Advisory

August 23, 2024

Deskripsi

1

     
  Qilin merupakan salah satu grup Ransomware yang tergolong aktif mulai Juli 2022. Ransomware ini sering melakukan double extortion terhadap korbannya dengan mencuri data korban, melakukan enkripsi sistem, dan mengancam akan mem-publish atau menjual data curian jika korban tidak mau membayar uang tebusan. Pada Juli 2024, tim Sophos X-Ops menemukan kemampuan baru dari ransomware ini yang dapat mencuri kredensial yang tersimpan pada browser Google Chrome di perangkat end-point.  
     

 

Metode Serangan

2

     
 
  1. Attacker menyusup ke dalam intranet organisasi melalui akses VPN yang tidak menggunakan pelindungan MFA.
  2. Melakukan lateral movement pada Active Directory (AD).
  3. Menjalankan script Powershell IPScanner.ps1 pada end-point yang terhubung ke AD untuk mencuri kredensial yang tersimpan di browser Chrome.
  4. Menghapus jejak dengan menghapus semua file dan log terkait.
  5. Melakukan enkripsi dan meninggalkan ransomnote.
 
     

 

Mitigasi

3

     
 
  1. Optimalkan fitur multifactor authentication (MFA) pada semua sistem dan aplikasi.
  2. Hindari menyimpan kredensial di dalam browser.
  3. Memastikan endpoint protection (seperti Antivirus) pada perangkat end-point yang digunakan telah aktif dan selalu diperbarui.
  4. Rutin melakukan backup data penting.
 
     

 

Contoh gambar yang dicuri oleh Ransomware Qilin

 

 Source

  1. https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/

 

 

 

Categories


Categories



Recent posts