Odkryto nowy szczep oprogramowania ransomware o nazwie Qilin, który wykorzystuje stosunkowo wyrafinowaną, wysoce konfigurowalną taktykę kradzieży danych logowania do kont zapisanych w przeglądarce Google Chrome.
Międzynarodowy zespół badawczy ds. bezpieczeństwa Sophos X-Ops zaobserwował techniki gromadzenia danych uwierzytelniających podczas reagowania na incydent związany z Qilin. To pokazuje niepokojącą zmianę w trendach działania tej niebezpiecznej odmiany oprogramowania ransomware.
Przegląd procesu ataku
Atak przeanalizowany przez badaczy z Sophos rozpoczął się od tego, że złośliwe oprogramowanie Qilin uzyskało dostęp do sieci docelowej przy użyciu zhakowanych danych logowania do bramy VPN bez uwierzytelniania wieloskładnikowego (MFA).
Następnie nastąpił 18-dniowy okres „hibernacji” złośliwego oprogramowania, co wskazywało, że hakerzy najprawdopodobniej kupili dostęp do sieci za pośrednictwem początkowego brokera dostępu (IAB). Możliwe, że Qilin spędził czas na mapowaniu sieci, identyfikowaniu kluczowych zasobów i przeprowadzaniu rozpoznania.
Po upływie pierwszych 18 dni złośliwe oprogramowanie rozprzestrzenia się poziomo na kontrolery domeny i modyfikuje obiekty zasad grupy (GPO) w celu wykonania skryptu programu PowerShell („IPScanner.ps1”) na wszystkich komputerach zalogowanych do sieci domeny.
Ten skrypt jest wykonywany przez skrypt wsadowy („logon.bat”) i jest również zawarty w obiekcie zasad grupy. Jego celem jest zbieranie danych logowania przechowywanych w przeglądarce Google Chrome.
Skrypt wsadowy jest skonfigurowany tak, aby uruchamiał się (i wyzwalał skrypt programu PowerShell) za każdym razem, gdy użytkownik loguje się na swoim komputerze. Jednocześnie skradzione dane uwierzytelniające zostaną zapisane na partycji „SYSVOL” pod nazwą „LD” lub „temp.log”.
Po wysłaniu plików na serwer dowodzenia i kontroli (C2) Qilin, lokalne kopie i powiązane dzienniki zdarzeń zostały usunięte w celu ukrycia złośliwej aktywności. Na koniec Qilin wdraża ładunek ransomware i zaszyfrowane dane na zainfekowanych maszynach.
Do pobrania i uruchomienia oprogramowania ransomware na wszystkich komputerach w domenie używany jest także inny obiekt GPO i oddzielny plik poleceń („run.bat”).
Złożoność w obronie
Podejście Qilina do danych uwierzytelniających Chrome stanowi niepokojący precedens, który może utrudnić ochronę przed atakami ransomware.
Ponieważ obiekt GPO jest stosowany do wszystkich komputerów w domenie, procesowi gromadzenia danych uwierzytelniających podlega każde urządzenie, na którym zalogowany jest użytkownik.
Oznacza to, że skrypt jest w stanie ukraść dane uwierzytelniające ze wszystkich komputerów w systemie, pod warunkiem, że komputery te są podłączone do domeny i mają zalogowanego użytkownika w momencie działania skryptu.
Tak szeroko zakrojona kradzież danych uwierzytelniających może umożliwić hakerom przeprowadzenie dalszych ataków, skutkujących naruszeniami bezpieczeństwa obejmującymi wiele platform i usług, co znacznie utrudni reagowanie. Stwarza to również stałe zagrożenie, które trwa długo po rozwiązaniu problemu z oprogramowaniem ransomware.
Organizacje mogą ograniczyć ryzyko, wdrażając surowe zasady zakazujące przechowywania poufnych informacji w przeglądarkach internetowych. Ponadto wdrożenie uwierzytelniania wieloskładnikowego jest kluczowe dla ochrony kont przed przejęciem, nawet w przypadku naruszenia danych uwierzytelniających.
