O nouă tulpină de ransomware numită Qilin a fost descoperită folosind o tactică relativ sofisticată, foarte personalizabilă, pentru a fura informațiile de conectare la cont stocate în browserul Google Chrome.
Echipa internațională de cercetare în domeniul securității Sophos X-Ops a observat tehnicile de colectare a acreditărilor în timpul răspunsului la incident la Qilin. Acest lucru arată o schimbare alarmantă în tendințele de funcționare ale acestei tulpini periculoase de ransomware.
Prezentare generală a procesului de atac
Atacul analizat de cercetătorii Sophos a început cu malware-ul Qilin care a accesat cu succes rețeaua țintă folosind acreditări compromise pe un gateway VPN fără autentificare multifactor (MFA).
Aceasta a fost urmată de o perioadă de 18 zile de „hibernare” a programelor malware, ceea ce indică faptul că hackerii au achiziționat probabil acces la rețea printr-un broker de acces inițial (IAB). Este posibil ca Qilin să fi petrecut timp cartând rețeaua, identificând activele cheie și efectuând recunoașteri.
După primele 18 zile, malware-ul se deplasează lateral către controlerele de domeniu și modifică obiectele de politică de grup (GPO) pentru a executa un script PowerShell („IPScanner.ps1”) pe toate mașinile conectate la rețeaua de domeniu.
Acest script este executat de un script batch ("logon.bat") și este, de asemenea, inclus în GPO. Este conceput pentru a colecta informații de conectare stocate în Google Chrome.
Scriptul batch este configurat să ruleze (și să declanșeze scriptul PowerShell) de fiecare dată când un utilizator se conectează la computerul său. În paralel, acreditările furate vor fi salvate pe partiția „SYSVOL” sub numele „LD” sau „temp.log”.
După trimiterea fișierelor către serverul de comandă și control (C2) al lui Qilin, copiile locale și jurnalele de evenimente aferente au fost șterse pentru a ascunde activitatea rău intenționată. În cele din urmă, Qilin implementează încărcătura utilă de ransomware și datele criptate pe mașinile compromise.
Un alt GPO și un fișier de comandă separat („run.bat”) sunt, de asemenea, folosite pentru a descărca și executa ransomware-ul pe toate mașinile din domeniu.
Complexitate în apărare
Abordarea lui Qilin cu privire la acreditările Chrome creează un precedent îngrijorător care ar putea face mai dificilă protecția împotriva atacurilor ransomware.
Deoarece GPO este aplicat tuturor mașinilor din domeniu, fiecare dispozitiv pe care utilizatorul este conectat este supus procesului de colectare a acreditărilor.
Aceasta înseamnă că scriptul este capabil să fure acreditări de la toate mașinile din sistem, atâta timp cât acele mașini sunt conectate la domeniu și au un utilizator conectat în timpul rulării scriptului.
Un astfel de furt amplu de acreditări ar putea permite hackerilor să lanseze alte atacuri, ducând la incidente de securitate care se întind pe mai multe platforme și servicii, făcând eforturile de răspuns mult mai greoaie. Acest lucru reprezintă, de asemenea, o amenințare persistentă care durează mult timp după ce incidentul ransomware este rezolvat.
Organizațiile pot atenua riscul prin implementarea unor politici stricte pentru a interzice stocarea secretelor în browserele web. În plus, implementarea autentificării cu mai mulți factori este esențială pentru a proteja conturile împotriva preluării, chiar și în cazul acreditărilor compromise.
În cele din urmă, implementarea principiilor privind cel mai mic privilegiu și segmentarea rețelei poate împiedica semnificativ capacitatea unui actor de amenințare de a se răspândi într-o rețea compromisă.
Accesul controlat la foldere este o caracteristică a aplicației antivirus desktop Microsoft Windows Security. Această caracteristică previne ransomware-ul împiedicând modificarea fișierelor din folderele protejate.
Deși acești doi termeni sunt adesea confundați, există o diferență între ransomware și Cyber Extortion. Cu toate acestea, perechea sunt legate și una poate duce la cealaltă.
Televizoarele inteligente au luat cu adevărat lumea cu asalt. Cu atât de multe funcții grozave și conectivitate la internet, tehnologia a schimbat modul în care ne uităm la televizor.
Frigiderele sunt aparate cunoscute în gospodării. Frigiderele au de obicei 2 compartimente, compartimentul cool este spatios si are o lumina care se aprinde automat de fiecare data cand utilizatorul il deschide, in timp ce compartimentul congelator este ingust si nu are lumina.
Rețelele Wi-Fi sunt afectate de mulți factori, dincolo de routere, lățime de bandă și interferențe, dar există câteva modalități inteligente de a vă îmbunătăți rețeaua.
Dacă doriți să reveniți la iOS 16 stabil pe telefonul dvs., iată ghidul de bază pentru dezinstalarea iOS 17 și downgrade de la iOS 17 la 16.
Iaurtul este un aliment minunat. Este bine să mănânci iaurt în fiecare zi? Când mănânci iaurt în fiecare zi, cum se va schimba corpul tău? Să aflăm împreună!
Acest articol discută cele mai hrănitoare tipuri de orez și cum să maximizați beneficiile pentru sănătate ale orezului pe care îl alegeți.
Stabilirea unui program de somn și a rutinei de culcare, schimbarea ceasului cu alarmă și ajustarea dietei sunt câteva dintre măsurile care vă pot ajuta să dormiți mai bine și să vă treziți la timp dimineața.
Inchiriez va rog! Landlord Sim este un joc mobil de simulare pe iOS și Android. Veți juca ca proprietarul unui complex de apartamente și veți începe să închiriați un apartament cu scopul de a îmbunătăți interiorul apartamentelor și de a le pregăti pentru chiriași.
Obțineți codul de joc Roblox Bathroom Tower Defense și răscumpărați pentru recompense interesante. Ele vă vor ajuta să faceți upgrade sau să deblocați turnuri cu daune mai mari.
Să învățăm despre structura, simbolurile și principiile de funcționare ale transformatoarelor în cel mai precis mod.
De la o calitate mai bună a imaginii și a sunetului la controlul vocal și multe altele, aceste funcții bazate pe inteligență artificială fac televizoarele inteligente mult mai bune!
Inițial, oamenii aveau mari speranțe în DeepSeek. Fiind un chatbot AI comercializat ca un concurent puternic pentru ChatGPT, acesta promite capacități și experiențe inteligente de chat.
Este ușor să ratezi detalii importante atunci când notezi alte elemente esențiale, iar încercarea de a lua notițe în timpul conversației poate fi distragerea atenției. Fireflies.ai este soluția.
Axolot Minecraft va fi un asistent excelent pentru jucători atunci când operează sub apă, dacă știu să le folosească.
Un loc liniștit: configurația Road Ahead este foarte apreciată, așa că va trebui să luați în considerare configurația înainte de a decide să descărcați.
