Odkryto nowy szczep oprogramowania ransomware o nazwie Qilin, który wykorzystuje stosunkowo wyrafinowaną, wysoce konfigurowalną taktykę kradzieży danych logowania do kont zapisanych w przeglądarce Google Chrome.
Międzynarodowy zespół badawczy ds. bezpieczeństwa Sophos X-Ops zaobserwował techniki gromadzenia danych uwierzytelniających podczas reagowania na incydent związany z Qilin. To pokazuje niepokojącą zmianę w trendach działania tej niebezpiecznej odmiany oprogramowania ransomware.
Przegląd procesu ataku
Atak przeanalizowany przez badaczy z Sophos rozpoczął się od tego, że złośliwe oprogramowanie Qilin uzyskało dostęp do sieci docelowej przy użyciu zhakowanych danych logowania do bramy VPN bez uwierzytelniania wieloskładnikowego (MFA).
Następnie nastąpił 18-dniowy okres „hibernacji” złośliwego oprogramowania, co wskazywało, że hakerzy najprawdopodobniej kupili dostęp do sieci za pośrednictwem początkowego brokera dostępu (IAB). Możliwe, że Qilin spędził czas na mapowaniu sieci, identyfikowaniu kluczowych zasobów i przeprowadzaniu rozpoznania.
Po upływie pierwszych 18 dni złośliwe oprogramowanie rozprzestrzenia się poziomo na kontrolery domeny i modyfikuje obiekty zasad grupy (GPO) w celu wykonania skryptu programu PowerShell („IPScanner.ps1”) na wszystkich komputerach zalogowanych do sieci domeny.
Ten skrypt jest wykonywany przez skrypt wsadowy („logon.bat”) i jest również zawarty w obiekcie zasad grupy. Jego celem jest zbieranie danych logowania przechowywanych w przeglądarce Google Chrome.
Skrypt wsadowy jest skonfigurowany tak, aby uruchamiał się (i wyzwalał skrypt programu PowerShell) za każdym razem, gdy użytkownik loguje się na swoim komputerze. Jednocześnie skradzione dane uwierzytelniające zostaną zapisane na partycji „SYSVOL” pod nazwą „LD” lub „temp.log”.
Po wysłaniu plików na serwer dowodzenia i kontroli (C2) Qilin, lokalne kopie i powiązane dzienniki zdarzeń zostały usunięte w celu ukrycia złośliwej aktywności. Na koniec Qilin wdraża ładunek ransomware i zaszyfrowane dane na zainfekowanych maszynach.
Do pobrania i uruchomienia oprogramowania ransomware na wszystkich komputerach w domenie używany jest także inny obiekt GPO i oddzielny plik poleceń („run.bat”).
Złożoność w obronie
Podejście Qilina do danych uwierzytelniających Chrome stanowi niepokojący precedens, który może utrudnić ochronę przed atakami ransomware.
Ponieważ obiekt GPO jest stosowany do wszystkich komputerów w domenie, procesowi gromadzenia danych uwierzytelniających podlega każde urządzenie, na którym zalogowany jest użytkownik.
Oznacza to, że skrypt jest w stanie ukraść dane uwierzytelniające ze wszystkich komputerów w systemie, pod warunkiem, że komputery te są podłączone do domeny i mają zalogowanego użytkownika w momencie działania skryptu.
Tak szeroko zakrojona kradzież danych uwierzytelniających może umożliwić hakerom przeprowadzenie dalszych ataków, skutkujących naruszeniami bezpieczeństwa obejmującymi wiele platform i usług, co znacznie utrudni reagowanie. Stwarza to również stałe zagrożenie, które trwa długo po rozwiązaniu problemu z oprogramowaniem ransomware.
Organizacje mogą ograniczyć ryzyko, wdrażając surowe zasady zakazujące przechowywania poufnych informacji w przeglądarkach internetowych. Ponadto wdrożenie uwierzytelniania wieloskładnikowego jest kluczowe dla ochrony kont przed przejęciem, nawet w przypadku naruszenia danych uwierzytelniających.
Wreszcie wdrożenie zasad najmniejszych uprawnień i segmentacji sieci może znacznie utrudnić atakującemu rozprzestrzenianie się w zainfekowanej sieci.
Kontrolowany dostęp do folderów to funkcja programu antywirusowego Windows Security firmy Microsoft. Funkcja ta chroni przed oprogramowaniem ransomware, uniemożliwiając modyfikację plików w chronionych folderach.
Mimo że te dwa pojęcia są często mylone, istnieje różnica między oprogramowaniem ransomware a cyberwymuszeniami. Jednakże te pary są ze sobą powiązane i jedno może prowadzić do drugiego.
Właśnie kupiłeś telefon Samsung Galaxy i musisz go skonfigurować? Oto 10 ustawień, które warto zmienić, aby Twój telefon Samsung działał lepiej.
Code Murder Mystery 2 pozwala graczom wybierać więcej skórek noży dla swoich postaci lub zdobywać więcej pieniędzy na usługi i inne rzeczy w grze.
W dniu urodzin ukochanej osoby, rodziców, przyjaciół, rodzeństwa, współpracowników... oprócz prezentów nie zapomnij wysłać kartek urodzinowych z życzeniami.
Te zabawne quizy pomogą Ci zrobić dobre wrażenie oraz szybko i szczęśliwie zdobyć serce osoby, w której się kochasz.
Corki DTCL sezon 7 potrzebuje ochrony lub wsparcia, aby przejąć kontrolę, jeśli chce móc swobodnie niszczyć drużynę przeciwną. Jednocześnie wyposażenie Corkiego musi być również standardowe, aby mógł zadawać skuteczniejsze obrażenia.
Oto link do pobrania Mini World Royale i instrukcja gry. Gra będzie dostępna w dwóch wersjach: Mini World Royale APK i Mini World Royale iOS.
1314 to liczba często używana przez młodych ludzi jako kod miłości. Jednak nie każdy wie, co oznacza liczba 1314?
Radzenie sobie z toksycznymi sytuacjami może być niezwykle trudne. Oto kilka wskazówek, które pomogą Ci taktownie radzić sobie z toksycznym otoczeniem i zachować spokój ducha.
Większość ludzi wie, że muzyka nie służy wyłącznie rozrywce, lecz ma o wiele więcej zalet. Oto kilka sposobów, w jaki muzyka stymuluje rozwój naszego mózgu.
Dieta jest bardzo ważna dla naszego zdrowia. Jednak w większości naszych diet brakuje tych sześciu ważnych składników odżywczych.
Aby najszybciej otrzymywać informacje promocyjne od Circle K, zainstaluj aplikację CK Club. Aplikacja zapisuje płatności dokonywane podczas zakupów lub płacenia w Circle K, a także liczbę zebranych pieczątek.
Instagram właśnie ogłosił, że umożliwi użytkownikom publikowanie filmów Reels o długości do 3 minut, co stanowi dwukrotność poprzedniego limitu 90 sekund.
W tym artykule dowiesz się, jak przeglądać informacje o procesorze i sprawdzać jego prędkość bezpośrednio na Chromebooku.
Jeśli nie chcesz sprzedawać ani oddawać swojego starego tabletu, możesz wykorzystać go na 5 sposobów: jako wysokiej jakości ramkę do zdjęć, odtwarzacz muzyki, czytnik e-booków i czasopism, pomocnika w pracach domowych i jako dodatkowy ekran.
Chcesz szybko mieć piękne, lśniące i zdrowe paznokcie. Poniższe proste wskazówki dotyczące pięknych paznokci na pewno Ci się przydadzą.
