Nel corso di una recente indagine su una violazione del ransomware Qilin, il team X-Ops di Sophos ha identificato un’attività di attacco che ha portato al furto in massa delle credenziali memorizzate nei browser Google Chrome su un sottoinsieme di endpoint della rete – una tecnica di raccolta delle credenziali con potenziali implicazioni che vanno ben oltre l’organizzazione della vittima originale. Questa è una tattica insolita, e potrebbe essere un moltiplicatore del caos già insito nell’ambito degli attacchi ransomware.
Che cos’è Qilin?
Il gruppo di ransomware Qilin è attivo da poco più di due anni. È balzato agli onori della cronaca nel giugno 2024 a causa di un attacco a Synnovis, un fornitore di servizi governativi a diversi centri sanitari e ospedali del Regno Unito. Prima dell’attività descritta in questo post, gli attacchi di Qilin hanno spesso comportato una “doppia estorsione”, ovvero il furto dei dati della vittima, la cifratura dei suoi sistemi e la minaccia di rivelare o vendere i dati rubati se la vittima non avesse pagato per la chiave di cifratura, una tattica che abbiamo recentemente discusso nella nostra ricerca “Turning the Screws”.
Il team IR di Sophos ha rilevato l’attività descritta in questo post nel luglio 2024. Per fornire un contesto, questa attività si è verificata su un singolo controller di dominio all’interno del dominio Active Directory dell’obiettivo; altri controller di dominio in quel dominio AD sono stati infettati ma colpiti in modo diverso da Qilin.
Continua a leggere qui.