El conocido Ransomware se interesa por las contraseñas de sitios de terceros
Durante una investigación reciente de una brecha del Ransomware Qilin, el equipo de Sophos X-Ops identificó actividad de atacantes que conducía al robo masivo de credenciales almacenadas en navegadores Google Chrome en un subconjunto de endpoints de la red, una técnica de recolección de credenciales con implicaciones potenciales mucho más allá de la organización de la víctima original. Se trata de una táctica inusual, que podría ser un multiplicador adicional para el caos ya inherente a las situaciones de Ransomware.
¿Qué es Qilin?
El grupo de Ransomware Qilin lleva funcionando algo más de dos años. Fue noticia en junio de 2024 debido a un ataque a Synnovis, un proveedor de servicios gubernamentales a varios proveedores sanitarios y hospitales del Reino Unido. Antes, los ataques de Qilin solían implicar una “doble extorsión”, es decir, robar los datos de la víctima, cifrar sus sistemas y luego amenazar con revelar o vender los datos robados si la víctima no paga por la clave de cifrado.
Maniobras iniciales
El atacante obtuvo acceso inicial al entorno mediante credenciales comprometidas. Desgraciadamente, este método de acceso inicial no es nuevo para Qilin (ni para otras bandas de Ransomware). La investigación de Sophos X-Ops indicó que el portal VPN carecía de protección de autenticación multifactor (MFA).
El tiempo de permanencia del atacante entre el acceso inicial a la red y el movimiento posterior fue de 18 días, lo que puede indicar o no que un intermediario de acceso inicial (IAB) realizó la incursión real. En cualquier caso, dieciocho días después de producirse el acceso inicial, aumentó la actividad del atacante en el sistema, con artefactos que mostraban un movimiento lateral hacia un controlador de dominio utilizando credenciales comprometidas.
En los endpoints
Cada vez que se producía un inicio de sesión en un endpoint, el logon.bat iniciaba el script IPScanner.ps1, que a su vez creaba dos archivos: un archivo de base de datos SQLite llamado LD y un archivo de texto llamado temp.log. Estos archivos se escribieron en un directorio recién creado en el recurso compartido SYSVOL del dominio y se nombraron con el nombre de host del dispositivo o dispositivos en los que se ejecutaron.
En un alarde de confianza en que no sería descubierto ni perdería su acceso a la red, el atacante dejó esta GPO activa durante más de tres días. Esto dio a los usuarios la oportunidad de conectarse a sus dispositivos y, sin saberlo, activar el script de obtención de credenciales en sus sistemas. De nuevo, como todo esto se hizo utilizando un GPO de inicio de sesión, cada usuario experimentaría este robo de credenciales cada vez que se conectara.
Para dificultar la evaluación del alcance del ataque, una vez robados y filtrados los archivos que contenían las credenciales recolectadas, el atacante borró todos los archivos y eliminó los registros de eventos tanto del controlador de dominio como de las máquinas infectadas. Tras borrar las pruebas, procedieron a cifrar los archivos y soltar la nota de rescate, como se muestra en la Figura 3. Este Ransomware deja una copia de la nota en cada directorio del dispositivo en el que se ejecuta.
El grupo Qilin volvió a utilizar GPO como mecanismo para afectar a la red, haciendo que creara una tarea programada para ejecutar un archivo por lotes llamado run.bat, que descargaba y ejecutaba el Ransomware.
Impacto
En este ataque, el script IPScanner.ps1 tenía como objetivo los navegadores Chrome, estadísticamente la opción con más probabilidades de devolver una abundante cosecha de contraseñas, ya que Chrome posee actualmente algo más del 65% del mercado de navegadores. Un ataque de este tipo con éxito significaría que los defensores no solo deben cambiar todas las contraseñas del Directorio Activo, sino que también deberían (en teoría) pedir a los usuarios finales que cambien sus contraseñas de docenas, potencialmente cientos, de sitios de terceros para los que los usuarios han guardado sus combinaciones de nombre de usuario y contraseña en el navegador Chrome. Por supuesto, los defensores no tendrían forma de obligar a los usuarios a hacerlo.
Conclusión
Como era de esperar, los grupos de Ransomware siguen cambiando de táctica y ampliando su repertorio de técnicas. El grupo Qilin puede haber decidido que, limitándose a atacar los activos de red de sus organizaciones objetivo, se estaban perdiendo algo.