La banda de cibercriminales Qilin parece estar aumentando las apuestas en sus ataques de ransomware, robando no solo los datos de sus víctimas, sino también las credenciales almacenadas en los navegadores Google Chrome de sus terminales, algo que nunca antes se había observado. Descrito como un «multiplicador de bonificación para el caos ya inherente a las situaciones de ransomware» por el equipo de investigación de Sophos X-Ops que descubrió por primera vez la novedosa técnica, el robo al por mayor de credenciales que los empleados han almacenado inocentemente en sus navegadores de trabajo bajo la impresión de que estarán a salvo es motivo de gran preocupación. De hecho, las implicaciones podrían llegar mucho más allá de la organización atacada. Qilin, que atacó más famosamente al proveedor de servicios de laboratorio de patología Synnovis en junio de 2024, causando caos en todo el NHS de Londres, había utilizado anteriormente la técnica estándar de doble extorsión, pero en julio de 2024, los respondedores de incidentes de Sophos detectaron una actividad extraña en un solo controlador de dominio dentro del dominio de Active Directory de una víctima. La banda obtuvo acceso primero a través de credenciales comprometidas tomadas de un portal VPN que carecía de autenticación multifactor (MFA). Luego, 18 días después, sus agentes comenzaron a realizar movimientos laterales a un controlador de dominio, donde editaron la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en el inicio de sesión. El primero de ellos fue un script de PowerShell que se escribió en un directorio temporal dentro del directorio NTFS compartido en el controlador de dominio. Este script de 19 líneas intentó recolectar datos de credenciales almacenados en Chrome. El segundo elemento fue un script por lotes que contenía los comandos para ejecutar el primero. La combinación resultó en la exfiltración de credenciales guardadas en máquinas conectadas a la red y, debido a que los dos scripts estaban contenidos en un GPO de inicio de sesión, pudieron ejecutarse en cada cliente cuando inició sesión. El equipo de X-Ops dijo que los agentes de Qilin parecían tan seguros de que esto no se notaría que dejaron el GPO activo durante tres días, tiempo suficiente para que la mayoría de los usuarios iniciaran sesión en sus dispositivos y activaran el script sin darse cuenta. Además, una vez que desaparecieron los archivos que contenían los datos de las credenciales, Qilin eliminó todos los archivos y borró los registros de eventos tanto del controlador de dominio como de los dispositivos del usuario. Solo entonces comenzaron a cifrar los archivos de la víctima y dejaron su nota de rescate. El equipo de investigación, compuesto por Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland de Sophos, dijo que era natural que Qilin hubiera apuntado a Chrome de esta manera: tiene una participación mayoritaria del mercado de navegadores y, según una encuesta de NordPass de abril de 2024, el usuario promedio tiene casi 90 contraseñas relacionadas con el trabajo, sin mencionar las personales, para administrar. «Un compromiso exitoso de este tipo significaría que no solo los defensores deben cambiar todas las contraseñas de Active Directory; también deberían, en teoría, solicitar que los usuarios finales cambien sus contraseñas para docenas, potencialmente cientos, de sitios de terceros para los que los usuarios han guardado sus combinaciones de nombre de usuario y contraseña en el navegador Chrome», escribió el equipo. «Los defensores, por supuesto, no tendrían forma de obligar a los usuarios a hacerlo. En cuanto a la experiencia del usuario final, aunque prácticamente todos los usuarios de Internet en este momento han recibido al menos un aviso de «su información ha sido vulnerada» de un sitio que ha perdido el control de los datos de sus usuarios, en esta situación es al revés: un usuario, docenas o cientos de vulneraciones separadas». Por supuesto, se sabe que las bandas de ransomware cambian continuamente sus tácticas, técnicas y procedimientos (TTP) y son, lamentablemente, innovadores competentes cuando se trata de expandir su repertorio. En vista de esto, dijo el equipo de X-Ops, que Qilin buscara cambiar las cosas después de haber estado activo durante aproximadamente dos años era completamente predecible. Sin embargo, concluyeron que, si ahora están extrayendo credenciales almacenadas en puntos finales, ellos y otros podrían poner un pie en la puerta con mucha más facilidad para seguir con los objetivos u obtener información útil sobre personas de interés para ataques de phishing dirigidos. «Puede que se haya abierto un nuevo y oscuro capítulo en la historia actual del cibercrimen», dijo el equipo. ¿Qué hago ahora? Google promociona su servicio Password Manager como una forma «sencilla» de ayudar a los usuarios a iniciar sesión en sitios y aplicaciones en todos los dispositivos sin necesidad de recordar o reutilizar contraseñas. La función está integrada en Chrome en todas las plataformas y también en todas las aplicaciones de Android. Sin embargo, los administradores de contraseñas basados ​​en navegador están lejos de ser la última palabra en seguridad y, a menudo, se descubre que corren riesgos. Aunque hacerlo agrega más fricción para los usuarios, la mejor práctica es utilizar una aplicación de administración de contraseñas, teniendo cuidado de seleccionar una que siga las mejores prácticas de la industria para el desarrollo y que haya sido probada y garantizada por un tercero. En la cadena de ataque descrita por el equipo de X-Ops, MFA habría sido una medida preventiva eficaz, ya que probablemente habría impedido que Qilin obtuviera acceso a cualquiera de los sistemas de la víctima. La buena noticia es que el uso de MFA está aumentando entre las empresas, pero los niveles de adopción aún caen drásticamente entre las pymes. «Hablando sin rodeos, las empresas deben hacerlo mejor, por su propia seguridad y, en este caso, también por la seguridad de otras empresas», concluyó el equipo. Computer Weekly se puso en contacto con Google para solicitar comentarios, pero no recibió respuesta al momento de la publicación.