Qilin ransomware usa credenciais de VPN para acesso e roubo de informações do Chrome
Em julho de 2024, uma nova ameaça cibernética foi detectada: o malware Qilin. Essa sofisticada ferramenta maliciosa combina roubo de credenciais com infecção por ransomware, representando um perigo significativo para as organizações. O ataque começa com a infiltração na rede alvo, explorando credenciais comprometidas de um portal VPN que não utilizava autenticação multifator (MFA), uma camada crucial de segurança que estava ausente.
A Estratégia por Trás do Ataque
Após conseguir acesso à rede, os hackers esperaram pacientemente 18 dias antes de iniciar ações pós-exploração. Durante esse período, eles alteraram a política de domínio padrão para inserir um script PowerShell. Esse script foi projetado para coletar silenciosamente dados de credenciais armazenados nos navegadores Google Chrome de um conjunto de endpoints comprometidos. Sempre que um usuário fazia login, o script era executado automaticamente, permitindo que os invasores capturassem informações sem serem detectados.
Consequências do Ataque
Além do roubo de credenciais, os invasores exfiltraram os dados coletados e tomaram medidas para apagar as evidências de sua atividade antes de criptografar os arquivos no sistema. Após a criptografia, deixaram uma nota de resgate em todos os diretórios, exigindo pagamento para a recuperação dos dados. As vítimas agora enfrentam a árdua tarefa de alterar suas credenciais de login para todos os sites e serviços de terceiros que utilizam, a fim de mitigar os danos.
Lições Aprendidas e Precauções Futuras
O ataque do Qilin demonstra claramente a evolução das táticas dos grupos de ransomware. Ao combinar a coleta de credenciais com a infecção por ransomware, esses grupos estão aumentando o potencial de destruição e a dificuldade de recuperação para suas vítimas. Essa abordagem pode não apenas facilitar novos ataques, mas também fornecer informações valiosas sobre alvos de alto valor, elevando o risco de futuros incidentes de segurança.
A principal lição a ser tirada deste incidente é a importância da autenticação multifator (MFA) em todos os sistemas críticos, bem como a necessidade de políticas de segurança rigorosas que monitorem e protejam as credenciais armazenadas. Organizações de todos os tamanhos devem estar vigilantes e proativas na implementação de medidas de segurança robustas para evitar se tornarem as próximas vítimas do Qilin ou de ameaças cibernéticas semelhantes.
Fonte: BoletimSec