È stato scoperto un nuovo tipo di ransomware chiamato Qilin che utilizza una tattica relativamente sofisticata e altamente personalizzabile per rubare le informazioni di accesso all'account memorizzate nel browser Google Chrome.
Il team internazionale di ricerca sulla sicurezza di Sophos X-Ops ha osservato tecniche di raccolta di credenziali durante la risposta agli incidenti di Qilin. Ciò dimostra un preoccupante cambiamento nelle tendenze operative di questa pericolosa varietà di ransomware.
Panoramica del processo di attacco
L'attacco analizzato dai ricercatori Sophos è iniziato con il malware Qilin che è riuscito ad accedere alla rete bersaglio utilizzando credenziali compromesse su un gateway VPN senza autenticazione a più fattori (MFA).
Seguì un periodo di "ibernazione" del malware durato 18 giorni, a indicare che gli hacker avevano probabilmente acquistato l'accesso alla rete tramite un broker di accesso iniziale (IAB). È possibile che Qilin abbia dedicato del tempo alla mappatura della rete, all'identificazione delle risorse chiave e alla conduzione di ricognizioni.
Dopo i primi 18 giorni, il malware si sposta lateralmente verso i controller di dominio e modifica gli oggetti Criteri di gruppo (GPO) per eseguire uno script di PowerShell ('IPScanner.ps1') su tutti i computer connessi alla rete del dominio.
Questo script viene eseguito da uno script batch ('logon.bat') ed è incluso anche nel GPO. È progettato per raccogliere le informazioni di accesso memorizzate in Google Chrome.
Lo script batch è configurato per essere eseguito (e attivare lo script PowerShell) ogni volta che un utente accede al proprio computer. Parallelamente, le credenziali rubate verranno salvate nella partizione 'SYSVOL' con il nome 'LD' o 'temp.log'.
Dopo aver inviato i file al server di comando e controllo (C2) di Qilin, le copie locali e i relativi registri eventi sono stati eliminati per nascondere l'attività dannosa. Infine, Qilin distribuisce il payload del ransomware e i dati crittografati sui computer compromessi.
Un altro GPO e un file di comando separato ('run.bat') vengono utilizzati anche per scaricare ed eseguire il ransomware su tutti i computer del dominio.
Complessità nella difesa
L'approccio di Qilin alle credenziali di Chrome crea un precedente preoccupante che potrebbe rendere più difficile la protezione dagli attacchi ransomware.
Poiché il GPO viene applicato a tutti i computer del dominio, ogni dispositivo su cui l'utente ha effettuato l'accesso è soggetto al processo di raccolta delle credenziali.
Ciò significa che lo script è in grado di rubare le credenziali da tutte le macchine del sistema, a patto che tali macchine siano connesse al dominio e abbiano un utente connesso durante l'esecuzione dello script.
Un furto di credenziali così esteso potrebbe consentire agli hacker di lanciare ulteriori attacchi, con conseguenti incidenti di sicurezza che interessano più piattaforme e servizi, rendendo gli sforzi di risposta molto più macchinosi. Ciò rappresenta anche una minaccia persistente che permane a lungo anche dopo la risoluzione dell'attacco ransomware.
Le organizzazioni possono mitigare i rischi implementando rigide policy che vietino l'archiviazione di dati segreti nei browser web. Inoltre, l'implementazione dell'autenticazione a più fattori è fondamentale per proteggere gli account da eventuali furti, anche in caso di credenziali compromesse.
Infine, l'implementazione dei principi di privilegio minimo e di segmentazione della rete può ostacolare significativamente la capacità di un agente di minaccia di diffondersi su una rete compromessa.
L'accesso controllato alle cartelle è una funzionalità dell'applicazione antivirus desktop Windows Security di Microsoft. Questa funzionalità previene il ransomware impedendo la modifica dei file nelle cartelle protette.
Sebbene questi due termini vengano spesso confusi, esiste una differenza tra ransomware e Cyber Extortion. Tuttavia, le due cose sono collegate e l'una può portare all'altra.
L'articolo seguente ti aiuterà a comprendere le dimensioni delle attuali linee TV di Sony, Samsung e LG, così potrai prendere la giusta decisione d'acquisto.
Creare un rapporto sano con la tecnologia può sembrare scoraggiante, ma spesso piccoli cambiamenti fanno una grande differenza.
L'app Galleria di Samsung è più potente di quanto si possa pensare, ma questo non è immediatamente evidente.
Si dice che Microsoft sia sempre più vicina al lancio del suo primo smartphone pieghevole, dopo che il 1° ottobre le è stato concesso un brevetto per un telefono pieghevole in grado di piegarsi di 360 gradi senza creare pieghe sullo schermo.
Google sta testando una nuova funzionalità di verifica tramite un segno di spunta blu nella ricerca. Questa funzionalità aiuterà gli utenti a evitare di cliccare su link a siti web falsi o fraudolenti.
A prima vista, Microsoft 365 e Office 2024 possono sembrare molto simili, poiché entrambi consentono di accedere alle applicazioni Microsoft più diffuse e diffuse.
I codici Elemental Dungeons sono una forma di ricompensa necessaria per i giocatori. Come in qualsiasi altro gioco online su Roblox, i giocatori possono ricevere questi aiuti in cambio di denaro o altri oggetti.
Quando stampiamo un documento Word o creiamo una tabella in Word, ripetere il titolo in Word ci aiuta a rintracciarlo più facilmente e a leggere il titolo del documento senza problemi su diverse pagine, soprattutto con titoli lunghi.
Il nuovo iMessage di iOS 18 è stato aggiornato con messaggi animati, effetti di testo e numerose opzioni da utilizzare per i messaggi inviati.
C'è un fatto curioso sui maiali che non tutti sanno: i maiali sono considerati i nemici dei serpenti, perché quando questi due animali si incontrano, la maggior parte dei serpenti diventa cibo per i maiali.
Qual è la distanza tra la Terra e Giove? Se non lo sapete, questo articolo vi dirà quanto dista Giove dalla Terra.
Quali generali sono esclusi dalla meta della Mobile Alliance? Esploriamo ora
I DTCL di Graves delle stagioni 1, 3 e 6 costano tutti solo 1 oro e sembrano essere solo un campione aggiuntivo per stimolare il clan; il ruolo principale all'inizio del gioco è ancora utilizzato, ma non molto. A partire dalla stagione 7.5 di DTCL, il prezzo di Graves è schizzato a 4 monete d'oro ed è sicuramente un carry indispensabile se decidi di giocare Thunder Dragon o Gunner.
Con i telefoni Samsung dovresti usare la funzione audio dell'app separata. Ad esempio, puoi riprodurre Apple Music e il tuo telefono indirizzerà l'audio attraverso gli altoparlanti della tua auto.
Ci sono molti buoni stati sul lavoro su Internet. L'articolo riassumerà per voi le situazioni lavorative positive e significative.
