Ransomware : Qilin se donne les moyens de rebondir d’une victime à l’autre

Le vol d’identifiants stockés par le navigateur Web est une spécialité des infostealers. Ces données peuvent être ensuite utilisées pour établir un accès initial au système d’information d’une victime en devenir. Mais récemment, les équipes de Sophos ont observé un acteur lié à l’enseigne Qilin chercher à faire de même sur l’environnement de leur victime.

L’affaire commence comme un grand nombre de cyberattaques avec ransomware : « l’attaquant a obtenu un accès initial à l’environnement via des identifiants compromis », utilisés contre un serveur VPN SSL sur lequel la MFA n’était pas déployée. 

Quelque 18 jours après l’accès initial, l’assaillant a commencé à être effectivement actif, se déplaçant latéralement jusqu’à réussir à élever ses privilèges pour mettre la main sur un contrôleur de domaine Active Directory. Là encore, rien que de très classique. C’est après que la situation prend une tournure inhabituelle.

« Une fois que l’attaquant a accédé au contrôleur de domaine en question, il a modifié la stratégie de domaine par défaut pour introduire un objet de stratégie de groupe (GPO) basé sur la connexion, contenant deux éléments », rapportent les équipes de Sophos dans un billet de blog.

Le premier est un script PowerShell, nommé IPScanner.ps1, « écrit dans un répertoire temporaire au sein du partage SYSVOL (SYStem VOLume) (le répertoire NTFS partagé situé sur chaque contrôleur de domaine à l’intérieur d’un domaine Active Directory) sur le contrôleur de domaine concerné ». 

Ce script contient « 19 lignes chargées de récupérer les données d’identification stockées dans le navigateur Chrome ».

Le second élément est un script batch contenant les commandes permettant d’exécuter le premier script à l’ouverture de session sur n’importe quelle machine rattachée au domaine.

Le GPO en question est resté actif durant 3 jours. De quoi affecter une importante part des utilisateurs finaux de l’organisation concernée. Et, « pour rendre l’évaluation de l’ampleur de la compromission plus difficile, une fois les fichiers contenant les identifiants récupérés volés et exfiltrés, l’attaquant a supprimé tous les fichiers et effacé les journaux d’événements, à la fois sur le contrôleur de domaine et sur les machines infectées ».

L’impact d’une telle compromission peut s’avérer considérable, pour l’organisation touchée, comme pour ses collaborateurs, mais également ses partenaires : « une compromission réussie de ce type signifierait que non seulement les défenseurs doivent changer tous les mots de passe d’Active Directory, mais ils devraient également (en théorie) demander aux utilisateurs finaux de changer leurs mots de passe pour des dizaines, voire des centaines de sites tiers pour lesquels les utilisateurs ont enregistré leurs combinaisons nom d’utilisateur-mot de passe dans le navigateur Chrome ».

Une autre illustration de la manière dont la frontière entre personnel et professionnel s’efface en cas de vol d’identifiants stockés dans un navigateur.

C’est en août 2022 que le rançongiciel Agenda, utilisé par l’enseigne cybercriminelle Qilin, a commencé à être documenté. Sa première victime était revendiquée deux mois plus tard. À ce jour, plus de 160 d’entre elles ont été publiquement revendiquées, dont, en France, le cabinet d’architecture Jean Nouvel, le 17 avril, et plus récemment DT Group, spécialiste des outils de serrage.  

Les opérateurs de l’enseigne Qilin semblent donc compter parmi les – encore rares – acteurs s’attachant à la confidentialité et à la sérénité de leurs échanges avec leurs victimes, recourant à des pratiques également observées chez Royal. LeMagIT a toutefois pu consulter l’interface Web dédiée aux conversations avec Qilin.