Các chuyên gia phát hiện hoạt động của nhóm ransomware Qilin, triển khai mã độc tùy chỉnh để đánh cắp thông tin đăng nhập lưu trữ trong trình duyệt Google Chrome.

Cuộc tấn công bắt đầu với việc Qilin truy cập vào mạng bằng thông tin đăng nhập đánh cắp từ cổng VPN. Sau đó, hacker di chuyển ngang sang bộ điều khiển miền (domain controller) và sửa đổi GPO (Group Policy Objects) để thực thi tập lệnh nhằm thu thập thông tin xác thực lưu trữ trong Google Chrome.

Sau khi gửi các tệp đến máy chủ C&C của Qilin, các bản sao cục bộ và log sự kiện liên quan sẽ bị xóa để che giấu hoạt động độc hại. Cuối cùng, Qilin triển khai payload ransomware và mã hóa dữ liệu trên các máy bị xâm nhập.

Một GPO khác và một tệp batch riêng biệt (‘run.bat’) cũng được sử dụng để tải xuống và thực thi ransomware trên tất cả các máy trong miền.

Để giảm thiểu nguy cơ lây nhiễm Qilin, các tổ chức được khuyến cáo áp dụng chính sách cấm lưu trữ thông tin bí mật trên trình duyệt web. Ngoài ra, việc triển khai xác thực đa yếu tố là chìa khóa để bảo vệ tài khoản khỏi bị tấn công, ngay cả trong trường hợp thông tin đăng nhập bị xâm phạm. Cuối cùng, áp dụng các nguyên tắc về phân quyền tối thiểu và phân đoạn mạng để góp phần cản trở việc lây lan trên mạng khi bị xâm nhập.

Nguồn: Bleeping Computer