Allarme: un nuovo ransomware minaccia i dati di Google Chrome
Il ransomware Qilin può estrarre i dati di Chrome dagli endpoint connessi alla rete
La variante del ransomware Qilin è stata avvistata mentre esfiltrava con successo dati sensibili memorizzati nel browser Google Chrome .
Nel suo articolo, i ricercatori di Sophos hanno rivelato come un gruppo criminale abbia utilizzato credenziali precedentemente compromesse per entrare nell'infrastruttura IT di un'organizzazione senza nome. Le credenziali erano relative a un portale di rete privata virtuale (VPN), privo di autenticazione a più fattori (MFA) e quindi relativamente facile da raggiungere.
Non è noto se la violazione iniziale sia stata effettuata da un Initial Access Broker (IAB) e poi consegnata agli operatori del ransomware, o se tutto sia stato fatto da un'unica organizzazione.
Furto di credenziali in massa
In ogni caso, il gruppo si è soffermato per più di due settimane (18 giorni) prima di spostarsi lateralmente verso un controller di dominio utilizzando le credenziali compromesse. Mentre i criminali sono stati individuati su un singolo controller di dominio all'interno del dominio Active Directory del loro obiettivo, altri controller di dominio in quel dominio AD sono stati infettati, hanno concluso i ricercatori. Tuttavia, sono stati colpiti in modo diverso.
Qilin è una classica operazione di ransomware che si impegna nel consueto attacco a doppia estorsione: ruba quante più informazioni possibili, prima di criptare il dispositivo compromesso e chiedere il pagamento in cambio della chiave di decriptazione. Tuttavia, ciò che rende questa operazione relativamente unica, sostengono i ricercatori, è il modo in cui prende di mira Google Chrome.
"Durante una recente indagine su una violazione del ransomware Qilin, il team Sophos X-Ops ha identificato un'attività dei criminali che ha portato al furto in massa delle credenziali memorizzate nei browser Google Chrome su un sottoinsieme di endpoint della rete, una tecnica di raccolta delle credenziali con potenziali implicazioni che vanno ben oltre l'organizzazione della vittima originale", hanno spiegato i ricercatori. "Si tratta di una tattica insolita, che potrebbe moltiplicare il caos già presente nelle situazioni di ransomware".
In altre parole, Qilin avrebbe raccolto le credenziali salvate nei browser Chrome su macchine connesse alla stessa rete di quella inizialmente compromessa.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
I criminali informatici continuano a evolvere le loro tattiche, conclude Sophos, sottolineando che le organizzazioni devono affidarsi maggiormente ai gestori di password e assicurarsi di attivare l'MFA ogni volta che è possibile, per ridurre al minimo le possibilità di cadere in trappola.
Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.