Odkryto nowy szczep oprogramowania ransomware o nazwie Qilin, który wykorzystuje stosunkowo wyrafinowaną, wysoce konfigurowalną taktykę kradzieży danych logowania do kont zapisanych w przeglądarce Google Chrome.
Międzynarodowy zespół badawczy ds. bezpieczeństwa Sophos X-Ops zaobserwował techniki gromadzenia danych uwierzytelniających podczas reagowania na incydent związany z Qilin. To pokazuje niepokojącą zmianę w trendach działania tej niebezpiecznej odmiany oprogramowania ransomware.
Przegląd procesu ataku
Atak przeanalizowany przez badaczy z Sophos rozpoczął się od tego, że złośliwe oprogramowanie Qilin uzyskało dostęp do sieci docelowej przy użyciu zhakowanych danych logowania do bramy VPN bez uwierzytelniania wieloskładnikowego (MFA).
Następnie nastąpił 18-dniowy okres „hibernacji” złośliwego oprogramowania, co wskazywało, że hakerzy najprawdopodobniej kupili dostęp do sieci za pośrednictwem początkowego brokera dostępu (IAB). Możliwe, że Qilin spędził czas na mapowaniu sieci, identyfikowaniu kluczowych zasobów i przeprowadzaniu rozpoznania.
Po upływie pierwszych 18 dni złośliwe oprogramowanie rozprzestrzenia się poziomo na kontrolery domeny i modyfikuje obiekty zasad grupy (GPO) w celu wykonania skryptu programu PowerShell („IPScanner.ps1”) na wszystkich komputerach zalogowanych do sieci domeny.
Ten skrypt jest wykonywany przez skrypt wsadowy („logon.bat”) i jest również zawarty w obiekcie zasad grupy. Jego celem jest zbieranie danych logowania przechowywanych w przeglądarce Google Chrome.
Skrypt wsadowy jest skonfigurowany tak, aby uruchamiał się (i wyzwalał skrypt programu PowerShell) za każdym razem, gdy użytkownik loguje się na swoim komputerze. Jednocześnie skradzione dane uwierzytelniające zostaną zapisane na partycji „SYSVOL” pod nazwą „LD” lub „temp.log”.
Po wysłaniu plików na serwer dowodzenia i kontroli (C2) Qilin, lokalne kopie i powiązane dzienniki zdarzeń zostały usunięte w celu ukrycia złośliwej aktywności. Na koniec Qilin wdraża ładunek ransomware i zaszyfrowane dane na zainfekowanych maszynach.
Do pobrania i uruchomienia oprogramowania ransomware na wszystkich komputerach w domenie używany jest także inny obiekt GPO i oddzielny plik poleceń („run.bat”).
Złożoność w obronie
Podejście Qilina do danych uwierzytelniających Chrome stanowi niepokojący precedens, który może utrudnić ochronę przed atakami ransomware.
Ponieważ obiekt GPO jest stosowany do wszystkich komputerów w domenie, procesowi gromadzenia danych uwierzytelniających podlega każde urządzenie, na którym zalogowany jest użytkownik.
Oznacza to, że skrypt jest w stanie ukraść dane uwierzytelniające ze wszystkich komputerów w systemie, pod warunkiem, że komputery te są podłączone do domeny i mają zalogowanego użytkownika w momencie działania skryptu.
Tak szeroko zakrojona kradzież danych uwierzytelniających może umożliwić hakerom przeprowadzenie dalszych ataków, skutkujących naruszeniami bezpieczeństwa obejmującymi wiele platform i usług, co znacznie utrudni reagowanie. Stwarza to również stałe zagrożenie, które trwa długo po rozwiązaniu problemu z oprogramowaniem ransomware.
Organizacje mogą ograniczyć ryzyko, wdrażając surowe zasady zakazujące przechowywania poufnych informacji w przeglądarkach internetowych. Ponadto wdrożenie uwierzytelniania wieloskładnikowego jest kluczowe dla ochrony kont przed przejęciem, nawet w przypadku naruszenia danych uwierzytelniających.
