Er is een nieuwe variant van ransomware ontdekt, genaamd Qilin. Deze ransomware maakt gebruik van een relatief geavanceerde, zeer aanpasbare tactiek om inloggegevens van accounts in de Google Chrome-browser te stelen.
Het internationale beveiligingsonderzoeksteam van Sophos X-Ops observeerde technieken voor het verzamelen van inloggegevens tijdens de incidentrespons in Qilin. Dit toont een alarmerende verandering aan in de werkwijze van deze gevaarlijke ransomware-variant.
Overzicht van het aanvalsproces
De aanval die Sophos-onderzoekers analyseerden, begon met de Qilin-malware die met succes toegang kreeg tot het doelnetwerk met behulp van gecompromitteerde inloggegevens op een VPN-gateway zonder multi-factor-authenticatie (MFA).
Hierna volgde een periode van 18 dagen van malware-‘winterslaap’, wat erop wijst dat hackers waarschijnlijk toegang tot het netwerk hadden gekocht via een initial access broker (IAB). Het is mogelijk dat Qilin tijd besteedde aan het in kaart brengen van het netwerk, het identificeren van de belangrijkste activa en het uitvoeren van verkenningen.
Na de eerste 18 dagen verplaatst de malware zich lateraal naar domeincontrollers en wijzigt groepsbeleidsobjecten (GPO's) om een PowerShell-script ('IPScanner.ps1') uit te voeren op alle machines die zijn aangemeld bij het domeinnetwerk.
Dit script wordt uitgevoerd door een batchscript ('logon.bat') en is ook opgenomen in de GPO. Het is ontworpen om inloggegevens te verzamelen die zijn opgeslagen in Google Chrome.
Het batchscript is geconfigureerd om te worden uitgevoerd (en het PowerShell-script te activeren) telkens wanneer een gebruiker zich aanmeldt op zijn computer. Tegelijkertijd worden de gestolen inloggegevens opgeslagen op de partitie 'SYSVOL' onder de naam 'LD' of 'temp.log'.
Nadat de bestanden naar de command and control (C2)-server van Qilin waren verzonden, werden lokale kopieën en bijbehorende gebeurtenislogboeken verwijderd om de schadelijke activiteiten te verbergen. Ten slotte installeert Qilin de ransomware-payload en versleutelde gegevens op de gecompromitteerde machines.
Daarnaast worden nog een ander GPO en een apart opdrachtenbestand ('run.bat') gebruikt om de ransomware te downloaden en uit te voeren op alle machines in het domein.
Complexiteit in de verdediging
De aanpak van Qilin voor Chrome-inloggegevens schept een zorgwekkend precedent dat het moeilijker kan maken om bescherming te bieden tegen ransomware-aanvallen.
Omdat de GPO op alle machines in het domein wordt toegepast, geldt het proces voor het verzamelen van inloggegevens voor elk apparaat waarop de gebruiker is aangemeld.
Dit betekent dat het script inloggegevens van alle machines in het systeem kan stelen, zolang die machines verbonden zijn met het domein en er een gebruiker is aangemeld op het moment dat het script wordt uitgevoerd.
Een dergelijke grootschalige diefstal van inloggegevens kan hackers in staat stellen verdere aanvallen uit te voeren, wat kan leiden tot beveiligingsincidenten die meerdere platforms en services beslaan. Hierdoor wordt het veel lastiger om hierop te reageren. Dit vormt bovendien een blijvende bedreiging die lang blijft bestaan nadat het ransomware-incident is opgelost.
Organisaties kunnen risico's beperken door strikte beleidsregels te implementeren die het opslaan van geheimen in webbrowsers verbieden. Daarnaast is de implementatie van multi-factor-authenticatie essentieel om te voorkomen dat accounts worden overgenomen, zelfs als de inloggegevens zijn gecompromitteerd.
Ten slotte kan de implementatie van de principes van minimale privileges en netwerksegmentatie de mogelijkheid van een kwaadwillende actor om zich over een gecompromitteerd netwerk te verspreiden, aanzienlijk belemmeren.
Gecontroleerde maptoegang is een functie van het antivirusprogramma Windows Security van Microsoft. Deze functie voorkomt ransomware door te voorkomen dat bestanden in beschermde mappen worden gewijzigd.
Hoewel deze twee termen vaak met elkaar worden verward, bestaat er een verschil tussen ransomware en cyberafpersing. Ze zijn echter met elkaar verbonden en de een kan tot de ander leiden.
Smart-tv's hebben de wereld veroverd. Dankzij zoveel geweldige functies en internetverbinding heeft technologie de manier waarop we televisiekijken veranderd.
Koelkasten zijn vertrouwde apparaten in huishoudens. Koelkasten hebben meestal twee compartimenten. Het koelvak is ruim en heeft verlichting die automatisch aangaat wanneer de gebruiker het vak opent. Het vriesvak is smal en heeft geen verlichting.
Wi-Fi-netwerken worden niet alleen beïnvloed door routers, bandbreedte en interferentie, maar er zijn een aantal slimme manieren om uw netwerk te versterken.
Als u terug wilt naar de stabiele iOS 16 op uw telefoon, vindt u hier de basisgids voor het verwijderen van iOS 17 en downgraden van iOS 17 naar 16.
Yoghurt is een heerlijk voedingsmiddel. Is het goed om elke dag yoghurt te eten? Hoe verandert je lichaam als je elke dag yoghurt eet? Laten we het samen ontdekken!
In dit artikel worden de meest voedzame rijstsoorten besproken en hoe u de gezondheidsvoordelen van de rijst die u kiest, optimaal kunt benutten.
Een slaapschema en bedtijdroutine opstellen, uw wekker verzetten en uw dieet aanpassen zijn enkele maatregelen die u kunnen helpen om beter te slapen en 's ochtends op tijd wakker te worden.
Huren alstublieft! Landlord Sim is een simulatiespel voor mobiel op iOS en Android. Je speelt als verhuurder van een appartementencomplex en begint met het verhuren van een appartement. Je doel is om het interieur van je appartement te verbeteren en het gereed te maken voor huurders.
Ontvang de Roblox-gamecode voor Bathroom Tower Defense en wissel deze in voor geweldige beloningen. Ze helpen je bij het upgraden of ontgrendelen van torens met hogere schade.
Laten we op de meest nauwkeurige manier de structuur, symbolen en werkingsprincipes van transformatoren leren kennen.
Van betere beeld- en geluidskwaliteit tot spraakbesturing en meer: deze AI-functies maken smart-tv's zoveel beter!
Aanvankelijk hadden mensen hoge verwachtingen van DeepSeek. Deze AI-chatbot wordt op de markt gebracht als sterke concurrent van ChatGPT en belooft intelligente chatmogelijkheden en -ervaringen.
Het is gemakkelijk om belangrijke details te missen wanneer u andere belangrijke zaken opschrijft. Bovendien kan het maken van aantekeningen tijdens een gesprek afleidend werken. Fireflies.ai is de oplossing.
Axolot Minecraft is een geweldige assistent voor spelers die onderwater opereren, als ze maar weten hoe ze deze moeten gebruiken.
De configuratie van A Quiet Place: The Road Ahead wordt als zeer positief beoordeeld. Houd hier dus rekening mee voordat u besluit om te downloaden.
