Siber suçlu Qilin fidye yazılımı çetesi, fidye yazılımı saldırılarında riski artırıyor; yalnızca kurbanlarının verilerini çalmakla kalmıyor, aynı zamanda uç noktalarındaki Google Chrome tarayıcılarında depolanan kimlik bilgilerini de topluyor; bu daha önce hiç görülmemiş bir şey.
Yeni tekniği ilk ortaya çıkaran Sophos X-Ops araştırma ekibi tarafından “fidye yazılımı durumlarında zaten var olan kaos için bir bonus çarpanı” olarak tanımlanan, çalışanların güvenli olacakları izlenimi altında iş tarayıcılarında masumca sakladıkları kimlik bilgilerinin toptan çalınması ciddi bir endişe kaynağıdır. Gerçekten de, etkileri hedeflenen organizasyonun çok ötesine ulaşabilir.
Haziran 2024’te patoloji laboratuvar hizmetleri sağlayıcısı Synnovis’e saldırarak Londra’daki NHS genelinde kaosa neden olan Qilin, daha önce standart çift gasp tekniğini kullanmıştı ancak Temmuz 2024’te Sophos’un olay müdahale ekipleri, bir kurbanın Active Directory etki alanındaki tek bir etki alanı denetleyicisinde garip bir etkinlik tespit etti.
Çete ilk olarak çok faktörlü kimlik doğrulaması (MFA) olmayan bir VPN portalından alınan tehlikeye atılmış kimlik bilgileri aracılığıyla erişim elde etti. Ardından, 18 gün sonra, çalışanları bir etki alanı denetleyicisine yatay hareket etmeye başladı ve burada varsayılan etki alanı ilkesini düzenleyerek oturum açma tabanlı bir Grup İlkesi Nesnesi (GPO) tanıttılar.
Bunlardan ilki, etki alanı denetleyicisindeki paylaşılan NTFS dizinindeki geçici bir dizine yazılmış bir PowerShell betiğiydi. Bu 19 satırlık betik, Chrome’da depolanan kimlik bilgisi verilerini toplamaya çalıştı. İkinci öğe, ilkini yürütmek için komutları içeren bir toplu betikti. Bu kombinasyon, ağa bağlı makinelerde saklanan kimlik bilgilerinin sızdırılmasıyla sonuçlandı ve iki betik bir oturum açma GPO’sunda bulunduğu için, oturum açtığında her istemcide yürütülebildi.
X-Ops ekibi, Qilin’in görevlilerinin bunun fark edilmeyeceğinden o kadar emin göründüklerini söyledi ki GPO’yu üç gün boyunca aktif bıraktılar – kullanıcıların çoğunun cihazlarında oturum açması ve yanlışlıkla betiği tetiklemesi için yeterli bir zaman. Ayrıca, kimlik bilgisi verilerini içeren dosyalar gittiğinde, Qilin tüm dosyaları sildi ve hem etki alanı denetleyicisi hem de kullanıcı cihazları için olay günlüklerini temizledi. Ancak o zaman kurbanın dosyalarını şifrelemeye ve fidye notunu bırakmaya başladılar.
Sophos’tan Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia ve Robert Weiland’dan oluşan araştırma ekibi, Qilin’in bu şekilde Chrome’u hedeflemesinin doğal olduğunu söyledi; tarayıcı pazarının çoğunluk payına sahip ve Nisan 2024’te yapılan bir NordPass anketine göre ortalama bir kullanıcının yönetmesi gereken yaklaşık 90 iş şifresi var, kişisel şifrelerden bahsetmeye bile gerek yok.
!Bu tür bir başarılı uzlaşma, savunucuların yalnızca tüm Active Directory parolalarını değiştirmeleri gerektiği anlamına gelmez; aynı zamanda teoride, son kullanıcıların Chrome tarayıcısında kullanıcı adı-parola kombinasyonlarını kaydettikleri düzinelerce, potansiyel olarak yüzlerce üçüncü taraf sitesi için parolalarını değiştirmelerini talep etmeleri gerekir” diye yazdı ekip.
“Savunucuların elbette kullanıcıların bunu yapmasını sağlayacak hiçbir yolu yoktur. Son kullanıcı deneyimine gelince, şu anda neredeyse her internet kullanıcısı, kullanıcılarının verileri üzerinde kontrolünü kaybetmiş bir siteden en az bir ‘bilgileriniz ihlal edildi’ bildirimi almış olsa da, bu durumda durum tersine döndü – bir kullanıcı, düzinelerce veya yüzlerce ayrı ihlal.”
Fidye yazılımı çetelerinin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) sürekli olarak değiştirdikleri ve ne yazık ki repertuarlarını genişletme konusunda yetenekli yenilikçiler oldukları biliniyor.
Bu ışık altında, X-Ops ekibi, Qilin’in yaklaşık iki yıldır aktif olmasının ardından işleri değiştirmeye çalışmasının tamamen öngörülebilir olduğunu söyledi. Ancak, şu sonuca vardılar ki, eğer şu anda uç noktada depolanan kimlik bilgilerini araştırıyorlarsa, kendileri ve diğerleri takip eden hedeflere çok daha kolay bir şekilde ayak basabilir veya hedefli mızraklı kimlik avı saldırıları için ilgi duydukları kişiler hakkında yararlı bilgiler elde edebilirler.
Ekip, “Siber suçun devam eden hikayesinde karanlık bir yeni sayfa açılmış olabilir” dedi.
Şimdi ne yapacağım?
Google, Şifre Yöneticisi hizmetini kullanıcıların şifreleri hatırlamak veya tekrar kullanmak zorunda kalmadan cihazlar arasında sitelerde ve uygulamalarda oturum açmalarına yardımcı olan “zahmetsiz” bir yol olarak tanıtıyor. Bu özellik tüm platformlardaki Chrome’a ve her Android uygulamasına entegre edilmiştir.
Ancak, tarayıcı tabanlı parola yöneticileri güvenlikte son söz olmaktan uzaktır ve sıklıkla risk altında oldukları görülür. Bunu yapmak kullanıcılar için daha fazla sürtüşme yaratsa da, en iyi uygulama, geliştirme için endüstri en iyi uygulamalarını izleyen ve üçüncü bir tarafça test edilmiş ve güvence altına alınmış bir parola yöneticisi uygulaması kullanmaktır.
X-Ops ekibinin tanımladığı saldırı zincirinde, MFA etkili bir önleyici tedbir olurdu çünkü Qilin’in kurbanın sistemlerinden herhangi birine erişmesini muhtemelen engellemiş olurdu. İyi haber şu ki, MFA kullanımı işletmeler arasında artıyor, ancak benimseme seviyeleri KOBİ’ler arasında hala önemli ölçüde düşüyor.
Ekip, “Açıkça söylemek gerekirse, işletmelerin kendi güvenlikleri için – ve bu durumda diğer şirketlerin güvenliği için de – daha iyisini yapmaları gerekiyor” sonucuna vardı.
Computer Weekly, yorum almak için Google ile iletişime geçti ancak yayınlandığı sırada henüz bir yanıt alamadı.