Wreszcie wdrożenie zasad najmniejszych uprawnień i segmentacji sieci może znacznie utrudnić atakującemu rozprzestrzenianie się w zainfekowanej sieci.
Kontrolowany dostęp do folderów to funkcja programu antywirusowego Windows Security firmy Microsoft. Funkcja ta chroni przed oprogramowaniem ransomware, uniemożliwiając modyfikację plików w chronionych folderach.
Mimo że te dwa pojęcia są często mylone, istnieje różnica między oprogramowaniem ransomware a cyberwymuszeniami. Jednakże te pary są ze sobą powiązane i jedno może prowadzić do drugiego.
Studenci potrzebują konkretnego typu laptopa do nauki. Powinien być nie tylko wystarczająco wydajny, aby dobrze sprawdzać się na wybranym kierunku, ale także kompaktowy i lekki, aby można go było nosić przy sobie przez cały dzień.
Dodanie drukarki do systemu Windows 10 jest proste, choć proces ten w przypadku urządzeń przewodowych będzie się różnić od procesu w przypadku urządzeń bezprzewodowych.
Jak wiadomo, pamięć RAM to bardzo ważny element sprzętowy komputera, który przetwarza dane i jest czynnikiem decydującym o szybkości laptopa lub komputera stacjonarnego. W poniższym artykule WebTech360 przedstawi Ci kilka sposobów sprawdzania błędów pamięci RAM za pomocą oprogramowania w systemie Windows.
Telewizory Smart TV naprawdę podbiły świat. Dzięki tak wielu świetnym funkcjom i możliwościom połączenia z Internetem technologia zmieniła sposób, w jaki oglądamy telewizję.
Lodówki to powszechnie stosowane urządzenia gospodarstwa domowego. Lodówki zazwyczaj mają dwie komory: komora chłodna jest pojemna i posiada światło, które włącza się automatycznie po każdym otwarciu lodówki, natomiast komora zamrażarki jest wąska i nie posiada światła.
Na działanie sieci Wi-Fi wpływa wiele czynników poza routerami, przepustowością i zakłóceniami. Istnieje jednak kilka sprytnych sposobów na usprawnienie działania sieci.
Jeśli chcesz powrócić do stabilnej wersji iOS 16 na swoim telefonie, poniżej znajdziesz podstawowy przewodnik, jak odinstalować iOS 17 i obniżyć wersję iOS 17 do 16.
Jogurt jest wspaniałym produktem spożywczym. Czy warto jeść jogurt codziennie? Jak zmieni się Twoje ciało, gdy będziesz jeść jogurt codziennie? Przekonajmy się razem!
W tym artykule omówiono najbardziej odżywcze rodzaje ryżu i dowiesz się, jak zmaksymalizować korzyści zdrowotne, jakie daje wybrany przez Ciebie rodzaj ryżu.
Ustalenie harmonogramu snu i rutyny związanej z kładzeniem się spać, zmiana budzika i dostosowanie diety to niektóre z działań, które mogą pomóc Ci lepiej spać i budzić się rano o odpowiedniej porze.
Proszę o wynajem! Landlord Sim to mobilna gra symulacyjna dostępna na systemy iOS i Android. Wcielisz się w rolę właściciela kompleksu apartamentowego i wynajmiesz mieszkania, a Twoim celem jest odnowienie wnętrz apartamentów i przygotowanie ich na przyjęcie najemców.
Zdobądź kod do gry Bathroom Tower Defense Roblox i wymień go na atrakcyjne nagrody. Pomogą ci ulepszyć lub odblokować wieże zadające większe obrażenia.
Poznajmy budowę, symbole i zasady działania transformatorów w jak najbardziej dokładny spos��b.
Od lepszej jakości obrazu i dźwięku po sterowanie głosowe i wiele więcej — te funkcje oparte na sztucznej inteligencji sprawiają, że inteligentne telewizory stają się o wiele lepsze!
Początkowo ludzie wiązali duże nadzieje z DeepSeek. Jako chatbot oparty na sztucznej inteligencji, reklamowany jako silny konkurent ChatGPT, obiecuje inteligentne możliwości i doświadczenia związane z czatem.
