Scoperta una nuova variante di ransomware specializzata nel furto di informazioni di accesso dal browser Chrome

È stato scoperto un nuovo tipo di ransomware chiamato Qilin che utilizza una tattica relativamente sofisticata e altamente personalizzabile per rubare le informazioni di accesso all'account memorizzate nel browser Google Chrome.

Il team internazionale di ricerca sulla sicurezza di Sophos X-Ops ha osservato tecniche di raccolta di credenziali durante la risposta agli incidenti di Qilin. Ciò dimostra un preoccupante cambiamento nelle tendenze operative di questa pericolosa varietà di ransomware.

Panoramica del processo di attacco

L'attacco analizzato dai ricercatori Sophos è iniziato con il malware Qilin che è riuscito ad accedere alla rete bersaglio utilizzando credenziali compromesse su un gateway VPN senza autenticazione a più fattori (MFA).

Seguì un periodo di "ibernazione" del malware durato 18 giorni, a indicare che gli hacker avevano probabilmente acquistato l'accesso alla rete tramite un broker di accesso iniziale (IAB). È possibile che Qilin abbia dedicato del tempo alla mappatura della rete, all'identificazione delle risorse chiave e alla conduzione di ricognizioni.

Dopo i primi 18 giorni, il malware si sposta lateralmente verso i controller di dominio e modifica gli oggetti Criteri di gruppo (GPO) per eseguire uno script di PowerShell ('IPScanner.ps1') su tutti i computer connessi alla rete del dominio.

Questo script viene eseguito da uno script batch ('logon.bat') ed è incluso anche nel GPO. È progettato per raccogliere le informazioni di accesso memorizzate in Google Chrome.

Lo script batch è configurato per essere eseguito (e attivare lo script PowerShell) ogni volta che un utente accede al proprio computer. Parallelamente, le credenziali rubate verranno salvate nella partizione 'SYSVOL' con il nome 'LD' o 'temp.log'.

Scoperta una nuova variante di ransomware specializzata nel furto di informazioni di accesso dal browser Chrome

Dopo aver inviato i file al server di comando e controllo (C2) di Qilin, le copie locali e i relativi registri eventi sono stati eliminati per nascondere l'attività dannosa. Infine, Qilin distribuisce il payload del ransomware e i dati crittografati sui computer compromessi.

Un altro GPO e un file di comando separato ('run.bat') vengono utilizzati anche per scaricare ed eseguire il ransomware su tutti i computer del dominio.

Scoperta una nuova variante di ransomware specializzata nel furto di informazioni di accesso dal browser Chrome

Complessità nella difesa

L'approccio di Qilin alle credenziali di Chrome crea un precedente preoccupante che potrebbe rendere più difficile la protezione dagli attacchi ransomware.

Poiché il GPO viene applicato a tutti i computer del dominio, ogni dispositivo su cui l'utente ha effettuato l'accesso è soggetto al processo di raccolta delle credenziali.

Ciò significa che lo script è in grado di rubare le credenziali da tutte le macchine del sistema, a patto che tali macchine siano connesse al dominio e abbiano un utente connesso durante l'esecuzione dello script.

Un furto di credenziali così esteso potrebbe consentire agli hacker di lanciare ulteriori attacchi, con conseguenti incidenti di sicurezza che interessano più piattaforme e servizi, rendendo gli sforzi di risposta molto più macchinosi. Ciò rappresenta anche una minaccia persistente che permane a lungo anche dopo la risoluzione dell'attacco ransomware.

Le organizzazioni possono mitigare i rischi implementando rigide policy che vietino l'archiviazione di dati segreti nei browser web. Inoltre, l'implementazione dell'autenticazione a più fattori è fondamentale per proteggere gli account da eventuali furti, anche in caso di credenziali compromesse.

Infine, l'implementazione dei principi di privilegio minimo e di segmentazione della rete può ostacolare significativamente la capacità di un agente di minaccia di diffondersi su una rete compromessa.

Sign up and earn $1000 a day ⋙

Leave a Comment

Differenza tra TV normale e Smart TV

Differenza tra TV normale e Smart TV

Le smart TV hanno davvero preso d'assalto il mondo. Grazie alle sue numerose funzionalità e alla connettività Internet, la tecnologia ha cambiato il nostro modo di guardare la TV.

Perché il congelatore non ha la luce mentre il frigorifero sì?

Perché il congelatore non ha la luce mentre il frigorifero sì?