Wreszcie wdrożenie zasad najmniejszych uprawnień i segmentacji sieci może znacznie utrudnić atakującemu rozprzestrzenianie się w zainfekowanej sieci.
Kontrolowany dostęp do folderów to funkcja programu antywirusowego Windows Security firmy Microsoft. Funkcja ta chroni przed oprogramowaniem ransomware, uniemożliwiając modyfikację plików w chronionych folderach.
Mimo że te dwa pojęcia są często mylone, istnieje różnica między oprogramowaniem ransomware a cyberwymuszeniami. Jednakże te pary są ze sobą powiązane i jedno może prowadzić do drugiego.
Aplikacja Galeria firmy Samsung ma większe możliwości niż mogłoby się wydawać, ale może się to nie wydawać oczywiste.
Mówi się, że Microsoft jest coraz bliżej wypuszczenia na rynek swojego pierwszego składanego smartfona, gdy 1 października uzyskał patent na składany telefon z możliwością złożenia o 360 stopni, który nie powoduje powstawania zagnieceń na ekranie.
Google testuje nową funkcję weryfikacji za pomocą niebieskiego znacznika wyboru w wyszukiwarce. Funkcja ta pomoże użytkownikom unikać klikania na fałszywe lub oszukańcze linki do witryn internetowych.
Na pierwszy rzut oka Microsoft 365 i Office 2024 mogą wydawać się bardzo podobne, ponieważ oba zapewniają dostęp do popularnych i szeroko wykorzystywanych aplikacji firmy Microsoft.
Kody Elemental Dungeons są niezbędną formą nagrody dla graczy. Podobnie jak w przypadku każdej innej gry online w Robloxie, gracze mogą otrzymywać te asysty w zamian za pieniądze lub inne przedmioty.
Podczas drukowania dokumentu Word utwórz w nim tabelę. Powtórzenie tytułu w programie Word ułatwia jego śledzenie oraz pozwala na płynne odczytywanie tytułu dokumentu na różnych stronach, zwłaszcza w przypadku długich tytułów.
Nowa aplikacja iMessage w systemie iOS 18 została wzbogacona o animowane wiadomości, efekty tekstowe i wiele opcji do wykorzystania w wysyłanych wiadomościach.
Istnieje ciekawy fakt na temat świń, o którym nie wszyscy wiedzą: świnie są uważane za wrogów węży, ponieważ gdy te dwa zwierzęta się spotkają, większość węży stanie się pożywieniem dla świń.
Jaka jest odległość od Ziemi do Jowisza? Jeśli nie wiesz, ten artykuł dowiesz się, jak daleko Jowisz znajduje się od Ziemi.
Którzy generałowie nie są uwzględnieni w meta-grze Mobile Alliance? Przyjrzyjmy się teraz
Graves DTCL z sezonów 1, 3 i 6 kosztuje tylko 1 sztukę złota i wydaje się być po prostu dodatkowym bohaterem mającym na celu pobudzenie klanu; główna rola we wczesnej fazie gry jest nadal wykorzystywana, ale nie w zbyt dużym stopniu. Od sezonu 7.5 DTCL cena Gravesa gwałtownie wzrosła do 4 sztuk złota i zdecydowanie jest niezastąpionym wyborem, jeśli zdecydujesz się grać Thunder Dragonem lub Gunnerem.
W przypadku telefonów Samsung należy korzystać z osobnej aplikacji obsługującej dźwięki. Możesz na przykład słuchać muzyki z Apple Music, a telefon będzie odtwarzał dźwięk przez głośniki samochodu.
W Internecie można znaleźć wiele dobrych statusów dotyczących pracy. W tym artykule podsumujemy dobre i wartościowe statusy zawodowe.
Jaki jest dobry i pełen znaczenia podpis pod rocznicą ślubu? W tym artykule znajdziesz krótkie, zwięzłe podpisy pod rocznicami, które sprawią, że Twój partner zapamięta je na zawsze.
Code Dai Hiep Phong Van pomaga graczom wykorzystać atrakcyjne nagrody, nawet jeśli dopiero zaczynają poznawać świat gry.
