แก๊งแรนซัมแวร์ที่กำหนดเป้าหมายโครเมี่ยมเป็นเวลาสองสามเดือน ด้วยการโจมตีเว็บเบราว์เซอร์อันดับหนึ่งในโลกโจรสลัดกำลังมองหาข้อมูลการระบุตัวตนจำนวนมาก
โครเมี่ยมอยู่ในช่องมองภาพของอาชญากรไซเบอร์ทำแก๊งค์ที่เชี่ยวชาญในการโจมตีโดย ransomware นักวิจัยของ Sophos ได้ค้นพบอย่างแน่นอน"ข้อมูลการระบุตัวตนขนาดใหญ่"ผ่านเว็บเบราว์เซอร์ที่กระทำโดยแฮ็กเกอร์กลุ่ม
อ่านเพิ่มเติม:การโจมตีทางไซเบอร์โจมตีลอนดอน - "การกักขัง" กับ Ransomware ที่กำลังดำเนินการอยู่
แฮ็คโครเมี่ยม
ดังที่ Sophos อธิบาย Qilin Hackedห้องปฏิบัติการ Synnovisผู้ให้บริการด้านพยาธิวิทยาที่อยู่ในลอนดอนซึ่งร่วมมือกับโรงพยาบาลลอนดอนหลายแห่งเมื่อเดือนมิถุนายนที่ผ่านมา ก่อนอื่นโจรสลัดได้รับการเข้าถึงระบบผ่านข้อมูลการระบุตัวตนที่ถูกขโมยจากบริการ VPN ข้อมูลเหล่านี้อนุญาตให้แฮ็กเกอร์แทรกซึมได้อย่างง่ายดายในแพลตฟอร์ม Synnovis Sophos ระบุว่าพอร์ทัล VPN ได้ละเลยที่จะกำหนดค่าการรับรองความถูกต้องสองปัจจัย- อย่างไรก็ตามกลไกนี้ทำให้ติดอยู่ในล้อของผู้โจมตี น่าเสียดายที่ข้อควรระวังนี้มักถูกมองข้าม บ่อยครั้งที่การโจมตีทั้งหมดขึ้นอยู่กับข้อมูลที่ถูกบุกรุกและความประมาทเลินเล่อ
มากกว่าสิบห้าวันหลังจากการจู่โจม Qilin เริ่มเคลื่อนที่ภายในระบบโดยพยายามเข้าถึงส่วนอื่น ๆ ของเครือข่ายรวมถึงตัวควบคุมโดเมนเซิร์ฟเวอร์สำคัญที่จัดการผู้ใช้และคอมพิวเตอร์เข้าถึงเครือข่าย จากนั้นผู้โจมตีจะเปลี่ยนกฎเริ่มต้นของฟิลด์เพื่อให้ปรับใช้สคริปต์ออกแบบมาเพื่อพยายามรวบรวมข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์ Chrome สำหรับผู้ใช้เครือข่าย ในตอนท้ายของการดำเนินการ Qilin ขโมยภูเขาของข้อมูลรวมถึงรหัสผ่าน
ตัวอย่างของการกรรโชกสองครั้ง
จากนั้น Qilin มีลบสำเนาท้องถิ่นของไฟล์หรือการสำรองข้อมูลในระบบที่ติดเชื้อ โดยการลบสำเนาเหล่านี้ผู้โจมตีป้องกันผู้ที่ตกเป็นเหยื่อจากการกู้คืนข้อมูลของพวกเขาอย่างง่ายดายซึ่งให้พวกเขาน้ำหนักมากขึ้นเป็นส่วนหนึ่งของการเจรจา- พวกเขายังลบร่องรอยของพวกเขาอย่างก้าวย่าง แฮ็กเกอร์ก็เปิดตัว ransomware ของพวกเขาเข้ารหัสข้อมูลอื่น ๆ ทั้งหมดในห้องปฏิบัติการ โน้ตค่าไถ่ลื่นบนอุปกรณ์ที่เขาทำงาน Sophos กล่าว
“ เราได้ดาวน์โหลดข้อมูลประนีประนอมและข้อมูลที่ละเอียดอ่อนจากระบบ/เครือข่ายของคุณ
