鉻合金處於網路犯罪分子的視線之中做吧,一個專門從事勒索軟體攻擊的團夥。 Sophos 研究人員確實發現“大量憑證被盜”該組織的駭客透過網頁瀏覽器進行攻擊。
Chrome 駭客攻擊
正如 Sophos 所解釋的那樣,Qilin 被駭了Synnovis實驗室去年六月,一家總部位於倫敦的病理學服務提供者與多家倫敦醫院合作。最初,駭客使用從 VPN 服務竊取的憑證來存取系統。這些數據使駭客能夠毫不費力地滲透到 Synnovis 平台。 Sophos 指定 VPN 入口網站忽略配置雙重身份驗證。然而,這種機制為攻擊者設置了障礙。不幸的是,這種預防措施常常被忽略。通常情況下,整個攻擊都依賴資料外洩和疏忽。
入侵兩週後,Qilin 開始在系統內部移動,試圖存取網路的其他部分,包括網域控制器、管理使用者存取和電腦網路的關鍵伺服器。 然後,攻擊者更改了網域的預設規則,以便部署腳本旨在嘗試收集儲存在網路使用者 Chrome 瀏覽器中的識別資料。行動結束時,奇林竊取了包括密碼在內的大量資料。
雙重勒索的例子
那麼,麒麟刪除受感染系統上的檔案或備份的本機副本。透過刪除這些副本,攻擊者可以阻止受害者輕鬆恢復其數據,從而使他們談判中更有分量。他們也在這個過程中抹去了自己的痕跡。然後,駭客啟動了勒索軟體,對實驗室中的所有其他資訊進行加密。 Sophos 表示,勒索信被貼到運行該程式的裝置上。
「我們已經從您的系統/網路下載了洩漏的敏感資料。
我們集團與大眾媒體合作。如果您拒絕與我們溝通並且我們無法達成協議,您的資料將被審查並發佈在我們的部落格上»,在贖金信中威脅麒麟。
活躍兩年,麒麟專攻雙重勒索。在這些類型的攻擊中,網路犯罪分子所做的不僅僅是加密檔案。他們將在完成進攻之前竊取並洩露資料。如果他們沒有獲得所需的贖金,他們就會威脅要在暗網上發布這些被盜資料或用它來進行其他攻擊。該策略最大限度地增加了受害者的壓力。在本案中,麒麟也具有竊取敏感資料的優勢,例如“員工的個人資料、履歷、駕駛執照、社會安全號碼”, 這“完整的網路映射,包括本地和遠端服務的識別碼”,等“財務訊息,包括客戶數據、發票、預算、年度報告、銀行對帳單”。這就是為什麼麒麟向Synnovis實驗室索取5000萬美元的原因。
明顯的Chrome
正如 Sophos 指出的那樣,難怪 Qilin 選擇 Chrome 作為其資料外洩載體。根據統計,Chrome 仍然是世界上使用最廣泛的網頁瀏覽器,佔據超過 75% 的市場份額金斯塔的一項研究。這是“從統計上看,這是最有可能獲得大量密碼的選擇。”
對於專門從事勒索的駭客來說,這種策略相當不尋常。然而,在 Synnovis 事件中,它被證明尤其令人畏懼。事實上,一次入侵可能會導致與其他服務相關的大量資訊被盜。只需一次攻擊,網路犯罪分子就會發現自己擁有了大量有價值的數據。
“勒索軟體團體不斷改變策略並擴展其技術手段”,Sophos 報告警告稱,擔心這項策略會展開“新的黑暗篇章”在網路犯罪史上。
如果發生違規行為,Sophos 建議“要求最終用戶更改數十個甚至數百個第三方網站的密碼,這些網站的用戶名密碼組合已保存在 Chrome 瀏覽器中。”
來源 : 索福斯
