Các nhà nghiên cứu từ Công ty an ninh mạng Sophos (Anh) đã phát hiện ra một diễn biến đáng lo ngại. Sau khi lây nhiễm vào mạng, ransomware Qilin đã đánh cắp dữ liệu truy cập từ trình duyệt web Google Chrome trên các điểm truy cập cuối để có thể xâm nhập vào các hệ thống và dịch vụ khác, theo Heise.
Theo báo cáo phân tích của các chuyên gia từ Sophos, những kẻ tấn công đã sử dụng dữ liệu truy cập VPN để có được quyền truy cập trái phép vào mạng trong sự cố được điều tra vào tháng 7 năm nay. Các chuyên gia giải thích rằng việc thiếu xác thực đa yếu tố là nguyên nhân gây ra sự xâm nhập ban đầu. Sự xâm nhập cũng có thể được thực hiện bởi một IAB (Initial Access Broker), tức là một nhóm tội phạm chuyên đột nhập vào mạng và bán quyền truy cập cho các tác nhân độc hại khác.
Với thông tin xác thực bị xâm phạm, những kẻ tấn công sẽ có thể truy cập được vào bộ điều khiển miền (DC) trong Active Directory (AD) sau 18 ngày "ngủ đông". Sau khi chiếm được quyền xâm nhập, mã độc sẽ thực hiện thao túng bằng cách triển khai Group Policy Objects (GPO) để tự động hóa các quy trình trên toàn mạng. Một tập lệnh Powershell có tên là IPScanner.ps1, chứa một tập các câu lệnh có 19 dòng sẽ được tạo ra để thu thập thông tin xác thực từ trình duyệt web Google Chrome.
Một tập lệnh thứ 2 được tạo ra với tên logon.bat chứa các lệnh để thực thi tập lệnh đầu tiên. Sự kết hợp này dẫn đến việc thu thập thông tin xác thực từ trình duyệt web Chrome từ các điểm cuối của mạng. Mọi máy trên mạng đều thực thi các tập lệnh này khi đăng nhập.
Sau khi xâm nhập, Ransomware Qilin sẽ tự động tạo ra các file IPScanner.ps1, một cơ sở dữ liệu SQLite và một tệp văn bản có tên là temp.log. Các tệp này được sao chép vào một file chia sẻ có tên SYSVOL mới được tạo trên bộ điều khiển miền, phản ánh tên máy chủ của thiết bị mà các tập lệnh đang chạy.
Trong khi đó, Group Policy Objects vẫn hoạt động trong ba ngày, khiến phần mềm độc hại lây lan và chạy trên nhiều máy, mỗi khi người dùng đăng nhập.
Sau khi thông tin đăng nhập bị đánh cắp và gây rò rỉ bởi những kẻ tấn công, chúng sẽ xóa các tệp và xóa nhật ký hoạt động của cả bộ điều khiển miền và các điểm cuối của mạng. Sau khi xóa sạch bằng chứng về lịch sử hoạt động, kẻ tấn công sẽ mã hóa các tệp và để lại ghi chú đòi tiền chuộc.
Việc sử dụng trình quản lý mật khẩu trong trình duyệt web Chrome cho phép những kẻ tấn công có được thêm dữ liệu truy cập vào các dịch vụ. Vì vậy việc sử dụng trình quản lý mật khẩu như Bitwarden, có thể được quản lý tập trung trong các công ty và sử dụng mà không cần lưu trữ dữ liệu trên đám mây, là một biện pháp tốt hơn được khuyến nghị. Việc sử dụng passkey cũng giúp ngăn chặn tội phạm mạng thu thập dữ liệu truy cập có thể sử dụng.