I frigoriferi sono elettrodomestici comuni nelle case. I frigoriferi hanno solitamente 2 scomparti: lo scomparto freddo è spazioso e ha una luce che si accende automaticamente ogni volta che l'utente lo apre, mentre lo scomparto congelatore è stretto e non ha luce.

2 modi per risolvere la congestione della rete che rallenta il Wi-Fi

2 modi per risolvere la congestione della rete che rallenta il Wi-Fi

Oltre ai router, alla larghezza di banda e alle interferenze, le reti Wi-Fi sono influenzate da molti fattori, ma esistono alcuni modi intelligenti per potenziare la propria rete.

Come eseguire il downgrade da iOS 17 a iOS 16 senza perdere dati utilizzando Tenorshare Reiboot

Come eseguire il downgrade da iOS 17 a iOS 16 senza perdere dati utilizzando Tenorshare Reiboot

Se vuoi tornare alla versione stabile di iOS 16 sul tuo telefono, ecco la guida di base per disinstallare iOS 17 ed effettuare il downgrade da iOS 17 a 16.

Cosa succede al corpo se mangi yogurt ogni giorno?

Cosa succede al corpo se mangi yogurt ogni giorno?

Lo yogurt è un alimento meraviglioso. Fa bene mangiare yogurt tutti i giorni? Se mangiassi yogurt ogni giorno, come cambierebbe il tuo corpo? Scopriamolo insieme!

Quale tipo di riso è migliore per la salute?

Quale tipo di riso è migliore per la salute?

In questo articolo vengono illustrati i tipi di riso più nutrienti e come sfruttare al massimo i benefici per la salute offerti dal tipo di riso scelto.

Come svegliarsi puntuali la mattina

Come svegliarsi puntuali la mattina

Tra le misure che possono aiutarti a dormire meglio e a svegliarti puntuale al mattino c'è quella di stabilire un orario per dormire e una routine per andare a dormire, cambiare la sveglia e modificare la tua dieta.

Suggerimenti per giocare a Rent Please! Simulazione del proprietario di casa per principianti

Suggerimenti per giocare a Rent Please! Simulazione del proprietario di casa per principianti

Affitto per favore! Landlord Sim è un gioco di simulazione per dispositivi mobili, disponibile per iOS e Android. Giocherai nei panni del proprietario di un complesso di appartamenti e inizierai ad affittare un appartamento con l'obiettivo di migliorarne gli interni e prepararli per gli inquilini.

Ultimi codici di difesa della torre del bagno e come inserirli

Ultimi codici di difesa della torre del bagno e come inserirli

Ottieni il codice del gioco Roblox Bathroom Tower Defense e riscattalo per ottenere fantastiche ricompense. Ti aiuteranno a potenziare o sbloccare torri con danni maggiori.

Struttura, simboli e principi di funzionamento dei trasformatori

Struttura, simboli e principi di funzionamento dei trasformatori

Impariamo a conoscere la struttura, i simboli e i principi di funzionamento dei trasformatori nel modo più accurato.

4 modi in cui lintelligenza artificiale sta migliorando le smart TV

4 modi in cui lintelligenza artificiale sta migliorando le smart TV

Dalla migliore qualità dell'immagine e del suono al controllo vocale e molto altro, queste funzionalità basate sull'intelligenza artificiale stanno rendendo le smart TV molto migliori!

Perché ChatGPT è migliore di DeepSeek

Perché ChatGPT è migliore di DeepSeek

Inizialmente le aspettative per DeepSeek erano alte. In quanto chatbot basato sull'intelligenza artificiale, pubblicizzato come un forte concorrente di ChatGPT, promette funzionalità ed esperienze di chat intelligenti.

Scopri Fireflies.ai: la segretaria AI gratuita che ti fa risparmiare ore di lavoro

Scopri Fireflies.ai: la segretaria AI gratuita che ti fa risparmiare ore di lavoro

È facile trascurare dettagli importanti quando si prendono appunti di altre cose essenziali, e cercare di prendere appunti mentre si chiacchiera può distrarre. Fireflies.ai è la soluzione.

Come allevare lAxolotl in Minecraft, addomesticare la Salamandra in Minecraft

Come allevare lAxolotl in Minecraft, addomesticare la Salamandra in Minecraft

Gli Axolot di Minecraft saranno degli ottimi aiutanti per i giocatori che operano sott'acqua, se sapranno come usarli.

A Quiet Place: The Road Ahead Configurazione del gioco per PC

A Quiet Place: The Road Ahead Configurazione del gioco per PC

La configurazione di A Quiet Place: The Road Ahead ha ricevuto recensioni piuttosto positive, quindi è opportuno valutarla attentamente prima di decidere di scaricarla.