Un nuovo ransomware prende di mira Google Chrome, fate attenzione
Il ransomware Qilin prende di mira gli endpoint connessi alla rete per estrarre i dati di Google Chrome
Il ransomware Qilin è stato avvistato mentre esfiltrava con successo dati sensibili memorizzati in Google Chrome.
I ricercatori di Sophos hanno rivelato come un gruppo criminale abbia utilizzato credenziali precedentemente compromesse per entrare nell'infrastruttura IT di un'organizzazione senza nome.
Le credenziali del browser erano relative a un portale direte privata virtuale (VPN), privo di autenticazione a più fattori (MFA) e quindi relativamente facile da raggiungere.
Furto di credenziali in massa
Sophos afferma che non è noto se la violazione iniziale sia stata effettuata da uno IAB (Initial Access Broker) e poi consegnata agli operatori del ransomware, o se tutto sia stato fatto da un'unica organizzazione.
In ogni caso, il gruppo si è soffermato per più di due settimane (18 giorni) prima di passare a un controller di dominio utilizzando le credenziali compromesse. Mentre i criminali sono stati individuati su un singolo controller di dominio all'interno del dominio Active Directory del loro obiettivo, altri controller di dominio in quel dominio AD sono stati infettati, hanno concluso i ricercatori. Tuttavia, sono stati colpiti in modo diverso.
Qilin è una classica operazione di ransomware che si impegna nel consueto attacco a doppia estorsione: ruba quante più informazioni possibili, prima di criptare il dispositivo compromesso e chiedere il pagamento in cambio della chiave di decriptazione. Tuttavia, ciò che rende questa operazione relativamente unica, sostengono i ricercatori, è il modo in cui prende di mira Google Chrome.
"Durante una recente indagine su una violazione del ransomware Qilin, il team Sophos X-Ops ha identificato un'attività dell'attaccante che ha portato al furto in massa delle credenziali memorizzate nei browser Google Chrome su un sottoinsieme di endpoint della rete, una tecnica di raccolta delle credenziali con potenziali implicazioni che vanno ben oltre l'organizzazione della vittima originale", hanno spiegato i ricercatori. "Si tratta di una tattica insolita, che potrebbe moltiplicare il caos già presente nelle situazioni di ransomware".
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
In altre parole, Qilin avrebbe raccolto le credenziali salvate nei browser Chrome su macchine connesse alla stessa rete di quella inizialmente compromessa.
I criminali informatici continuano a evolvere le loro tattiche, conclude Sophos, sottolineando che le organizzazioni devono affidarsi maggiormente ai gestori di password e assicurarsi di attivare l'MFA ogni volta che è possibile, per ridurre al minimo le possibilità di cadere in trappola.
Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.