Er is een nieuwe variant van ransomware ontdekt, genaamd Qilin. Deze ransomware maakt gebruik van een relatief geavanceerde, zeer aanpasbare tactiek om inloggegevens van accounts in de Google Chrome-browser te stelen.
Het internationale beveiligingsonderzoeksteam van Sophos X-Ops observeerde technieken voor het verzamelen van inloggegevens tijdens de incidentrespons in Qilin. Dit toont een alarmerende verandering aan in de werkwijze van deze gevaarlijke ransomware-variant.
Overzicht van het aanvalsproces
De aanval die Sophos-onderzoekers analyseerden, begon met de Qilin-malware die met succes toegang kreeg tot het doelnetwerk met behulp van gecompromitteerde inloggegevens op een VPN-gateway zonder multi-factor-authenticatie (MFA).
Hierna volgde een periode van 18 dagen van malware-‘winterslaap’, wat erop wijst dat hackers waarschijnlijk toegang tot het netwerk hadden gekocht via een initial access broker (IAB). Het is mogelijk dat Qilin tijd besteedde aan het in kaart brengen van het netwerk, het identificeren van de belangrijkste activa en het uitvoeren van verkenningen.
Na de eerste 18 dagen verplaatst de malware zich lateraal naar domeincontrollers en wijzigt groepsbeleidsobjecten (GPO's) om een PowerShell-script ('IPScanner.ps1') uit te voeren op alle machines die zijn aangemeld bij het domeinnetwerk.
Dit script wordt uitgevoerd door een batchscript ('logon.bat') en is ook opgenomen in de GPO. Het is ontworpen om inloggegevens te verzamelen die zijn opgeslagen in Google Chrome.
Het batchscript is geconfigureerd om te worden uitgevoerd (en het PowerShell-script te activeren) telkens wanneer een gebruiker zich aanmeldt op zijn computer. Tegelijkertijd worden de gestolen inloggegevens opgeslagen op de partitie 'SYSVOL' onder de naam 'LD' of 'temp.log'.
Nadat de bestanden naar de command and control (C2)-server van Qilin waren verzonden, werden lokale kopieën en bijbehorende gebeurtenislogboeken verwijderd om de schadelijke activiteiten te verbergen. Ten slotte installeert Qilin de ransomware-payload en versleutelde gegevens op de gecompromitteerde machines.
Daarnaast worden nog een ander GPO en een apart opdrachtenbestand ('run.bat') gebruikt om de ransomware te downloaden en uit te voeren op alle machines in het domein.
Complexiteit in de verdediging
De aanpak van Qilin voor Chrome-inloggegevens schept een zorgwekkend precedent dat het moeilijker kan maken om bescherming te bieden tegen ransomware-aanvallen.
Omdat de GPO op alle machines in het domein wordt toegepast, geldt het proces voor het verzamelen van inloggegevens voor elk apparaat waarop de gebruiker is aangemeld.
Dit betekent dat het script inloggegevens van alle machines in het systeem kan stelen, zolang die machines verbonden zijn met het domein en er een gebruiker is aangemeld op het moment dat het script wordt uitgevoerd.
Een dergelijke grootschalige diefstal van inloggegevens kan hackers in staat stellen verdere aanvallen uit te voeren, wat kan leiden tot beveiligingsincidenten die meerdere platforms en services beslaan. Hierdoor wordt het veel lastiger om hierop te reageren. Dit vormt bovendien een blijvende bedreiging die lang blijft bestaan nadat het ransomware-incident is opgelost.
Organisaties kunnen risico's beperken door strikte beleidsregels te implementeren die het opslaan van geheimen in webbrowsers verbieden. Daarnaast is de implementatie van multi-factor-authenticatie essentieel om te voorkomen dat accounts worden overgenomen, zelfs als de inloggegevens zijn gecompromitteerd.
Ten slotte kan de implementatie van de principes van minimale privileges en netwerksegmentatie de mogelijkheid van een kwaadwillende actor om zich over een gecompromitteerd netwerk te verspreiden, aanzienlijk belemmeren.
Gecontroleerde maptoegang is een functie van het antivirusprogramma Windows Security van Microsoft. Deze functie voorkomt ransomware door te voorkomen dat bestanden in beschermde mappen worden gewijzigd.
Hoewel deze twee termen vaak met elkaar worden verward, bestaat er een verschil tussen ransomware en cyberafpersing. Ze zijn echter met elkaar verbonden en de een kan tot de ander leiden.
De film When Life Gives You Tangerines is zojuist uitgebracht op Netflix en heeft de aandacht van fans getrokken met zijn hartverwarmende verhalen.
De statussen over de toekomst en goede citaten over de toekomst hieronder zullen een sterke inspiratiebron zijn om iedereen te motiveren meer te streven.
Platte telefoons zijn al heel lang de enige optie, al sinds de uitvinding van smartphones. Bent u er echter op uitgekeken en wilt u eens iets anders proberen, dan kunt u een opvouwbare telefoon kopen.
Hier leest u hoe u de modus 'Niet storen' instelt op Google Pixel-telefoons.
Heb je een Xiaomi-telefoon met MIUI 12 of ben je gewoon nieuwsgierig naar de mogelijkheden van deze software? Dan zijn hier 10 functies die je zeker moet kennen.
MSConfig is een flexibel en goed hulpmiddel voor het beheren van het opstartproces op uw computer. Bovendien kunt u het vaker gebruiken als u problemen met de prestaties en stabiliteit wilt oplossen.
Puzzelstukjes in PowerPoint kunt u handmatig maken via Vormen. U kunt ook de beschikbare puzzelstuksjablonen downloaden en gebruiken voor presentatieslides.
Het automatische koffiezetapparaat voor thuisgebruik is een modern en professioneel product waarmee u en uw gezin in een paar eenvoudige stappen van heerlijke kopjes koffie kunnen genieten.
Wicked, de bioscoopversie van de geliefde Broadway-musical, is een groot succes. Daarachter schuilen interessante achtergrondverhalen die ongeloofwaardig klinken, maar 100% waar zijn.
Op 24 juni plaatste het YouTube-account van grafisch ontwerper Hashem Al-Ghaili een video waarin hij het idee promootte van een op kernenergie werkend drijvend hotel genaamd Sky Cruise.
Soms bevatten zelfs beroemde objecten, die je heel lang bekijkt en bestudeert, veel verrassingen.
Photoshop Actions is een geliefde functie van de populaire fotobewerkingstool die verstopt zit in de app. Het is bedoeld om workflows te versnellen zonder dat er AI nodig is.
Bouw aan uw reputatie, conceptualiseer uw boodschap en positioneer uzelf als uw expertise. Dan is het handig om te weten hoe succesvolle sprekers geld verdienen.
Rijke Engelse woordenschat met gemakkelijk herkenbare antoniemenparen. Er zijn echter uitzonderingen. Hieronder staan Engelse woordparen die geen antoniemen zijn, ondanks dat ze vaak tegengestelde voorvoegsels bevatten.
Door Kurokus Basket Showdown-codes in te wisselen, ontvang je een hoop gratis munten om decoraties of spins te kopen voor het basketbalspel.
