Nuevo ataque del ransomware Qilin usa credenciales de VPN y roba datos de Chrome
Los actores de amenazas detrás de un ataque de ransomware Qilin observado recientemente han robado credenciales almacenadas en los navegadores Google Chrome en un pequeño conjunto de puntos finales comprometidos.
El uso de recolección de credenciales en conexión con una infección de ransomware marca un giro inusual y que podría tener consecuencias en cadena, dijo la firma de ciberseguridad Sophos en un informe del jueves.
El ataque, detectado en julio de 2024, implicó la infiltración en la red objetivo a través de credenciales comprometidas para un portal VPN que carecía de autenticación multifactor (MFA), y los actores de la amenaza realizaron acciones posteriores a la explotación 18 días después de que tuvo lugar el acceso inicial.
«Una vez que el atacante llegó al controlador de dominio en cuestión, editó la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en inicio de sesión que contenía dos elementos», dijeron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland .
El primero de ellos es un script de PowerShell llamado «IPScanner.ps1» que está diseñado para recopilar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes («logon.bat») que se comunica con los comandos para ejecutar el primer script.
