Tus contraseñas y archivos personales ya no están tan seguros como piensas. Una nueva variante de ransomware, conocida como Qilin, está llevando los ataques cibernéticos a un nivel alarmante. No solo secuestra tus archivos, sino que también roba las credenciales que tienes guardadas en Google Chrome. Esto significa que, además de perder acceso a tus datos, podrías ver comprometidas todas tus cuentas en línea, desde el correo electrónico hasta las redes sociales.
El ataque comienza con Qilin obteniendo acceso a una red utilizando credenciales comprometidas, aprovechando un portal VPN que no contaba con autenticación multifactor (MFA). Después de la infiltración inicial, hubo un período de inactividad de 18 días, lo que sugiere que Qilin pudo haber adquirido el acceso a la red a través de un tercero especializado en vender accesos iniciales a sistemas comprometidos.
Durante ese tiempo, es probable que los atacantes hayan estado mapeando la red, identificando activos clave y recopilando información. Una vez que terminó el período de espera, los atacantes pasaron a la siguiente fase: moverse lateralmente dentro de la red hasta alcanzar un controlador de dominio. Desde allí, modificaron los objetos de política de grupo (GPO) para desplegar un script de PowerShell llamado 'IPScanner.ps1' en todas las máquinas conectadas a la red del dominio.
Este script fue diseñado específicamente para recolectar credenciales almacenadas en Google Chrome, y se ejecutaba mediante un script por lotes ('logon.bat') que también se incluyó en el GPO. El script por lotes se activaba cada vez que un usuario iniciaba sesión en su máquina, lo que permitía que las credenciales robadas se almacenaran en un recurso compartido del sistema, en la carpeta 'SYSVOL', bajo los nombres 'LD' o 'temp.log'.
Podría interesarte leer: Scattered Spider usa RansomHub y Qilin Ransomware en sus ciberataques
Una vez que los archivos se enviaron al servidor de comando y control de Qilin, los atacantes se encargaron de borrar las copias locales y eliminar cualquier rastro en los registros de eventos para encubrir su actividad. Con todo preparado, finalmente lanzaron el ransomware que cifró los datos en las máquinas comprometidas.
Para desplegar el ransomware en toda la red, utilizaron otro objeto de política de grupo (GPO) y un archivo por lotes adicional llamado 'run.bat', que descargó y ejecutó el malware en todas las máquinas del dominio.
Nota de Rescate de Qilin
Conoce más sobre: Ciberataques Asistidos por Inteligencia Artificial Generativa
El enfoque de Qilin de atacar las credenciales guardadas en Chrome plantea un desafío preocupante para la protección contra ataques de ransomware. Dado que el script malicioso se aplicaba a todas las máquinas del dominio, cualquier dispositivo en el que un usuario iniciara sesión estaba en riesgo de sufrir el robo de credenciales.
Esto significa que las credenciales podrían haber sido robadas de cualquier máquina de la empresa que estuviera conectada al dominio y en la que se hubiera iniciado sesión mientras el script estuvo activo. Un robo de credenciales de esta magnitud no solo abre la puerta a futuros ataques, sino que también puede provocar violaciones en múltiples plataformas y servicios, complicando enormemente los esfuerzos de respuesta y dejando una amenaza persistente incluso después de que se haya resuelto el incidente de ransomware.
Para mitigar este riesgo, las organizaciones pueden adoptar políticas estrictas que prohíban el almacenamiento de contraseñas y otros datos sensibles en navegadores web. Además, implementar la autenticación multifactor es crucial para proteger las cuentas contra secuestros, incluso si las credenciales han sido comprometidas.
También es fundamental contar con soluciones de ciberseguridad avanzadas, como TecnetProtect, que ofrecen ciberprotección y backups integrados. TecnetProtect no solo ayuda a detectar y bloquear ataques antes de que puedan causar daños significativos, sino que también garantiza que tus datos críticos estén siempre respaldados y seguros. Esta combinación de protección en tiempo real y recuperación rápida es esencial para limitar el impacto de cualquier ataque de ransomware.
Con Qilin operando como una amenaza sin restricciones y multiplataforma, cualquier cambio en las tácticas de ataque representa un riesgo significativo para las organizaciones, especialmente cuando se combina con la habilidad de ingeniería social que suelen emplear grupos como Scattered Spider.