El peligroso Ransomware Qilin puede robarle sus credenciales almacenadas en Google Chrome
Los grupos de Ransomware siguen cambiando de táctica y ampliando su repertorio de técnicas en el mundo de los navegadores. | Fotografía Créditos: Sophos.

El peligroso Ransomware Qilin puede robarle sus credenciales almacenadas en Google Chrome

Durante una investigación reciente de una brecha del Ransomware Qilin, el equipo de Sophos X-Ops identificó actividad de atacantes que conducía al robo masivo de credenciales almacenadas en navegadores Google Chrome en un subconjunto de endpoints de la red.

Atacantes de Ransomware introducen una nueva herramienta denominada “EDR killer”
Desde 2022, ya se ha visto un aumento de la sofisticación del malware diseñado para desactivar los sistemas EDR en un sistema infectado, destacan desde Sophos.

Esto es una técnica de recolección de credenciales con implicaciones potenciales mucho más allá de la organización de la víctima original. Se trata de una táctica inusual, que podría ser un multiplicador adicional para el caos ya inherente a las situaciones de Ransomware.

¿Qué es Qilin?

El grupo de Ransomware Qilin lleva funcionando algo más de dos años. Fue noticia en junio de 2024 debido a un ataque a Synnovis, un proveedor de servicios gubernamentales a varios proveedores sanitarios y hospitales del Reino Unido. Antes, los ataques de Qilin solían implicar una “doble extorsión”, es decir, robar los datos de la víctima, cifrar sus sistemas y luego amenazar con revelar o vender los datos robados si la víctima no paga por la clave de cifrado.

El atacante obtuvo acceso inicial al entorno mediante credenciales comprometidas. Desgraciadamente, este método de acceso inicial no es nuevo para Qilin (ni para otras bandas de Ransomware). La investigación de Sophos X-Ops indicó que el portal VPN carecía de protección de autenticación multifactor (MFA).

Sophos sobre amenazas cibernéticas: Uso de datos robados por bandas de ransomware
Las bandas de ransomware manipulan datos robados para extorsionar a empresas y líderes, intensificando la presión y el daño reputacional.

El tiempo de permanencia del atacante entre el acceso inicial a la red y el movimiento posterior fue de 18 días, lo que puede indicar o no que un intermediario de acceso inicial (IAB) realizó la incursión real.

En cualquier caso, dieciocho días después de producirse el acceso inicial, aumentó la actividad del atacante en el sistema, con artefactos que mostraban un movimiento lateral hacia un controlador de dominio utilizando credenciales comprometidas.

En los endpoints

Cada vez que se producía un inicio de sesión en un endpoint, el logon.bat iniciaba el script IPScanner.ps1, que a su vez creaba dos archivos: un archivo de base de datos SQLite llamado LD y un archivo de texto llamado temp.log. Estos archivos se escribieron en un directorio recién creado en el recurso compartido SYSVOL del dominio y se nombraron con el nombre de host del dispositivo o dispositivos en los que se ejecutaron.

Un 76% de las empresas mejoraron su protección frente a ciberataques para acceder a un seguro
Hoy lamentablemente los costos de recuperación por ciberataques superan las coberturas del seguro

En un alarde de confianza en que no sería descubierto ni perdería su acceso a la red, el atacante dejó esta GPO activa durante más de tres días. Esto dio a los usuarios la oportunidad de conectarse a sus dispositivos y, sin saberlo, activar el script de obtención de credenciales en sus sistemas. De nuevo, como todo esto se hizo utilizando un GPO de inicio de sesión, cada usuario experimentaría este robo de credenciales cada vez que se conectara.

Para dificultar la evaluación del alcance del ataque, una vez robados y filtrados los archivos que contenían las credenciales recolectadas, el atacante borró todos los archivos y eliminó los registros de eventos tanto del controlador de dominio como de las máquinas infectadas. Tras borrar las pruebas, procedieron a cifrar los archivos y soltar la nota de rescate, como se muestra en la Figura 3. Este Ransomware deja una copia de la nota en cada directorio del dispositivo en el que se ejecuta.

Robo de credenciales con ingeniería social afecta a 800 organizaciones en todo el mundo
En 51 días, un grupo de atacantes, probablemente originarios de Rusia, envió más de 2.000 correos electrónicos de phishing dirigidos a casi 800 empresas y organizaciones en los sectores de gobierno, salud, energía e infraestructura crítica.

El grupo Qilin volvió a utilizar GPO como mecanismo para afectar a la red, haciendo que creara una tarea programada para ejecutar un archivo por lotes llamado run.bat, que descargaba y ejecutaba el Ransomware.

Impacto

En este ataque, el script IPScanner.ps1 tenía como objetivo los navegadores Chrome, estadísticamente la opción con más probabilidades de devolver una abundante cosecha de contraseñas, ya que Chrome posee actualmente algo más del 65% del mercado de navegadores.

Un ataque de este tipo con éxito significaría que los defensores no solo deben cambiar todas las contraseñas del Directorio Activo, sino que también deberían (en teoría) pedir a los usuarios finales que cambien sus contraseñas de docenas, potencialmente cientos, de sitios de terceros para los que los usuarios han guardado sus combinaciones de nombre de usuario y contraseña en el navegador Chrome. Por supuesto, los defensores no tendrían forma de obligar a los usuarios a hacerlo.

Gartner reconoce a Sophos por sus soluciones de firewalls y endpoints
Los clientes han reconocido a Sophos por tercer año consecutivo por sus soluciones de firewalls y endpoints.

Como era de esperar, los grupos de Ransomware siguen cambiando de táctica y ampliando su repertorio de técnicas. El grupo Qilin puede haber decidido que, limitándose a atacar los activos de red de sus organizaciones objetivo, se estaban perdiendo algo.

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 22 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.