Bēdīgi slavenā Qilin ransomware grupa ir ieviesusi jaunu taktiku, lai nozagtu pārlūkā Google Chrome saglabātos akreditācijas datus. Akreditācijas datu iegūšanas paņēmieni ievērojami paplašina izspiedējvīrusu darbības jomu un iespējamo uzbrukumu skaitu nākotnē.
Kā Qilin ransomware grupa nozog pārlūkā Google Chrome saglabātos akreditācijas datus?
Qilin ransomware grupa ir bijusi aktīva vairāk nekā divus gadus. Tādējādi viņi labi apzinās iespējamo ievainojamību lielos tīklos.
Visam uzbrukumam bija 18 dienu grūtniecības periods, norādīja Sophos X-Ops komanda, kas atklāja uzbrukuma vektorus un moduļus. Tas liek domāt, ka Qilin, iespējams, ir iegādājies apdraudētus pieteikšanās un autentifikācijas akreditācijas datus lielam tīklam no sākotnējās piekļuves brokera (IAB).
Paliekot neatklāts 18 dienas, Qilins, kā ziņots, kartēja tīklu, identificēja kritiskos objektus un veica izlūkošanu. Pēc tam, izmantojot savas slikti iegūtās zināšanas, Qilin grupa, kā ziņots, piekļuva domēna kontrollerim mērķa Active Directory (AD) domēnā. Pēc tam viņi tajā pašā iekšpusē izvietoja jaunu akreditācijas datu iegūšanas paņēmienu.
Mainot noklusējuma domēna politiku, grupa var kļūt par pieteikšanos balstītā grupas politikas objektā (GPO). Tas ietvēra PowerShell skriptu, kas ievāca akreditācijas datus, kas tika saglabāti pārlūka Chrome instalācijās upuru datoros.
Kā pasargāt sevi no jaunās kiberuzbrukuma metodes?
Qilin ransomware grupa ir bēdīgi slavena ar savu dubultās izspiešanas taktiku. Grupa zog datus, šifrē sistēmas un pēc tam draud izmest datus internetā vai pārdot tos, ja izpirkuma maksa netiks samaksāta. Tomēr jaunākā tehnika liecina, ka grupa var būt dažāda.
Jaunā tehnika ir postoša galvenokārt tāpēc, ka pārlūkprogrammu tirgū pašlaik dominē Google Chrome. Nesenie kiberdrošības pētījumi liecina, ka vidēji interneta lietotājs pārlūkprogrammās glabā apmēram 87 ar darbu saistītas paroles un daudz personiskākas paroles.
Iegūstot piekļuvi saglabātajiem akreditācijas datiem, Qilin ransomware grupa varētu ievērojami paplašināt savu darbības jomu, sasniedzamību un ietekmi. Viens apdraudēts lietotājs var novirzīt šo grupu uz vairākām trešo pušu platformām un apdraudēt to aizsardzību, izmantojot pieteikšanās akreditācijas datus.
Viens no acīmredzamākajiem profilakses paņēmieniem būtu pārtraukt paroļu glabāšanu tīmekļa pārlūkprogrammās. Šim nolūkam lietotāji var paļauties uz trešo pušu platformām.
Pamatojoties uz uzbrukuma metodēm, interneta lietotāji varētu arī palikt drošībā, izvairoties no VPN pakalpojumiem ar apšaubāmiem ierakstiem. Visbeidzot, kur vien iespējams, lietotājiem ir jāizvēlas divu faktoru autentifikācija (2FA) vai daudzfaktoru autentifikācija (MFA).
