alcalino ransomware Fue visto extrayendo con éxito datos confidenciales almacenados. Google cromo.
en escribiendoInvestigadores de Sophos han revelado cómo un grupo criminal utilizó credenciales previamente comprometidas para obtener acceso a la infraestructura de TI de una organización anónima.
el Navegador Las credenciales eran para una red privada virtual (red privada virtual) portal que carecía de autenticación multifactor (MFA) y, por lo tanto, era relativamente fácil de acceder.
Robo de credenciales en masa
Sophos dice que no se sabe si la infracción inicial fue realizada por un intermediario de acceso inicial (IAB) y luego entregada a los operadores de ransomware, o si fue llevada a cabo en su totalidad por una sola organización.
Sin embargo, el clúster permaneció inactivo durante más de dos semanas (18 días) antes de pasar horizontalmente a un controlador de dominio con las credenciales comprometidas. Si bien los piratas fueron detectados en un único controlador de dominio dentro del dominio Active Directory de su objetivo, los investigadores concluyeron que otros controladores de dominio en ese dominio AD estaban infectados. Sin embargo, me afectó de manera diferente.
Qilin es una operación clásica de ransomware basada en el habitual ataque de doble extorsión: primero roba la mayor cantidad de información posible, antes de cifrar el dispositivo comprometido y exigir el pago de la clave de descifrado. Sin embargo, los investigadores afirman que lo que hace que este proceso sea relativamente único es la forma en que se dirige a Google Chrome.
“Durante una investigación reciente sobre la violación del ransomware Qilin, el original de Sophos”, explicaron los investigadores. “Esta es una táctica inusual y podría agravar aún más el caos ya inherente a las situaciones de ransomware”.
En otras palabras, Qilin recopila credenciales guardadas en los navegadores Chrome en dispositivos conectados a la misma red que el dispositivo inicialmente comprometido.
Sophos concluyó diciendo que los ciberdelincuentes continúan desarrollando sus tácticas y enfatizó que las organizaciones deben confiar en… Administradores de contraseñas Más y asegúrese de habilitar MFA siempre que sea posible, para reducir las posibilidades de ser víctima.