칠린(Qilin) 랜섬웨어 그룹이 최근 사이버 공격에서 매우 위험한 새로운 전술을 사용하고 있는 것으로 드러났다. 이번 공격에서 이들은 네트워크 내에서 저장된 구글 크롬 브라우저의 자격 증명을 대량으로 수집하는 것을 목적으로 하고 있고, 이는 이전의 랜섬웨어 공격에서 거의 관찰되지 않은 전술이다.

2024년 7월, 소포스(Sophos)는 이 공격을 처음으로 발견했다. 칠린은 다중 인증(MFA)이 없는 VPN 포털의 자격 증명을 탈취하여 네트워크에 접근했다. 그 후 18일 동안 네트워크를 매핑하고 중요한 자산을 파악한 것으로 추정된다. 이후 공격자는 도메인 컨트롤러로 이동하여, 모든 디바이스에 파워쉘 스크립트 'IPScanner.ps1'을 실행하도록 하는 그룹 정책 개체(GPO)를 설정했다. 이 스크립트는 크롬 브라우저에 저장된 자격 증명을 수집하도록 설계되었으며, 사용자가 로그인할 때마다 반복적으로 실행되었다.

공격자들은 이틀에 걸쳐 여러 엔드포인트에서 대량의 자격 증명을 탈취했다. 이후 탈취된 자격 증명은 공격자의 명령 및 제어 서버로 전송되었고, 스크립트와 로그 파일의 모든 흔적이 삭제되어 흔적을 감추었다. 자격 증명을 확보한 후 칠린은 랜섬웨어 페이로드를 배포하고 네트워크 전반의 데이터를 암호화한 후 몸값을 요구했다.

이 공격은 칠린과 같은 랜섬웨어 그룹이 어떻게 점점 더 정교해지고 적응력을 키우고 있는지를 잘 보여준다. 이들은 이제 브라우저에 저장된 자격 증명을 추가적인 협상 카드로 사용하고 있다. 이러한 전략의 영향은 광범위하며, 이는 다른 조직에 대한 후속 공격과 표적에 대한 추가적인 착취로 이어질 수 있다. 각별히 주의해야 한다.