Conhecido como Qilin, o malware combina técnicas de roubo de credenciais com a infecção por ransomware. O ataque, detectado em julho de 2024, envolveu a infiltração na rede alvo por meio de credenciais comprometidas de um portal VPN que não utilizava autenticação multifator (MFA). Uma vez dentro do sistema, os hackers roubaram dados armazenados nos navegadores Google Chrome de um conjunto de endpoints comprometidos.

O diferencial desse ataque é o uso do roubo de credenciais em conjunto com a infecção por ransomware, o que pode levar a consequências graves. Após obter acesso à rede, os atacantes esperaram 18 dias antes de realizar ações pós-exploração. Durante esse período, eles alteraram a política de domínio padrão para introduzir um script PowerShell projetado para coletar dados de credenciais armazenados no Chrome. Esse script foi executado automaticamente sempre que um usuário fazia login, permitindo que os invasores coletassem informações sem que as vítimas percebessem.

Além do roubo de credenciais, os invasores exfiltraram os dados roubados e tomaram medidas para apagar evidências de sua atividade antes de criptografar os arquivos no sistema. Após a criptografia, uma nota de resgate foi deixada em todos os diretórios do sistema, exigindo pagamento para a recuperação dos dados. Os usuários afetados agora são obrigados a alterar suas credenciais de login para todos os sites e serviços de terceiros que utilizam. Esse ataque demonstra a contínua evolução das táticas dos grupos de ransomware, que estão expandindo suas técnicas para incluir a coleta de credenciais armazenadas em endpoints, o que pode abrir portas para novos ataques ou fornecer informações valiosas sobre alvos de alto valor, aumentando o risco de futuros incidentes de segurança.