Rançongiciel Qilin : une nouvelle méthode pour exfiltrer les identifiants et mots de passe

Mode opératoire

Les opérateurs du rançongiciel ont accédé au réseau cible en utilisant des identifiants compromis, notamment via un portail VPN dépourvu d'authentification multi-facteur (MFA). Dix-huit jours après les premières connexions, les attaquants ont effectué des mouvements latéraux vers un contrôleur de domaine à l'aide d'autres identifiants volés. 

Une fois sur ce contrôleur, les attaquants ont modifié une stratégie de groupe (GPO) pour y ajouter deux scripts. Le premier, développé en PowerShell, permet de collecter les identifiants stockés dans le navigateur Chrome. Le second, un script batch, permet d’exécuter ce script PowerShell à chaque connexion des utilisateurs sur les machines compromises. 

Lors de cette campagne, la stratégie GPO a été active durant 3 jours, permettant de collecter et exfiltrer de nombreux identifiants et mots de passe. Cela implique que les victimes doivent non seulement changer leurs mots de passe Active Directory mais aussi tous les mots de passe enregistrés sur leur navigateur.

Une fois les identifiants exfiltrés, les attaquants ont supprimé les fichiers, ainsi que les journaux d'événements des machines et du contrôleur de domaine, complexifiant toute analyse forensique. L’attaque se termine avec le chiffrement des systèmes compromis, ainsi que le partage d’une note de rançon. 

Recommandations

Il est recommandé de ne pas enregistrer ses mots de passe dans son navigateur, mais d'utiliser des gestionnaires de mots de passe sécurisés, et implémenter l'authentification multi-facteur (MFA) pour limiter le risque en cas de vol d’identifiants. 

Pour rappel, le CERT Santé met à disposition de ses bénéficiaires une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.