Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
24.08.2024

Групповые политики и вредоносные скрипты: Qilin нашёл новую лазейку для кражи данных

Исследователи из компании Sophos обнаружили атаку с использованием программы-вымогателя Qilin, в ходе которой злоумышленники похитили данные учётных записей, хранящихся в браузере Google Chrome на ряде скомпрометированных устройств.

Инцидент был выявлен в июле 2024 года и привлёк внимание экспертов своей необычной комбинацией методов — кражей учётных данных в сочетании с последующим заражением программой-вымогателем, что может иметь серьёзные последствия.

Атака началась с проникновения в сеть целевой организации через скомпрометированные учётные данные для доступа к VPN -порталу, который не был защищён многофакторной аутентификацией ( MFA ). Злоумышленники приступили к дальнейшим действиям лишь через 18 дней после первоначального взлома.

После того как преступники получили доступ к доменному контроллеру, они внесли изменения в политику домена, добавив туда два объекта групповой политики (GPO). Первый из них — это PowerShell-скрипт под названием «IPScanner.ps1», который предназначен для сбора данных учётных записей, хранящихся в браузере Chrome. Второй — пакетный скрипт («logon.bat»), который активирует выполнение первого скрипта.

Согласно исследованию, этот объект групповой политики оставался активным в сети более трёх дней. За это время пользователи, не подозревая о происходящем, при каждом входе в систему запускали скрипт, который собирал их учётные данные.

Злоумышленники похитили эти данные, а затем стёрли следы своей активности и зашифровали файлы в системе, оставив записку с требованиями выкупа в каждой папке. Факт кражи означает, что пострадавшим пользователям теперь необходимо изменить свои пароли на всех сторонних сервисах, где использовались скомпрометированные учётные данные.

Эксперты Sophos отмечают, что группы, занимающиеся программами-вымогателями, продолжают изменять свои методы и расширять арсенал техник. Если преступники начнут систематически добывать учётные данные, хранящиеся на конечных устройствах, это может открыть новую опасную страницу в истории киберпреступности.