Программа-вымогатель Qilin может извлекать данные Chrome из подключенных к сети конечных точек
Программа-вымогатель Qilin может извлекать данные Chrome из подключенных к сети конечных точек. Фото: СС0
Исследователи из Sophos раскрыли, как преступная группа использовала ранее скомпрометированные учетные данные для входа в ИТ-инфраструктуру неназванной организации. Учетные данные были для портала виртуальной частной сети (VPN), в котором отсутствовала многофакторная аутентификация (MFA), и поэтому к нему было относительно легко получить доступ.
В любом случае, группа действовала более двух недель (18 дней), прежде чем переместиться в сторону контроллера домена, используя скомпрометированные учетные данные. Хотя мошенники были замечены на одном контроллере домена в домене Active Directory их цели, другие контроллеры домена в этом домене AD были заражены, заключили исследователи. Однако они были затронуты по-разному.
Qilin — это классический вымогатель, который сначала крадет как можно больше информации, а затем шифрует взломанное устройство. Операторы требуют плату в обмен на ключ дешифрования. Однако исследователи утверждают, что эта операция уникальна тем, как она нацелена на Google Chrome.
Из сообщения исследователей безопасности:
«В ходе недавнего расследования взлома программы-вымогателя Qilin команда Sophos X-Ops выявила активность злоумышленников, которая привела к массовой краже учетных данных, хранящихся в браузерах Google Chrome на подмножестве конечных точек сети, — метод сбора учетных данных с потенциальными последствиями, выходящими далеко за рамки организации первоначальной жертвы. Это необычная тактика, которая может стать бонусным множителем для хаоса, уже присущего ситуациям с программами-вымогателями».
Другими словами, Qilin собирал учетные данные, сохраненные в браузерах Chrome на компьютерах, подключенных к той же сети, что и изначально скомпрометированная.
В Sophos пришли к выводу, что киберпреступники продолжают совершенствовать свои тактики, подчеркивая, что организациям следует больше полагаться на менеджеры паролей и включать многофакторную аутентификацию, чтобы свести к минимуму риски подобных атак.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было