O nouă tulpină de ransomware numită Qilin a fost descoperită folosind o tactică relativ sofisticată, foarte personalizabilă, pentru a fura informațiile de conectare la cont stocate în browserul Google Chrome.
Echipa internațională de cercetare în domeniul securității Sophos X-Ops a observat tehnicile de colectare a acreditărilor în timpul răspunsului la incident la Qilin. Acest lucru arată o schimbare alarmantă în tendințele de funcționare ale acestei tulpini periculoase de ransomware.
Prezentare generală a procesului de atac
Atacul analizat de cercetătorii Sophos a început cu malware-ul Qilin care a accesat cu succes rețeaua țintă folosind acreditări compromise pe un gateway VPN fără autentificare multifactor (MFA).
Aceasta a fost urmată de o perioadă de 18 zile de „hibernare” a programelor malware, ceea ce indică faptul că hackerii au achiziționat probabil acces la rețea printr-un broker de acces inițial (IAB). Este posibil ca Qilin să fi petrecut timp cartând rețeaua, identificând activele cheie și efectuând recunoașteri.
După primele 18 zile, malware-ul se deplasează lateral către controlerele de domeniu și modifică obiectele de politică de grup (GPO) pentru a executa un script PowerShell („IPScanner.ps1”) pe toate mașinile conectate la rețeaua de domeniu.
Acest script este executat de un script batch ("logon.bat") și este, de asemenea, inclus în GPO. Este conceput pentru a colecta informații de conectare stocate în Google Chrome.
Scriptul batch este configurat să ruleze (și să declanșeze scriptul PowerShell) de fiecare dată când un utilizator se conectează la computerul său. În paralel, acreditările furate vor fi salvate pe partiția „SYSVOL” sub numele „LD” sau „temp.log”.
După trimiterea fișierelor către serverul de comandă și control (C2) al lui Qilin, copiile locale și jurnalele de evenimente aferente au fost șterse pentru a ascunde activitatea rău intenționată. În cele din urmă, Qilin implementează încărcătura utilă de ransomware și datele criptate pe mașinile compromise.
Un alt GPO și un fișier de comandă separat („run.bat”) sunt, de asemenea, folosite pentru a descărca și executa ransomware-ul pe toate mașinile din domeniu.
Complexitate în apărare
Abordarea lui Qilin cu privire la acreditările Chrome creează un precedent îngrijorător care ar putea face mai dificilă protecția împotriva atacurilor ransomware.
Deoarece GPO este aplicat tuturor mașinilor din domeniu, fiecare dispozitiv pe care utilizatorul este conectat este supus procesului de colectare a acreditărilor.
Aceasta înseamnă că scriptul este capabil să fure acreditări de la toate mașinile din sistem, atâta timp cât acele mașini sunt conectate la domeniu și au un utilizator conectat în timpul rulării scriptului.
Un astfel de furt amplu de acreditări ar putea permite hackerilor să lanseze alte atacuri, ducând la incidente de securitate care se întind pe mai multe platforme și servicii, făcând eforturile de răspuns mult mai greoaie. Acest lucru reprezintă, de asemenea, o amenințare persistentă care durează mult timp după ce incidentul ransomware este rezolvat.
Organizațiile pot atenua riscul prin implementarea unor politici stricte pentru a interzice stocarea secretelor în browserele web. În plus, implementarea autentificării cu mai mulți factori este esențială pentru a proteja conturile împotriva preluării, chiar și în cazul acreditărilor compromise.
În cele din urmă, implementarea principiilor privind cel mai mic privilegiu și segmentarea rețelei poate împiedica semnificativ capacitatea unui actor de amenințare de a se răspândi într-o rețea compromisă.
Accesul controlat la foldere este o caracteristică a aplicației antivirus desktop Microsoft Windows Security. Această caracteristică previne ransomware-ul împiedicând modificarea fișierelor din folderele protejate.
Deși acești doi termeni sunt adesea confundați, există o diferență între ransomware și Cyber Extortion. Cu toate acestea, perechea sunt legate și una poate duce la cealaltă.
Corki DTCL sezonul 7 are nevoie de protecție sau sprijin pentru a determina controlul dacă vrea să fie liber să distrugă echipa inamice. În același timp, echipamentul lui Corki trebuie să fie și el standard pentru a putea provoca daune mai eficiente.
Iată link-ul de descărcare pentru Mini World Royale și instrucțiuni de joc, vom avea două versiuni: Mini World Royale APK și Mini World Royale iOS.
1314 este un număr adesea folosit de tineri ca cod de dragoste. Cu toate acestea, nu toată lumea știe ce este 1314 și ce înseamnă?
A face față situațiilor toxice poate fi incredibil de dificilă. Iată câteva sfaturi pentru a vă ajuta să gestionați mediile toxice cu tact și să vă păstrați liniștea sufletească.
Majoritatea oamenilor știu că muzica nu este doar pentru divertisment, ci are mult mai multe beneficii decât atât. Iată câteva modalități prin care muzica ne stimulează dezvoltarea creierului.
Dieta este foarte importantă pentru sănătatea noastră. Cu toate acestea, majoritatea dietelor noastre sunt adesea lipsite de acești șase nutrienți importanți.
Pentru a obține cele mai rapide informații promoționale de la Circle K, ar trebui să instalați aplicația CK Club. Aplicația salvează plățile la cumpărături sau la plata la Circle K, precum și numărul de timbre colectate.
Instagram tocmai a anunțat că va permite utilizatorilor să posteze videoclipuri Reels cu o durată de până la 3 minute, dublu față de limita anterioară de 90 de secunde.
Acest articol vă va ghida cum să vizualizați informațiile CPU, să verificați viteza procesorului direct pe Chromebook.
Dacă nu doriți să vindeți sau să oferiți vechea tabletă, o puteți utiliza în 5 moduri: ca ramă foto de înaltă calitate, player muzical, cititor de cărți electronice și reviste, asistent pentru treburile casnice și ca ecran secundar.
Vrei să ai rapid unghii frumoase, strălucitoare și sănătoase. Aceste sfaturi simple pentru unghii frumoase de mai jos vă vor fi utile.
Acest articol va enumera sfaturi inspirate de culori, împărtășite de designeri de top din comunitatea Creative Market, astfel încât să puteți obține combinația perfectă de culori de fiecare dată.
Îți poți înlocui cu adevărat laptopul cu telefonul? Da, dar veți avea nevoie de accesoriile potrivite pentru a vă transforma telefonul într-un laptop.
Un lucru important în videoclipul complet al evenimentului este că viitoarea caracteristică a aplicației ChatGPT a fost demonstrată, dar nu au fost distribuite detalii reale. Este capacitatea ChatGPT de a vedea tot ce se întâmplă pe ecranul dispozitivului utilizatorului.
Multe IA de top, în ciuda faptului că sunt antrenate să fie sincere, învață să înșele prin antrenament și îi induc sistematic pe utilizatori la convingeri false, arată un nou studiu.
