Ostrzeżenie przed ransomware
Grupa ransomware o nazwie Qilin, która w czerwcu 2024 roku przeprowadziła cyberatak na brytyjskie szpitale, teraz jest również odpowiedzialna za kradzież haseł przechowywanych w przeglądarce Google Chrome. Według badaczy z Sophos X-Ops, to działanie jest nietypowe dla grup ransomware, co sugeruje zmieniające się strategie cyberprzestępców.
Qilin to stosunkowo nowa grupa, aktywna od ponad dwóch lat, która zyskała rozgłos po ataku na Synnovis, dostawcę usług dla brytyjskiej służby zdrowia. Dotychczas stosowali oni metodę podwójnego wymuszenia, polegającą na kradzieży danych, szyfrowaniu systemów i grożeniu ujawnieniem lub sprzedażą skradzionych informacji, jeśli okup nie zostanie zapłacony. Jednak w najnowszym ataku, badanym przez Sophos, Qilin nie tylko przeprowadził atak ransomware, ale także skradł dane uwierzytelniające z urządzeń ofiar. Grupa skoncentrowała się na przeglądarce Google Chrome, z której korzysta ponad 65 proc. użytkowników Internetu.
– Kradzież danych uwierzytelniających to jedna z najskuteczniejszych metod infiltracji systemów przez cyberprzestępców. Według naszego raportu Active Adversary, stanowiła ona główną przyczynę ataków w pierwszej połowie 2024 roku i odegrała znaczną rolę w wielu głośnych przypadkach naruszenia bezpieczeństwa danych, które widzieliśmy w tym roku. Qilin poszedł o krok dalej, pozyskując informacje z przeglądarek Google Chrome, w których użytkownicy często przechowują hasła do różnych kont. To czyni te dane niezwykle cennymi dla cyberprzestępców – tłumaczy Christopher Budd, dyrektor ds. badań nad zagrożeniami w Sophos X-Ops.
Kradzież danych uwierzytelniających to jeden z najpoważniejszych scenariuszy w dziedzinie cyberbezpieczeństwa. Kiedy przestępcy zdobywają hasła i loginy, mogą przejąć kontrolę nad kontami bankowymi, e-mailami, profilami w mediach społecznościowych, a nawet nad infrastrukturą IT firmy. To zazwyczaj prowadzi do kradzieży tożsamości, oszustw finansowych i wycieku wrażliwych informacji, co może wiązać się z poważnymi stratami finansowymi.
Co więcej, skradzione dane są często wykorzystywane do dalszych ataków lub sprzedawane na czarnym rynku. Nawet osoby, które nie były bezpośrednio zaatakowane, mogą być zagrożone, jeśli ich dane zostaną użyte w innych działaniach przestępczych.
Zarówno firmy, jak i osoby prywatne powinny korzystać z aplikacji do zarządzania hasłami, które są zgodne z najlepszymi praktykami branżowymi i regularnie testowane przez niezależne jednostki. Korzystanie z menedżera haseł wbudowanego w przeglądarkę nie jest bezpiecznym rozwiązaniem, jak pokazuje ostatni incydent.
Grupy ransomware ciągle dostosowują swoje taktyki, aby obejść istniejące zabezpieczenia. Dlatego ważne jest, aby zrozumieć zmieniające się strategie cyberprzestępców i odpowiednio dostosować środki ochrony.