De beruchte Qilin ransomware-groep heeft een nieuwe tactiek ingezet om inloggegevens te stelen die zijn opgeslagen in Google Chrome. De credential-harvesting-technieken breiden de reikwijdte van ransomware en het aantal potentiële aanvallen in de toekomst aanzienlijk uit.
Hoe steelt de Qilin-ransomwaregroep inloggegevens die zijn opgeslagen in Google Chrome?
De Qilin ransomware-groep is al meer dan twee jaar actief. Ze zijn zich dus goed bewust van mogelijke kwetsbaarheden in grote netwerken.
De hele aanval had een draagtijd van 18 dagen, zo gaf het Sophos X-Ops-team aan dat de aanvalsvectoren en modules ontdekte. Dit suggereert sterk dat Qilin mogelijk gecompromitteerde inlog- en authenticatiegegevens voor een groot netwerk heeft gekocht van een Initial Access Broker (IAB).
Door 18 dagen onopgemerkt te blijven, bracht Qilin naar verluidt het netwerk in kaart, identificeerde kritieke activa en voerde verkenningen uit. Daarna zou de Qilin-groep, gebruikmakend van hun onrechtmatig verkregen kennis, toegang hebben verkregen tot een domeincontroller binnen het Active Directory (AD)-domein van het doelwit. Vervolgens hebben ze een nieuwe credential-harvesting-techniek geïmplementeerd binnen hetzelfde domein.
Door het standaarddomeinbeleid te wijzigen, kon de groep in een op aanmelding gebaseerd Group Policy Object (GPO) terechtkomen. Dit bevatte een PowerShell-script dat inloggegevens verzamelde die waren opgeslagen in Chrome-browserinstallaties op de computers van slachtoffers.
Hoe blijf je beschermd tegen de nieuwe cyberaanvalmethode?
De Qilin ransomware-groep is berucht om zijn dubbele afpersingstactieken. De groep steelt data, versleutelt systemen en dreigt de data vervolgens op internet te dumpen of te verkopen als het losgeld niet wordt betaald. De nieuwste techniek geeft echter aan dat de groep zich mogelijk heeft gediversifieerd.
De nieuwe techniek is verwoestend, voornamelijk omdat Google Chrome momenteel de browsermarkt domineert. Recent onderzoek naar cybersecurity heeft aangetoond dat een gemiddelde internetgebruiker ongeveer 87 werkgerelateerde wachtwoorden en nog veel meer persoonlijke wachtwoorden in browsers opslaat.
Door toegang te krijgen tot opgeslagen inloggegevens, zou de Qilin-ransomwaregroep zijn bereik, bereik en impact aanzienlijk kunnen uitbreiden. Eén enkele gecompromitteerde gebruiker zou deze groep naar verschillende platforms van derden kunnen leiden en hun verdediging met inloggegevens kunnen compromitteren.
Een van de meest voor de hand liggende preventietechnieken zou zijn om te stoppen met het opslaan van wachtwoorden in webbrowsers. Gebruikers zouden hiervoor op platforms van derden kunnen vertrouwen.
Gebaseerd op de aanvalsmethoden, zouden internetgebruikers ook veilig kunnen blijven door VPN-services met dubieuze track records te vermijden. Tot slot moeten gebruikers waar mogelijk kiezen voor Two Factor Authentication (2FA) of Multi-Factor Authentication (MFA).