- Qilin ransomware mencuri credential dari browser Chrome dengan menggunakan skrip PowerShell yang disebut "IPScanner.ps1".
- Skrip ini dijalankan oleh skrip batch "logon.bat" yang dikonfigurasi untuk berjalan setiap kali pengguna masuk ke mesin mereka, dan credential yang dicuri disimpan di bagian "SYSVOL".
- Organisasi dapat memitigasi risiko ini dengan menerapkan kebijakan yang ketat untuk melarang penyimpanan rahasia di browser web dan implementasi autentikasi multifaktor.
pibitek.biz -Qilin ransomware telah menggunakan taktik baru dengan mengembangkan stealer khusus untuk mencuri akun credential yang disimpan di browser Google Chrome. Teknik pencurian credential ini telah diamati oleh tim Sophos X-Ops selama tanggapan insiden dan menandai perubahan yang mengkhawatirkan di bidang ransomware. Skenario serangan yang dianalisis oleh tim Sophos dimulai dengan Qilin mendapatkan akses ke jaringan dengan menggunakan kredensial yang dikompromikan dari portal VPN yang tidak memiliki autentikasi multifaktor (MFA).
2 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat 2 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat
3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
Setelah itu, Qilin menunggu selama 18 hari sebelum melakukan tindakan selanjutnya, kemungkinan untuk memetakan jaringan, mengidentifikasi aset kritis, dan melakukan pengintaian. Setelah 18 hari, para penyerang bergerak lateral ke kontroler domain dan memodifikasi Objek Kebijakan Grup (GPO) untuk menjalankan skrip PowerShell yang disebut "IPScanner. ps1" pada semua mesin yang terhubung ke jaringan domain. Skrip ini dirancang untuk mengumpulkan credential yang disimpan di browser Chrome. Skrip ini dijalankan oleh skrip batch yang disebut "logon.
bat" yang juga termasuk dalam GPO. Skrip batch ini dikonfigurasi untuk berjalan setiap kali pengguna masuk ke mesin mereka, sementara credential yang dicuri disimpan di bagian "SYSVOL" dengan nama "LD" atau "temp. log". Setelah mengirimkan file ke server kontrol Qilin, salinan lokal dan log terkait dihapus untuk menyembunyikan aktivitas jahat. Akhirnya, Qilin mengirimkan payload ransomware dan mengenkripsi data pada mesin yang dikompromikan. Taktik Qilin untuk menargetkan credential Chrome menciptakan preseden yang mengkhawatirkan yang dapat membuat perlindungan terhadap serangan ransomware menjadi lebih sulit.
Karena GPO diterapkan pada semua mesin di domain, setiap perangkat yang pengguna masuki menjadi sasaran proses pencurian credential. Ini berarti bahwa skrip tersebut dapat mencuri credential dari semua mesin di perusahaan, selama mesin tersebut terhubung ke domain dan pengguna masuk ke mesin tersebut selama periode skrip aktif. Pencurian credential yang luas ini dapat memungkinkan serangan lanjutan, menyebabkan pelanggaran yang meluas di berbagai platform dan layanan, membuat upaya respons menjadi lebih sulit, dan memperkenalkan ancaman yang berlangsung lama setelah insiden ransomware diselesaikan.
Organisasi dapat memitigasi risiko ini dengan menerapkan kebijakan yang ketat untuk melarang penyimpanan rahasia di browser web. Selain itu, implementasi autentikasi multifaktor sangat penting dalam melindungi akun dari pencurian, bahkan dalam kasus credential yang dikompromikan. Implementasi prinsip hak akses minimal dan segmentasi jaringan juga dapat secara signifikan menghambat kemampuan aktor ancaman untuk menyebar di jaringan yang dikompromikan. Qilin adalah ancaman yang tidak terbatas dan multi-platform dengan koneksi ke ahli rekayasa sosial "Scattered Spider", sehingga setiap perubahan taktik dapat menimbulkan risiko yang signifikan bagi organisasi.
Oleh karena itu, penting bagi organisasi untuk meningkatkan kesadaran dan kesiapsiagaan terhadap ancaman ini. Penggunaan credential yang dikompromikan dapat memungkinkan Qilin untuk mendapatkan akses ke jaringan dan melakukan serangan lanjutan. Oleh karena itu, penting bagi organisasi untuk memantau aktivitas jaringan dan mendeteksi potensi ancaman sebelum terlambat. Dalam beberapa kasus, Qilin dapat menggunakan credential yang dikompromikan untuk mendapatkan akses ke sistem penting dan melakukan serangan yang lebih serius.
Oleh karena itu, penting bagi organisasi untuk memastikan bahwa sistem penting dilindungi dengan baik dan tidak rentan terhadap serangan. Qilin juga dapat menggunakan credential yang dikompromikan untuk mendapatkan akses ke data sensitif dan melakukan pencurian data. Oleh karena itu, penting bagi organisasi untuk memastikan bahwa data sensitif dilindungi dengan baik dan tidak rentan terhadap pencurian. Dalam beberapa kasus, Qilin dapat menggunakan credential yang dikompromikan untuk mendapatkan akses ke sistem keamanan dan melakukan serangan yang lebih serius.
