Тревожные развития событий для специалистов по кибербезопасности — операторы программы-вымогателя Qilin существенно усовершенствовали свою методологию атак. Недавние выводы команды Sophos X-Ops показывают, что группа интегрировала пользовательский похититель информации, нацеленный на учетные данные Google Chrome, что знаменует собой тревожную эволюцию тактики программ-вымогателей.
Анатомия сложной атаки
Команда Sophos X-Ops обнаружила атаку программы-вымогателя Qilin в июле 2024 года, демонстрирующую этот новый подход. Первоначальный взлом использовал портал VPN, не имеющий многофакторной аутентификации, позволяя злоумышленникам получить доступ к сети с использованием скомпрометированных учетных данных. За этим последовал 18-дневный период бездействия, предполагающий либо покупку доступа к сети у брокера первоначального доступа, либо тщательную фазу разведки.
Компрометация контроллера домена и манипуляции с GPO
После периода бездействия злоумышленники нацелились на контроллер домена, изменив объекты групповой политики (GPO) для выполнения скрипта PowerShell с именем IPScanner.ps1 на всех подключенных к домену машинах. Этот скрипт, запускаемый пакетным файлом (logon.bat), был разработан для сбора учетных данных, хранящихся в Chrome, при входе пользователя в систему.
Эксфильтрация учетных данных и удаление улик
Украденные учетные данные временно хранились на общем ресурсе SYSVOL в виде файлов «LD» и «temp.log» перед передачей на сервер управления и контроля Qilin. Чтобы скрыть свои следы, злоумышленники тщательно стерли локальные копии и связанные с ними журналы событий.
Развертывание программ-вымогателей и повсеместное шифрование
Заключительный этап атаки включал развертывание полезной нагрузки программы-вымогателя Qilin. Используя другой GPO и отдельный пакетный файл (run.bat), злоумышленники организовали распространение и выполнение вредоносного ПО шифрования на всех подключенных к домену машинах, фактически скомпрометировав всю сеть.
Последствия для кибербезопасности
Эта новая тактика, применяемая группой Qilin, представляет значительные проблемы для защитников кибербезопасности. Повсеместный сбор учетных данных Chrome создает долгосрочный риск для безопасности, который сохраняется даже после непосредственной атаки программы-вымогателя. Как предупреждают эксперты Sophos, такой подход может привести к последующим атакам, масштабным взломам на различных платформах и сервисах, а также значительно усложнить усилия по реагированию на инциденты.
Расширенная поверхность атаки и продолжительная угроза
Способность скрипта сбора учетных данных собирать информацию для входа с каждой подключенной к домену машины, к которой обращаются пользователи, в геометрической прогрессии увеличивает потенциальную поверхность атаки. Эта всеобъемлющая кража данных может предоставить злоумышленникам доступ к многочисленным внешним платформам и сервисам, распространяя угрозу далеко за пределы первоначального взлома сети.
Проблемы восстановления после атаки
Аналитики Sophos подчеркивают сложность восстановления после атаки в таких сценариях. «Защитникам потребуется не только изменить все пароли Active Directory, но и потенциально потребовать от конечных пользователей изменить пароли для десятков, если не сотен, сторонних сайтов, для которых они хранили комбинации имени пользователя и пароля в Chrome», — поясняют они. Этот обширный процесс устранения значительно увеличивает время и ресурсы, необходимые для полного обеспечения безопасности организации после атаки.
Эволюция тактики группы программ-вымогателей Qilin подчеркивает критическую важность надежных мер кибербезопасности. Организации должны уделять приоритетное внимание многофакторной аутентификации, регулярным проверкам безопасности и всестороннему обучению сотрудников управлению паролями и безопасности браузера. По мере того, как группы программ-вымогателей продолжают внедрять инновации, поддержание проактивной и адаптивной позиции кибербезопасности становится как никогда важным для защиты от этих сложных угроз.