最近观察到的 Qilin 勒索病毒攻击的幕后黑手已经盗取了存储在 Google Chrome 浏览器中的凭据,这一攻击在一小部分被攻陷的终端上发生。这种将凭据收集与勒索病毒感染结合的做法标志着一种不寻常的转变,网络安全公司 Sophos 在周四的报告中指出,这可能会产生连锁反应。
攻击概述
这次攻击发生在 2024 年 7 月,攻击者通过缺乏多因素身份验证(MFA)的 VPN 门户入侵目标网络,并在首次访问后 18 天进行了后续攻击行动。研究人员 Lee Kirkpatrick、Paul Jacobs、Harshal Gosalia 和 Robert Weiland 表示:“一旦攻击者到达相关的域控制器,他们就编辑了默认域策略,引入了一个基于登录的组策略对象(GPO),其中包含两个项目。”
攻击手法
这两个项目中,第一个是名为 "IPScanner.ps1" 的 PowerShell 脚本,旨在收集存储在 Chrome 浏览器中的凭据数据。第二个项目是一个批处理脚本("logon.bat"),用于执行第一个脚本的命令。研究人员补充道:“攻击者在网络上保持此 GPO 活跃超过三天,这给用户提供了充足的机会在他们的设备上登录,而他们对此毫不知情,触发了系统上的凭据收集脚本。”
攻击者随后提取了被盗凭据,并采取措施抹去活动的证据,然后加密文件并在系统的每个目录中放下赎金通知。
影响与后果
存储在 Chrome 浏览器中的凭据被盗意味着受影响的用户现在需要更改他们在每个第三方网站上的用户名和密码组合。研究人员表示:“可以预见的是,勒索病毒组织持续改变战术,扩展其技术手段。如果他们或其他攻击者决定同样挖掘终端存储的凭据——这可能为后续的目标提供入侵机会,或为其他方式利用高价值目标提供大量信息——网络犯罪的故事可能开启了一个黑暗的新篇章。”
勒索病毒的不断演变趋势
这一发展发生在 Mad Liberator 和 Mimic 等勒索病毒组织被观察到分别利用未经请求的 AnyDesk 请求进行数据提取和利用暴露在互联网上的 Microsoft SQL 服务器进行初始访问的背景下。
Mad Liberator 攻击的特点在于,攻击者滥用访问权限,转移并启动一个名为 "Microsoft Windows Update" 的二进制文件,该文件向受害者显示一个虚假的 Windows 更新启动画面,以给人一种软件更新正在安装的印象,而数据正在被掠夺。
结论
尽管一系列执法行动,勒索病毒仍然是网络犯罪分子一个盈利丰厚的事业,2024 年很可能成为有史以来收入最高的一年。根据区块链分析公司 Chainalysis 的数据,勒索病毒受害者在今年上半年估计已支付给网络犯罪分子 4.598 亿美元,尽管根据链上数据测量的总勒索支付事件同比下降了 27.29%。
随着勒索病毒攻击的不断演变,网络安全领域需要保持警惕,采取有效的防范措施以保护个人和组织的安全。
如果你觉得这篇文章有趣,请关注我们的 Twitter 和 LinkedIn,阅读更多独家内容!
