Qilin, c’est le nouveau ransomware utilisé par les pirates pour viser les entreprises. Ce malware particulièrement redoutable et effrayant a été découvert par des chercheurs qui résument son fonctionnement et partagent des recommandations de sécurité.
- Le ransomware Qilin cible spécifiquement les identifiants stockés dans Google Chrome
- L’attaque initiale exploite des identifiants VPN compromis pour s’infiltrer dans l’infrastructure informatique
- Sophos recommande l’utilisation de gestionnaires de mots de passe et l’activation de l’authentification multifactorielle pour contrer cette menace
Chaque jour apporte son lot d’attaques informatiques. Quand elles ne visent pas des systèmes d’exploitation comme Android, ce sont des applications populaires qui sont ciblées comme Chrome. Les chercheurs de Sophos ont découvert une nouvelle menace informatique qui exploite le navigateur de Google : Qilin.
À lire > Google booste Chrome avec des fonctionnalités basées sur l’IA
Qilin, un ransomware redoutable et effrayant
Ce logiciel malveillant se distingue par sa capacité à extraire des données sensibles stockées dans le navigateur Google Chrome. Les chercheurs de Sophos présentent un cas concret : l’attaque a débuté par l’exploitation de identifiants précédemment compromis, ce qui a permis aux assaillants de s’infiltrer dans l’infrastructure informatique d’une entreprise non précisée. Ces identifiants donnaient accès à un portail de réseau privé virtuel (VPN) dépourvu d’authentification multifactorielle (MFA), ce qui a grandement facilité l’intrusion.
Une fois à l’intérieur du système, les attaquants ont fait preuve de patience, restant en sommeil pendant 18 jours avant de se déplacer latéralement vers un contrôleur de domaine. Bien qu’initialement repérés sur un seul contrôleur, l’analyse de Sophos suggère que d’autres contrôleurs au sein du même domaine Active Directory ont également été touchés, quoique à des degrés divers.
Qilin opère selon le schéma classique de la double extorsion : d’abord, il dérobe un maximum d’informations, puis il chiffre les appareils compromis et exige une rançon en échange de la clé de déchiffrement. Toutefois, sa particularité réside dans sa méthode de ciblage de Google Chrome.
Comment ne pas se faire avoir par Qilin ?
Sophos a observé que Qilin est capable de voler en masse les identifiants stockés dans les navigateurs Chrome sur un sous-ensemble des terminaux du réseau. Cette technique de collecte de données d’identification pourrait avoir des répercussions bien au-delà de l’organisation initialement visée, amplifiant considérablement l’impact potentiel de l’attaque.
Face à l’évolution constante des tactiques des cybercriminels, Sophos souligne l’importance cruciale pour les organisations d’adopter des mesures de sécurité renforcées. L’utilisation accrue de gestionnaires de mots de passe et l’activation systématique de l’authentification multifactorielle sont recommandées comme moyens efficaces de réduire les risques d’être victime de telles attaques.