L'attaque du ransomware Agenda (Qilin) conduit au vol d'identifiants Google Chrome
Le groupe de ransomware Agenda (Qilin) a introduit une nouvelle tactique inquiétante : le déploiement d'un voleur personnalisé pour récupérer les identifiants de compte stockés dans les navigateurs Google Chrome. Cette évolution, observée par l'équipe Sophos X-Ops lors des récents efforts de réponse aux incidents, marque une escalade significative dans le paysage des ransomwares, rendant ces attaques encore plus difficiles à combattre.
Table des matières
Aperçu de l'attaque : une analyse détaillée
Les chercheurs de Sophos ont analysé une attaque Agenda/Qilin qui a débuté avec l'accès du groupe à un réseau via des identifiants compromis pour un portail VPN dépourvu d'authentification multifacteur (MFA). La violation a été suivie d'une période d'inactivité de 18 jours, ce qui suggère que Qilin a peut-être acheté l'accès au réseau auprès d'un courtier d'accès initial (IAB). Pendant cette période d'inactivité, il est probable que les attaquants aient passé du temps à cartographier le réseau, à identifier les actifs critiques et à effectuer des reconnaissances.
Après cette période de reconnaissance, les attaquants se sont déplacés latéralement vers un contrôleur de domaine, où ils ont modifié les objets de stratégie de groupe (GPO) pour exécuter un script PowerShell, « IPScanner.ps1 », sur toutes les machines connectées au réseau du domaine. Ce script, exécuté par un fichier batch, « logon.bat », a été spécifiquement conçu pour collecter les informations d'identification stockées dans Google Chrome.
Récolte d'identifiants Chrome : un nouveau niveau de danger
Le script batch déclenchait le script PowerShell à chaque fois qu'un utilisateur se connectait à sa machine, et les identifiants volés étaient enregistrés sur le partage « SYSVOL » sous les noms « LD » ou « temp.log ». Ces fichiers étaient ensuite envoyés au serveur de commande et de contrôle (C2) d'Agenda/Qilin, après quoi les copies locales et les journaux d'événements associés étaient effacés pour couvrir les traces des attaquants. Par la suite, Agenda (Qilin) a déployé sa charge utile de ransomware, chiffrant les données sur les machines compromises. Un GPO et un fichier batch distincts, « run.bat », ont été utilisés pour télécharger et exécuter le ransomware sur toutes les machines du domaine.
L'approche d'Agenda/Qilin pour cibler les identifiants Chrome est particulièrement alarmante, car l'objet de stratégie de groupe s'appliquait à toutes les machines du domaine. Cela signifie que chaque appareil sur lequel un utilisateur se connectait était soumis au processus de collecte d'identifiants. Le script volait potentiellement les identifiants de toutes les machines de l'entreprise, à condition qu'elles soient connectées au domaine et qu'elles aient des identifiants d'utilisateur actifs pendant la période où le script était opérationnel.
Conséquences et stratégies d’atténuation
Le vol massif d’identifiants facilité par cette méthode pourrait donner lieu à des attaques de suivi, à des violations généralisées sur plusieurs plateformes et services et compliquer considérablement les efforts de réponse. De plus, elle introduit une menace persistante qui peut persister même après la résolution de l’incident initial de ransomware.
Pour atténuer ce risque, les entreprises doivent appliquer des politiques strictes contre le stockage des identifiants dans les navigateurs Web. La mise en œuvre d'une authentification multifacteur est également essentielle pour protéger les comptes contre le piratage, même en cas de compromission des identifiants. En outre, l'application des principes du moindre privilège et de la segmentation du réseau peut considérablement entraver la capacité d'un acteur malveillant à se déplacer latéralement dans un environnement compromis.
Compte tenu des liens de Qilin avec le groupe d'ingénierie sociale Scattered Spider et de ses capacités multiplateformes, ce changement de tactique représente un risque important pour les organisations. Alors que les groupes de ransomware comme Qilin continuent d'évoluer, il est plus essentiel que jamais de rester vigilant et proactif dans la mise en œuvre de mesures de sécurité robustes.