Qilin 랜섬웨어 변종이 Google Chrome 브라우저에 저장된 민감한 데이터를 성공적으로 유출하는 것이 발견됨.
Sophos의 연구자들은 범죄 집단이 다수의 침해된 자격 증명을 사용하여 이름이 밝혀지지 않은 조직의 IT 인프라에 침입한 방법을 설명함. 자격 증명은 다중 인증(MFA)이 없는 가상 사설망(VPN) 포털에 대한 것이었으며, 따라서 접근하기가 상대적으로 쉬웠음.
초기 침해가 초기 접근 브로커(IAB)에 의해 이루어졌는지, 아니면 모든 것이 단일 조직에 의해 수행되었는지는 불확실함.
대량 자격 증명 도난
어쨌든 이 그룹은 침해된 자격 증명을 사용하여 도메인 컨트롤러로 옮기기 전에 18일 동안 대기함. 범죄자들은 목표의 Active Directory 도메인 내의 단일 도메인 컨트롤러에서 발견되었지만, 연구자들은 다른 도메인 컨트롤러도 감염되었음을 결론지음. 그러나 이들은 다르게 영향을 받았음.
Qilin은 일반적인 이중 강탈 공격을 수행하는 고전적인 랜섬웨어 작전임 - 먼저 가능한 한 많은 정보를 훔친 다음, 침해된 장치를 암호화하고 복호화 키에 대한 대가로 지불을 요구함. 그러나 연구자들이 주장하는 바에 따르면, 이 작전이 상대적으로 독특한 점은 Google Chrome을 표적으로 삼는 방식임.
“최근 Qilin 랜섬웨어 침해 조사 중, Sophos X-Ops 팀은 네트워크의 일부 엔드포인트에서 Google Chrome 브라우저에 저장된 자격 증명의 대량 도난으로 이어지는 공격자 활동을 확인함 - 이는 원래 피해자의 조직을 넘어서는 잠재적 함의가 있는 자격 증명 수집 기술임,” 연구자들은 설명함. “이것은 비정상적인 전술이며, 랜섬웨어 상황에서 이미 내재된 혼란에 대한 보너스 배수기가 될 수 있음.”
다시 말해, Qilin은 처음 침해된 장치와 동일한 네트워크에 연결된 기기에서 Chrome 브라우저에 저장된 자격 증명을 수집함.
Sophos는 사이버 범죄자들이 전술을 계속 발전시키고 있다고 결론지으며, 조직들이 비밀번호 관리자를 더 많이 사용하고 가능한 경우 MFA를 활성화하여 피해를 입을 가능성을 최소화해야 한다고 강조함.
