Le groupe de ransomware Qilin a déployé une nouvelle tactique pour voler les identifiants stockés dans Google Chrome. Les techniques de récupération d'identifiants élargissent considérablement la portée des ransomwares et le nombre d'attaques potentielles à l'avenir.
Comment le groupe de ransomware Qilin vole-t-il les informations d'identification stockées dans Google Chrome ?
Le groupe de ransomware Qilin est actif depuis plus de deux ans. Il est donc parfaitement conscient des vulnérabilités potentielles des grands réseaux.
L'attaque dans son ensemble a duré 18 jours, a indiqué l'équipe Sophos X-Ops qui a découvert les vecteurs et les modules d'attaque. Cela suggère fortement que Qilin a peut-être acheté des identifiants de connexion et d'authentification compromis pour un grand réseau auprès d'un Initial Access Broker (IAB).
En restant indétectable pendant 18 jours, Qilin aurait cartographié le réseau, identifié des actifs critiques et effectué une reconnaissance. Par la suite, en utilisant ses connaissances mal acquises, le groupe Qilin aurait accédé à un contrôleur de domaine au sein du domaine Active Directory (AD) de la cible. Ils ont ensuite déployé une nouvelle technique de collecte d'informations d'identification à l'intérieur de celui-ci.
En modifiant la stratégie de domaine par défaut, le groupe pouvait accéder à un objet de stratégie de groupe (GPO) basé sur la connexion. Celui-ci contenait un script PowerShell qui collectait les informations d'identification enregistrées dans les installations du navigateur Chrome sur les ordinateurs des victimes.
Comment se protéger des nouvelles méthodes de cyberattaque ?
Le groupe de ransomware Qilin est connu pour ses tactiques de double extorsion. Le groupe vole des données, crypte les systèmes, puis menace de diffuser les données sur Internet ou de les vendre si la rançon n'est pas payée. La dernière technique en date indique cependant que le groupe pourrait s'être diversifié.
Cette nouvelle technique est dévastatrice, principalement parce que Google Chrome domine actuellement le marché des navigateurs. Des recherches récentes sur la cybersécurité ont montré qu'un internaute moyen stocke environ 87 mots de passe professionnels et bien plus de mots de passe personnels dans son navigateur.
En accédant aux identifiants stockés, le groupe de ransomware Qilin pourrait considérablement étendre sa portée, sa portée et son impact. Un seul utilisateur compromis pourrait diriger ce groupe vers plusieurs plateformes tierces et compromettre leurs défenses avec des identifiants de connexion.
L’une des techniques de prévention les plus évidentes consisterait à ne plus stocker les mots de passe dans les navigateurs Web. Les utilisateurs pourraient s’appuyer sur des plateformes tierces à cet effet.
En fonction des méthodes d'attaque, les internautes peuvent également se protéger en évitant les services VPN aux antécédents douteux. Enfin, les utilisateurs doivent opter pour l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) dans la mesure du possible.
