Hackeri za ransomware Qilin zvolili nezvyčajnú taktiku: Kradnú dáta z prehliadača Chrome, škody sú oveľa väčšie
Bezpečnostní analytici vyšetrujú kyberzločineckú skupinu Qilin, ktorá útočí na významné ciele po celom svete. Zisťujú, že hackeri volia nezvyčajný prístup na ransomware skupinu.
Bezpečnostní experti zo Sophos News informujú o novom ransomware Qilin, ktorý okrem klasického zablokovania zariadenia a požadovania platby ide ešte o krok ďalej a vo veľkom kradne prihlasovacie údaje uložené v prehliadačoch Google Chrome.
Ransomware Qilin útočí hlavne na siete spoločností a v týchto prípadoch môže mať ukradnutie prihlasovacích údajov oveľa väčšie dôsledky, než len poškodenie organizácie. Bezpečnostní experti poukazujú na to, že kradnutie prihlasovacích údajov je pre ransomware neobvyklá taktika, no môže ísť o “bonus” pre útočníkov popri chaose, ktorý ransomware napácha v sieti organizácie.
Ako funguje ransomware?
Tento typ malvéru, ktorý sa preloží doslovne ako vydieračský softvér, funguje tak, že uzamkne zariadenie obete a nedá jej prístup k svojim súborom. Útok však môže vyzerať rôzne. Obeť môže zapnúť počítač a zistí, že z pracovnej plochy jej zmizlo všetko okrem jedného textového súboru a nemôže na nič kliknúť, okrem tohoto súboru. Po otvorení sa v texte dočíta, že sa stala terčom ransomwaru a hacker ponúkol presný návod, ako zaplatiť výkupné za svoje dáta.
V iných prípadoch ransomware vymení pozadie pracovnej plochy za obrázok, v ktorom sú napísané podobné inštrukcie. Niekedy užívateľom vybehne na obrazovke desivo vyzerajúce červené okno s podobným textom. Podstatou ransomwaru je zablokovať zariadenie a od obete útoku pýtať určitú sumu, ktorá sa najčastejšie platí v kryptomenách. Keď obeť zaplatí, hacker sľubuje odomknutie zariadenia, pričom ale neexistuje záruka, že sa tak naozaj stane.
Zákernejšie ransomwary obeti dajú obmedzený čas na reakciu a po uplynutí sa vyhrážajú, že zmažú všetky dáta v počítači.
Neprehliadnite
Hackeri za ransomwarom Qilin operujú už viac ako dva roky. Táto skupina v júni tohto roku zaútočila na vládnu spoločnosť Synnovis, ktorá pracuje so zdravotníctvom v Spojenom kráľovstve. Útoky tejto skupiny sa častokrát skladajú z “dvojitého vydierania”. Kyberzločinci ukradnú dáta obetí, zakódujú jej systémy a následne sa vyhrážajú, že dáta zverejnia alebo predajú, ak obeť nezaplatí za šifrovací kľúč. Vo väčšine prípadov napádajú väčšie spoločnosti a celé siete zariadení.
Bezpečnostní analytici predpokladajú, že útočníci získali prístup do prostredia cez ukradnuté prihlasovacie údaje, čo nie je novinkou pre ransomware skupinu Qilin. Vyšetrovanie ukázalo, že určitý VPN portál nemal multifaktorové overenie.
Hackeri si počkajú
Keď získajú kyberzločinci prístup do siete, počkajú 18 dní, než spustia ďalšiu fázu útoku. Po uplynutí 18 dní sa aktivita hackerov na sieti výrazne zvyšuje. Potom možno pozorovať aj artefakty, ktoré naznačujú laterálny pohyb po sieti. Keď nájdu doménový radič, do systémových súborov vkladajú 19-riadkový skript, ktorý sa pokúša získať prihlasovacie údaje uložené v prehliadačoch Google Chrome.
“Hackeri veria, že ich činnosť ostane neodhalená a že nestratia prístup k sieti. To dokazujú tým, že skript nechávajú fungovať tri dni. To prináša možnosť pre užívateľov prihlásiť sa na svoje zariadenia a do svojich účtov. Užívatelia ale nevedia, že poskytujú prihlasovacie údaje útočníkom,” vysvetľujú bezpečnostní analytici.
Keď hackeri úspešne ukradnú a exfiltrujú, následne vymažú všetky súbory a vyčistia logy na všetkých infikovaných zariadeniach a doménovom radiči. Po vymazaní dôkazov o svojej aktivite hackeri zašifrujú súbory a do zariadení vkladajú súbor s požiadavkami. Ten nechajú v každom jednom priečinku na infikovanom zariadení.
“Hackeri útočia na prehliadače Chrome, čo im dovoľuje získať naozaj veľké množstvo prihlasovacích údajov. Chrome si vybrali preto, lebo momentálne je najpoužívanejším prehliadačom na trhu, so 63% podielom,” píšu bezpečnostní experti.
Úspešný útok znamená, že celá spoločnosť musí zmeniť svoje prihlasovacie mená a heslá. Teoreticky aj zamestnanci musia zmeniť všetky prihlasovacie údaje pre svoje osobné účty, na ktoré sa v zamestnaní prihlasovali.
Komentáre