
Qilin ransomware: Η συλλογή credentials κάνει τις επιθέσεις πιο επικίνδυνες
Η κλοπή credentials που είναι αποθηκευμένα στον Chrome μπορεί να κάνει την προστασία από επιθέσεις ransomware ακόμη πιο δύσκολη.
Το GPO εφαρμοζόταν σε όλα τα μηχανήματα του domain και άρα η συλλογή credentials γίνεται σε κάθε συσκευή στην οποία συνδέεται ένας χρήστης. Αυτό σημαίνει ότι το script θα μπορούσε να κλέψει τα credentials από όλα τα μηχανήματα σε μια εταιρεία, εφόσον αυτά τα μηχανήματα είναι συνδεδεμένα στο domain.
Δείτε επίσης: Ransomware 2024: Οι πληρωμές λύτρων έφτασαν τα $ 459 εκατ.
Τέτοια εκτεταμένη κλοπή θα μπορούσε να οδηγήσει σε εκτεταμένες παραβιάσεις και επιθέσεις κατασκοπείας, ταυτόχρονα με την επίθεση ransomware.
Για να προστατευτούν (όσο είναι δυνατό), οι οργανισμοί πρέπει να εφαρμόσουν αυστηρές πολιτικές για την απαγόρευση της αποθήκευσης credentials και άλλων σημαντικών στοιχείων σε προγράμματα περιήγησης όπως ο Chrome.
Επιπλέον, είναι απαραίτητη η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλους τους λογαριασμούς.
Τέλος, η εφαρμογή των αρχών του ελάχιστου προνομίου και η τμηματοποίηση του δικτύου μπορούν να εμποδίσουν τους επιτιθέμενους να εξαπλωθούν σε ένα παραβιασμένο δίκτυο.
Όσον αφορά το ίδιο το Qilin ransomware, υπάρχουν κάποιες βέλτιστες πρακτικές ασφαλείας, που πρέπει να εφαρμόζουν πάντα όλοι οι οργανισμοί για να προστατεύονται:
Προστασία από το ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: Το BlackSuit ransomware ζήτησε πάνω από 500 εκατ. δολάρια σε λύτρα
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Qilin ransomware: Κλέβει credentials από τον Chrome browser
https://www.secnews.gr/613997/qilin-ransomware-klebei-credentials-apo-chrome-browser/
Aug 23rd 2024, 09:50
Η ομάδα ransomware Qilin αναπτύσσει τώρα ένα νέο custom πρόγραμμα κλοπής δεδομένων, για να κλέψει τα credentials λογαριασμών που είναι αποθηκευμένα στο Google Chrome.
Η ερευνητική ομάδα Sophos X-Ops μελέτησε τις τεχνικές συλλογής credentials αυτού του προγράμματος και διαπίστωσε μια ανησυχητική αλλαγή στον τρόπο λειτουργίας του ransomware.
Qilin ransomware: Νέες επιθέσεις
Η επίθεση που ανέλυσαν οι ερευνητές της Sophos ξεκίνησε με τη συμμορία Qilin να αποκτά πρόσβαση σε ένα δίκτυο χρησιμοποιώντας παραβιασμένα credentials για ένα VPN portal, που δεν προστατευόταν με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Μετά την αρχική παραβίαση, οι ερευνητές παρατήρησαν 18 ημέρες αδράνειας. Πιθανώς, οι hackers χρειάστηκαν κάποιο χρόνο για να χαρτογραφήσουν το δίκτυο, με σκοπό να εντοπίσουν κρίσιμα assets και δεδομένα.
Δείτε επίσης: QNAP QTS 5.2: Νέες δυνατότητες προστασίας από ransomware
Μετά τις πρώτες 18 ημέρες, οι εισβολείς μετακινήθηκαν σε ένα domain controller και τροποποίησαν τα Group Policy Objects (GPO) για να μπορέσουν να εκτελέσουν ένα PowerShell script («IPScanner.ps1») σε όλα τα μηχανήματα που είναι συνδεδεμένα στο δίκτυο domain.
Αυτό το script (που εκτελέστηκε από ένα batch script που υπήρχε στο GPO) έχει σχεδιαστεί για τη συλλογή credentials που είναι αποθηκευμένα στο Google Chrome.
Το batch script διαμορφώθηκε ώστε να εκτελείται και να ενεργοποιεί το άλλο script κάθε φορά που ο χρήστης συνδέεται στον υπολογιστή του. Ταυτόχρονα, τα κλεμμένα credentials αποθηκεύονταν στο 'SYSVOL' share με τα ονόματα «LD» ή «temp.log».
Αφού η ransomware συμμορία λάβει τα δεδομένα στον διακομιστή εντολών και ελέγχου (C2), τα τοπικά αντίγραφα και τα σχετικά αρχεία καταγραφής συμβάντων διαγράφονται. Αυτό στοχεύει στην απόκρυψη της κακόβουλης δραστηριότητας. Στο τέλος, η Qilin αναπτύσσει το ίδιο το ransomware payload στα παραβιασμένα μηχανήματα.
Οι ερευνητές παρατήρησαν, επίσης, ένα άλλο GPO και ένα ξεχωριστό batch file («run.bat»), τα οποία χρησιμοποιήθηκαν για τη λήψη και την εκτέλεση του ransomware σε όλα τα μηχανήματα στο domain.
Qilin ransomware: Η συλλογή credentials κάνει τις επιθέσεις πιο επικίνδυνες
Η κλοπή credentials που είναι αποθηκευμένα στον Chrome μπορεί να κάνει την προστασία από επιθέσεις ransomware ακόμη πιο δύσκολη.
Το GPO εφαρμοζόταν σε όλα τα μηχανήματα του domain και άρα η συλλογή credentials γίνεται σε κάθε συσκευή στην οποία συνδέεται ένας χρήστης. Αυτό σημαίνει ότι το script θα μπορούσε να κλέψει τα credentials από όλα τα μηχανήματα σε μια εταιρεία, εφόσον αυτά τα μηχανήματα είναι συνδεδεμένα στο domain.
Δείτε επίσης: Ransomware 2024: Οι πληρωμές λύτρων έφτασαν τα $ 459 εκατ.
Τέτοια εκτεταμένη κλοπή θα μπορούσε να οδηγήσει σε εκτεταμένες παραβιάσεις και επιθέσεις κατασκοπείας, ταυτόχρονα με την επίθεση ransomware.
Για να προστατευτούν (όσο είναι δυνατό), οι οργανισμοί πρέπει να εφαρμόσουν αυστηρές πολιτικές για την απαγόρευση της αποθήκευσης credentials και άλλων σημαντικών στοιχείων σε προγράμματα περιήγησης όπως ο Chrome.
Επιπλέον, είναι απαραίτητη η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλους τους λογαριασμούς.
Τέλος, η εφαρμογή των αρχών του ελάχιστου προνομίου και η τμηματοποίηση του δικτύου μπορούν να εμποδίσουν τους επιτιθέμενους να εξαπλωθούν σε ένα παραβιασμένο δίκτυο.
Όσον αφορά το ίδιο το Qilin ransomware, υπάρχουν κάποιες βέλτιστες πρακτικές ασφαλείας, που πρέπει να εφαρμόζουν πάντα όλοι οι οργανισμοί για να προστατεύονται:
Προστασία από το ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: Το BlackSuit ransomware ζήτησε πάνω από 500 εκατ. δολάρια σε λύτρα
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια