È stato scoperto un nuovo tipo di ransomware chiamato Qilin che utilizza una tattica relativamente sofisticata e altamente personalizzabile per rubare le informazioni di accesso all'account memorizzate nel browser Google Chrome.
Il team internazionale di ricerca sulla sicurezza di Sophos X-Ops ha osservato tecniche di raccolta di credenziali durante la risposta agli incidenti di Qilin. Ciò dimostra un preoccupante cambiamento nelle tendenze operative di questa pericolosa varietà di ransomware.
Panoramica del processo di attacco
L'attacco analizzato dai ricercatori Sophos è iniziato con il malware Qilin che è riuscito ad accedere alla rete bersaglio utilizzando credenziali compromesse su un gateway VPN senza autenticazione a più fattori (MFA).
Seguì un periodo di "ibernazione" del malware durato 18 giorni, a indicare che gli hacker avevano probabilmente acquistato l'accesso alla rete tramite un broker di accesso iniziale (IAB). È possibile che Qilin abbia dedicato del tempo alla mappatura della rete, all'identificazione delle risorse chiave e alla conduzione di ricognizioni.
Dopo i primi 18 giorni, il malware si sposta lateralmente verso i controller di dominio e modifica gli oggetti Criteri di gruppo (GPO) per eseguire uno script di PowerShell ('IPScanner.ps1') su tutti i computer connessi alla rete del dominio.
Questo script viene eseguito da uno script batch ('logon.bat') ed è incluso anche nel GPO. È progettato per raccogliere le informazioni di accesso memorizzate in Google Chrome.
Lo script batch è configurato per essere eseguito (e attivare lo script PowerShell) ogni volta che un utente accede al proprio computer. Parallelamente, le credenziali rubate verranno salvate nella partizione 'SYSVOL' con il nome 'LD' o 'temp.log'.
Dopo aver inviato i file al server di comando e controllo (C2) di Qilin, le copie locali e i relativi registri eventi sono stati eliminati per nascondere l'attività dannosa. Infine, Qilin distribuisce il payload del ransomware e i dati crittografati sui computer compromessi.
Un altro GPO e un file di comando separato ('run.bat') vengono utilizzati anche per scaricare ed eseguire il ransomware su tutti i computer del dominio.
Complessità nella difesa
L'approccio di Qilin alle credenziali di Chrome crea un precedente preoccupante che potrebbe rendere più difficile la protezione dagli attacchi ransomware.
Poiché il GPO viene applicato a tutti i computer del dominio, ogni dispositivo su cui l'utente ha effettuato l'accesso è soggetto al processo di raccolta delle credenziali.
Ciò significa che lo script è in grado di rubare le credenziali da tutte le macchine del sistema, a patto che tali macchine siano connesse al dominio e abbiano un utente connesso durante l'esecuzione dello script.
Un furto di credenziali così esteso potrebbe consentire agli hacker di lanciare ulteriori attacchi, con conseguenti incidenti di sicurezza che interessano più piattaforme e servizi, rendendo gli sforzi di risposta molto più macchinosi. Ciò rappresenta anche una minaccia persistente che permane a lungo anche dopo la risoluzione dell'attacco ransomware.
Le organizzazioni possono mitigare i rischi implementando rigide policy che vietino l'archiviazione di dati segreti nei browser web. Inoltre, l'implementazione dell'autenticazione a più fattori è fondamentale per proteggere gli account da eventuali furti, anche in caso di credenziali compromesse.
Infine, l'implementazione dei principi di privilegio minimo e di segmentazione della rete può ostacolare significativamente la capacità di un agente di minaccia di diffondersi su una rete compromessa.
Problemi con l'errore di chat di Microsoft Teams che non invia messaggi? Scopri le soluzioni dettagliate per gli ultimi problemi di Teams, dalla cancellazione della cache alle modifiche di rete. Torna a chattare senza problemi in pochi minuti!
Stanco di crash di Microsoft Teams con errori gravi? Ottieni la comprovata correzione del registro 2026 che risolve il problema in pochi minuti. Guida passo passo, screenshot e suggerimenti per una risoluzione definitiva. Funziona con le versioni più recenti!
Hai problemi con il caricamento della scheda Wiki di Microsoft Teams? Scopri soluzioni passo passo comprovate per risolvere rapidamente il problema, ripristinare le schede Wiki e aumentare la produttività del team senza problemi.
Hai problemi con il portachiavi di errore di Microsoft Teams su Mac? Scopri soluzioni comprovate e dettagliate per macOS per tornare a collaborare senza problemi. Soluzioni rapide all'interno!
Stanco di sentire l'audio ovattato o assente nel microfono di Microsoft Teams? Scopri come risolvere i problemi del microfono di Microsoft Teams con passaggi rapidi e comprovati. Un audio nitido ti aspetta!
Stanco degli errori di sincronizzazione di Gestione Attività di Microsoft Teams che interrompono il tuo flusso di lavoro? Segui le nostre soluzioni dettagliate e dettagliate per ripristinare la perfetta sincronizzazione delle attività tra Teams, Planner e To Do. Soluzioni rapide per un sollievo immediato!
Hai problemi con la lentezza di Microsoft Teams? Scopri come svuotare la cache di Microsoft Teams passo dopo passo per risolvere problemi di prestazioni, ritardi, arresti anomali e aumentare la velocità su Windows, Mac, web e dispositivi mobili. Soluzioni rapide e efficaci!
Problemi di rete di Microsoft Teams su una rete Wi-Fi pubblica? Ottieni soluzioni immediate come modifiche alla VPN, controlli delle porte e cancellazione della cache per ripristinare chiamate e riunioni senza problemi. Guida passo passo per un rapido sollievo.
Hai difficoltà a trovare il tuo ID Microsoft Teams o i dettagli del tuo account? Questa guida dettagliata mostra esattamente dove trovare il tuo ID Microsoft Teams e le informazioni del tuo account su desktop, web, dispositivi mobili e altro ancora, per una collaborazione senza interruzioni.
Stanco dell'errore 1200 di Microsoft Teams che blocca le tue chiamate al telefono? Scopri soluzioni rapide e dettagliate per iOS e Android per tornare a lavorare in team senza intoppi, senza bisogno di competenze tecniche!
