Políticas de grupo y scripts maliciosos: Qilin encontró una nueva brecha para el robo de datos

Ciberataques Qilin Google Chrome VPN MFA GPO Sophos ransomware
Políticas de grupo y scripts maliciosos: Qilin encontró una nueva brecha para el robo de datos
Ciberataques Qilin Google Chrome VPN MFA GPO Sophos ransomware

Los usuarios de Google Chrome fueron víctimas de la recolección secreta de logins y contraseñas.

image

Investigadores de la empresa Sophos descubrieron un ataque utilizando el ransomware Qilin, en el cual los delincuentes robaron datos de cuentas almacenados en el navegador Google Chrome en varios dispositivos comprometidos.

El incidente fue identificado en julio de 2024 y atrajo la atención de los expertos por su inusual combinación de métodos: el robo de credenciales seguido de la infección con ransomware, lo que podría tener graves consecuencias.

El ataque comenzó con la penetración en la red de la organización objetivo a través de credenciales comprometidas para acceder al portal VPN, que no estaba protegido por autenticación multifactor (MFA). Los delincuentes no tomaron más acciones hasta 18 días después de la brecha inicial.

Una vez que los criminales obtuvieron acceso al controlador de dominio, realizaron cambios en la política del dominio, añadiendo dos objetos de políticas de grupo (GPO). El primero de ellos es un script de PowerShell llamado «IPScanner.ps1», destinado a recolectar datos de cuentas almacenados en el navegador Chrome. El segundo es un script por lotes («logon.bat»), que activa la ejecución del primer script.

Según la investigación, este objeto de políticas de grupo permaneció activo en la red durante más de tres días. Durante ese tiempo, los usuarios, sin sospechar lo que estaba ocurriendo, ejecutaban el script cada vez que iniciaban sesión, permitiendo la recolección de sus credenciales.

Los delincuentes robaron estos datos, luego borraron sus rastros y encriptaron archivos en el sistema, dejando una nota de rescate en cada carpeta. El hecho del robo implica que los usuarios afectados ahora deben cambiar sus contraseñas en todos los servicios externos donde usaron las credenciales comprometidas.

Los expertos de Sophos señalan que los grupos que utilizan ransomware continúan modificando sus métodos y ampliando su arsenal de técnicas. Si los delincuentes comienzan a recolectar sistemáticamente las credenciales almacenadas en los dispositivos finales, esto podría abrir una nueva y peligrosa página en la historia de la ciberdelincuencia.

Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla

¡Únete a nosotros!

Noticias sobre el tema

GAZEploit: cuando un solo vistazo revela todos los secretos y contraseñas a los piratas informáticos

Prisión a pantalla completa: cómo el modo quiosco obliga a los usuarios a ceder sus datos

El precio de la curiosidad: 300 años de prisión por intentar descubrir los secretos de la NASA

Kawasaki Motors sufrió un ataque de ransomware

Puntos del crimen: los hackers ocultan ataques con la fuente Braille

Instagram desafía al contenido tóxico: ¿están preparados los adolescentes para las nuevas restricciones?

LinkedIn se ha convertido en un campo de batalla: ¿cómo protegerse de los hackers norcoreanos?

Marko Polo convirtió Zoom en una trampa para gamers e influenciadores de criptomonedas

Azure Storage Explorer: una nueva arma en el arsenal de ransomware