กลุ่มของเราร่วมมือกับสื่อมวลชน หากคุณปฏิเสธที่จะติดต่อเราและเราไม่บรรลุข้อตกลงข้อมูลของคุณจะได้รับการตรวจสอบและเผยแพร่ในบล็อกของเรา”, ภัยคุกคามต่อจดหมายจากRançon
ใช้งานเป็นเวลาสองปี Qilin มีความเชี่ยวชาญอย่างแท้จริงการบีบบังคับสองครั้ง- เป็นส่วนหนึ่งของการโจมตีประเภทนี้อาชญากรไซเบอร์ไม่ได้มีเนื้อหาที่จะเข้ารหัสไฟล์ พวกเขาจะขโมยข้อมูลและทำการกรองก่อนที่จะเสร็จสิ้นการโจมตี หากพวกเขาไม่ได้รับค่าไถ่ที่จำเป็นพวกเขาขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยนี้บนเว็บมืดหรือใช้เพื่อทำการโจมตีอื่น ๆ กลยุทธ์ช่วยเพิ่มแรงกดดันให้กับผู้ที่ตกเป็นเหยื่อ ในกรณีนี้ Qilin มีข้อได้เปรียบในการขโมยข้อมูลที่ละเอียดอ่อนเช่น"ข้อมูลส่วนบุคคลของพนักงาน, CV, ใบขับขี่, หมายเลขประกันสังคม","แผนที่เครือข่ายที่สมบูรณ์รวมถึงตัวระบุสำหรับบริการท้องถิ่นและระยะไกล", ET"ข้อมูลทางการเงินรวมถึงข้อมูลลูกค้าใบแจ้งหนี้งบประมาณรายงานประจำปีใบแจ้งยอดธนาคาร"- นี่คือเหตุผลที่ Qilin อ้างว่า $ 50 ล้านจากห้องปฏิบัติการ Synnovis
หลักฐานโครเมี่ยม
ดังที่ Sophos ชี้ให้เห็นว่าไม่น่าแปลกใจที่ Qilin เลือก Chrome เป็นเวกเตอร์การกรองข้อมูล Chrome ยังคงเป็นเว็บเบราว์เซอร์ที่ใช้มากที่สุดในโลกโดยมีส่วนแบ่งการตลาดมากกว่า 75% ตามข้อมูลของการศึกษา Kinsta- มันคือ"ทางสถิติเป็นทางเลือกที่เป็นไปได้มากที่สุดในการส่งคืนรหัสผ่านที่อุดมสมบูรณ์"
กลยุทธ์นี้ค่อนข้างผิดปกติสำหรับแฮ็กเกอร์ที่เชี่ยวชาญในการกรรโชก อย่างไรก็ตามมันกลับกลายเป็นว่าน่าเกรงขามโดยเฉพาะอย่างยิ่งในระหว่างเรื่อง Synnovis อันที่จริงการบุกรุกครั้งเดียวมีแนวโน้มที่จะนำไปสู่การขโมยข้อมูลจำนวนมากที่เกี่ยวข้องกับบริการอื่น ๆ ด้วยการโจมตีเพียงครั้งเดียวอาชญากรไซเบอร์จะพบว่ามีข้อมูลล้ำค่า
"กลุ่ม ransomware ยังคงเปลี่ยนกลยุทธ์และขยายเทคนิคของพวกเขา"เตือนรายงานของ Sophos โดยกลัวว่ากลยุทธ์จะเปิดขึ้น"บทมืดใหม่"ในประวัติศาสตร์ของอาชญากรรมไซเบอร์
ในกรณีของการบุกรุก Sophos แนะนำ"เพื่อขอให้ผู้ใช้เปลี่ยนรหัสผ่านสำหรับเว็บไซต์ของบุคคลที่สามหลายสิบซึ่งอาจบันทึกผู้ใช้ผู้ใช้แม่เหล็กในเบราว์เซอร์ Chrome"
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
แหล่งที่มา : ผู้ให้กำเนิด
