Chrome est dans le viseur des cybercriminels de Qilin, un gang spécialisé dans les attaques par ransomware. Les chercheurs de Sophos ont en effet découvert « un vol massif d’informations d’identification » par le biais du navigateur web, perpétré par les hackers du groupe.
À lire aussi : Une cyberattaque frappe Londres – « un confinement » contre les ransomwares en cours
Le hack de Chrome
Comme l’explique Sophos, Qilin a piraté le laboratoire Synnovis, un fournisseur de services de pathologie basé à Londres, qui collabore avec plusieurs hôpitaux londoniens, en juin dernier. Dans un premier temps, les pirates ont obtenu un accès au système grâce à des informations d’identification volées à un service de VPN. Ces données ont permis aux hackers de s’infiltrer sans effort dans la plateforme de Synnovis. Sophos précise que le portail VPN avait négligé de configurer l’authentification à deux facteurs. Ce mécanisme met pourtant des bâtons dans les roues des attaquants. Malheureusement, cette précaution est trop souvent négligée. Comme souvent, toute l’attaque repose sur des données compromises et une négligence.
Plus de quinze jours après son incursion, Qilin a commencé à se déplacer à l’intérieur du système en essayant d’accéder à d’autres parties du réseau, notamment un contrôleur de domaine, un serveur crucial qui gère l’accès des utilisateurs et des ordinateurs à un réseau. L’attaquant a alors changé les règles par défaut du domaine afin de déployer un script conçu pour tenter de collecter les données d’identification stockées dans le navigateur Chrome des utilisateurs du réseau. Au terme de l’opération, Qilin a dérobé une montagne de données, incluant des mots de passe.
Un exemple de double extorsion
Ensuite, Qilin a effacé les copies locales des fichiers ou les sauvegardes sur les systèmes infectés. En supprimant ces copies, les attaquants empêchent les victimes de restaurer facilement leurs données, ce qui leur donne plus de poids dans le cadre des négociations. Ils effacent également leurs traces dans la foulée. Les hackers ont alors lancé leur ransomware, chiffrant toutes les autres informations du laboratoire. Une note de rançon est glissée sur l’appareil sur lequel il s’exécute, indique Sophos.
« Nous avons téléchargé des données compromettantes et sensibles de votre système/réseau.
Notre groupe coopère avec les médias de masse. Si vous refusez de communiquer avec nous et que nous ne parvenons pas à un accord, vos données seront examinées et publiées sur notre blog », menace Qilin dans la lettre de rançon.
Actif depuis deux ans, Qilin s’est en effet spécialisé dans la double extorsion. Dans le cadre de ce type d’attaques, les cybercriminels ne se contentent pas de chiffrer les fichiers. Ils vont voler les données et les exfiltrer avant de boucler l’offensive. S’ils n’obtiennent pas la rançon exigée, ils menacent de divulguer ces données volées sur le dark web ou de s’en servir pour mener d’autres attaques. La stratégie maximise la pression exercée sur les victimes. Dans ce cas-ci, Qilin avait d’ailleurs l’avantage d’avoir subtilisé des données sensibles, comme les « données personnelles des employés, CV, permis de conduire, numéros de sécurité sociale », la « cartographie complète du réseau, y compris les identifiants pour les services locaux et distants », et « des informations financières, y compris les données des clients, factures, budgets, rapports annuels, relevés bancaires ». C’est pourquoi Qilin a réclamé 50 millions de dollars au laboratoire Synnovis.
L’évidence Chrome
Comme le souligne Sophos, il n’est pas étonnant que Qilin a choisi Chrome en guise de vecteur d’exfiltration des données. Chrome reste le navigateur web le plus utilisé dans le monde, avec plus de 75% des parts du marché, selon une étude de Kinsta. C’est « statistiquement le choix le plus susceptible de renvoyer une récolte de mots de passe abondante ».
Cette stratégie est plutôt inhabituelle pour les pirates spécialisés dans l’extorsion. Cependant, elle s’est avérée particulièrement redoutable lors de l’affaire Synnovis. En effet, une seule intrusion est susceptible d’aboutir au vol d’une multitude d’informations relatives à d’autres services. Avec une seule attaque, les cybercriminels se retrouvent en possession d’une montagne de données précieuses.
« Les groupes de ransomware continuent de changer de tactique et d’élargir leur répertoire de techniques », met en garde le rapport de Sophos, craignant que la tactique ouvre « un nouveau chapitre sombre » dans l’histoire de la cybercriminalité.
En cas d’intrusion, Sophos recommande « de demander aux utilisateurs finaux de changer leurs mots de passe pour des dizaines, potentiellement des centaines, de sites tiers pour lesquels ils ont enregistré leurs combinaisons nom d’utilisateur-mot de passe dans le navigateur Chrome ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Sophos
