נתונים רגישים המאוחסנים ב-Google Chrome הועברו בהצלחה באמצעות תוכנת כופר Qilin הודות לכמה אישורי VPN שנפגעו.
גניבת הנתונים התגלתה על ידי חברת האבטחה Sophos במהלך חקירה של פרצות נתונים אחרונות הקשורות ל-Qilin כופר.
במתקפת הסייבר נגנבו כמות גדולה של אישורים מדפדפני גוגל כרום, מה שמראה שאפילו ה-VPN הטוב ביותר לא יכול לשמור על בטיחותך אם אינך פועל לפי נוהלי אבטחת סייבר טובים.
איך קרתה גניבת הנתונים?
ההאקרים הצליחו להשתמש באישורי התחברות שנפגעו עבור פורטל VPN כדי לקבל גישה לסביבה. בפורטל ה-VPN האמור לא הופעל אימות רב-גורמי (MFA).
לאחר שהשיג גישה לסביבה, ההאקר המתין 18 ימים לפני שהגדיל את הפעילות שלו במערכת, ועבר לרוחב על פניה באמצעות אישורים שנפגעו כדי לגשת לבקר תחום.
לאחר שתוקף הסייבר השיג גישה לבקר התחום הזה, הם ערכו את מדיניות ברירת המחדל של הדומיין שלו כדי להציג לו קוד זדוני, כולל סקריפט ספציפי שאסף נתוני אישורים המאוחסנים ב-Google Chrome. לאחר מכן הם פרסו סקריפט שני שהנחה את בקרת הדומיין לבצע את הסקריפט הראשון, מה שאיפשר להם לאסוף את כל האישורים שנשמרו בדפדפני Google Chrome של מכונות המחוברות לרשת. סקריפטים אלו יכלו להתבצע בכל מחשב לקוח שנכנס לרשת.
זה ככל הנראה הוביל לגניבת כמות גדולה של סיסמאות. זה גם אומר שהנתונים שנפרצו עבור כל דפדפן כרום בנפרד עלולים להוביל למאות פרצות נתונים בודדות, במיוחד מכיוון שלאדם הממוצע יש 225 סיסמאות לכניסות עסקיות ואישיות כאחד. אם אחת מהסיסמאות הללו חוזרת על עצמה בכניסות שלא נשמרו ב-Google Chrome, זה עלול לתת להאקרים גישה גם לחשבונות אלה.
מתקפת הסייבר הזו באמת מדגישה את החשיבות של עדכון שוטף של סיסמאות, שימוש במנהל סיסמאות כדי שתוכל ליצור אישורי התחברות ייחודיים לכל חשבון, והפעלת MFA. למרות שאני לא יכול לומר באופן סופי שעדכני אישורים ו-MFA היו עוצרים את ההאקרים לחלוטין, ייתכן שזה לפחות האט אותם והתריע לבעל האישורים שמישהו ניסה לגשת לחשבון שלו, מה שמאפשר להם להתערב.
מהי תוכנת כופר Qilin?
תוכנת כופר Qilin מתייחסת לתוכנה הזדונית שנפרסה על ידי קבוצת Qilin כופר.
הקבוצה עצמה פעילה כשנתיים, אולם היא באמת הפכה לשמצה ביוני השנה הודות למתקפה שלה על Synovis, שותפות מדעית ורפואית בין SYNLAB UK & Ireland, King's College Hospital NHS Foundation Trust ו-Guy's and St Thomas ' NHS Foundation Trust המספק שירותים ל-NHS.
התקפות אלו השפיעו קשות על הפעילות היומיומית של סינביס (למשל עיבוד דגימות) והשפיעו כמעט על כל מערכות ה-IT שלה, כלומר הם נאלצו לחזור לשימוש בנייר ועט ולא באמצעים דיגיטליים להשלמת רבים מהתהליכים שלהם.
לפני מתקפת חילוץ הנתונים של Google Chrome, כנופיית תוכנות הכופר של Qilin השתמשה בעיקר בטכניקת "סחיטה כפולה" המועדפת על רוב כנופיות תוכנות הכופר הפליליות. זה רואה את ההאקרים חודרים למערכת, מצפינים את הרשת שלה, ואז סוחטים את הקורבן על ידי איום לשחרר או למכור את המידע שהצפינו אלא אם הקורבן ישלם סכום כסף גדול עבור מפתח ההצפנה.
אתה יכול ללמוד עוד על המחקר של Sophos על כנופיית תוכנות הכופר של Qilin כאן.
