แก๊งค์แรนซั่มแวร์ Qilin มุ่งเป้าไปที่ Chrome ในช่วงไม่กี่เดือนที่ผ่านมา ด้วยการโจมตีเว็บเบราว์เซอร์อันดับหนึ่งของโลก แฮกเกอร์ต้องการขโมยข้อมูลรับรองจำนวนมาก
โครเมียมอยู่ในสายตาของอาชญากรไซเบอร์ทำมันแก๊งที่เชี่ยวชาญด้านการโจมตีแรนซัมแวร์ นักวิจัยของ Sophos ได้ค้นพบอย่างแน่นอน“การขโมยข้อมูลประจำตัวครั้งใหญ่”ผ่านเว็บเบราว์เซอร์ซึ่งถูกแฮกเกอร์ของกลุ่มกระทำผิด
อ่านเพิ่มเติม:การโจมตีทางไซเบอร์โจมตีลอนดอน - “ล็อคดาวน์” เพื่อต่อต้านแรนซัมแวร์ที่กำลังดำเนินอยู่
แฮ็ค Chrome
ตามที่ Sophos อธิบาย Qilin ได้แฮ็กห้องปฏิบัติการซินโนวิสซึ่งเป็นผู้ให้บริการด้านพยาธิวิทยาในลอนดอน ซึ่งร่วมมือกับโรงพยาบาลหลายแห่งในลอนดอน เมื่อเดือนมิถุนายนปีที่แล้ว ในขั้นต้น แฮกเกอร์สามารถเข้าถึงระบบโดยใช้ข้อมูลประจำตัวที่ถูกขโมยจากบริการ VPN ข้อมูลนี้ทำให้แฮกเกอร์สามารถแทรกซึมเข้าไปในแพลตฟอร์ม Synnovis ได้อย่างง่ายดาย Sophos ระบุว่าพอร์ทัล VPN ละเลยการกำหนดค่าการรับรองความถูกต้องด้วยสองปัจจัย- อย่างไรก็ตาม กลไกนี้จะสร้างอุปสรรคขัดขวางผู้โจมตี น่าเสียดายที่ข้อควรระวังนี้มักถูกละเลยมากเกินไป ตามปกติแล้ว การโจมตีทั้งหมดอาศัยข้อมูลที่ถูกบุกรุกและความประมาทเลินเล่อ
มากกว่าหนึ่งสัปดาห์หลังจากการรุกรานของเขา Qilin เริ่มเคลื่อนที่ภายในระบบโดยพยายามเข้าถึงส่วนอื่นๆ ของเครือข่าย รวมถึงตัวควบคุมโดเมน ซึ่งเป็นเซิร์ฟเวอร์สำคัญที่จัดการการเข้าถึงของผู้ใช้และคอมพิวเตอร์ไปยังเครือข่าย ผู้โจมตีจึงเปลี่ยนกฎเริ่มต้นของโดเมนตามลำดับปรับใช้สคริปต์ออกแบบมาเพื่อพยายามรวบรวมข้อมูลระบุตัวตนที่จัดเก็บไว้ในเบราว์เซอร์ Chrome ของผู้ใช้เครือข่าย ในตอนท้ายของปฏิบัติการ Qilin ได้ขโมยข้อมูลจำนวนมหาศาล รวมถึงรหัสผ่านด้วย
ตัวอย่างของการขู่กรรโชกซ้ำซ้อน
แล้วกิเลน.ลบสำเนาไฟล์หรือข้อมูลสำรองในเครื่องบนระบบที่ติดไวรัส การลบสำเนาเหล่านี้จะทำให้ผู้โจมตีป้องกันไม่ให้เหยื่อกู้คืนข้อมูลได้อย่างง่ายดายมีน้ำหนักมากขึ้นในการเจรจา- พวกเขายังลบรอยทางของพวกเขาในกระบวนการนี้ด้วย จากนั้นแฮกเกอร์ก็เปิดตัวแรนซัมแวร์ โดยเข้ารหัสข้อมูลอื่นๆ ทั้งหมดในห้องปฏิบัติการ ข้อความเรียกค่าไถ่จะถูกส่งไปยังอุปกรณ์ที่มันทำงานอยู่ Sophos กล่าว
“เราได้ดาวน์โหลดข้อมูลที่มีความเสี่ยงและละเอียดอ่อนจากระบบ/เครือข่ายของคุณ
กลุ่มของเราร่วมมือกับสื่อมวลชน หากคุณปฏิเสธที่จะสื่อสารกับเราและเราไม่สามารถบรรลุข้อตกลงได้ ข้อมูลของคุณจะได้รับการตรวจสอบและเผยแพร่ในบล็อกของเรา »ข่มขู่กิเลนในจดหมายเรียกค่าไถ่
ใช้งานมาเป็นเวลาสองปี Qilin มีความเชี่ยวชาญในการขู่กรรโชกสองครั้ง- ในการโจมตีประเภทนี้ อาชญากรไซเบอร์ทำมากกว่าแค่เข้ารหัสไฟล์ พวกเขาจะขโมยข้อมูลและเจาะข้อมูลก่อนที่จะเสร็จสิ้นการโจมตี หากพวกเขาไม่ได้รับการเรียกค่าไถ่ พวกเขาจะขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมานี้บนเว็บมืดหรือใช้เพื่อดำเนินการโจมตีอื่นๆ กลยุทธ์นี้จะเพิ่มแรงกดดันต่อเหยื่อให้สูงสุด ในกรณีนี้ Qilin ยังมีข้อได้เปรียบในการขโมยข้อมูลที่ละเอียดอ่อน เช่น“ข้อมูลส่วนบุคคลของพนักงาน CV ใบขับขี่ หมายเลขประกันสังคม”, ที่“การแมปเครือข่ายที่สมบูรณ์ รวมถึงตัวระบุสำหรับบริการในพื้นที่และระยะไกล”ฯลฯ“ข้อมูลทางการเงิน ได้แก่ ข้อมูลลูกค้า ใบแจ้งหนี้ งบประมาณ รายงานประจำปี ใบแจ้งยอดธนาคาร”- นี่คือสาเหตุที่ Qilin เรียกร้องเงิน 50 ล้านดอลลาร์จากห้องปฏิบัติการ Synnovis
Chrome ที่ชัดเจน
ดังที่ Sophos ชี้ให้เห็น ไม่น่าแปลกใจเลยที่ Qilin เลือก Chrome เป็นเวกเตอร์การกรองข้อมูล Chrome ยังคงเป็นเว็บเบราว์เซอร์ที่มีคนใช้มากที่สุดในโลก โดยมีส่วนแบ่งตลาดมากกว่า 75%การศึกษาโดย Kinsta- มันคือ“ตามสถิติแล้วตัวเลือกที่มีแนวโน้มมากที่สุดที่จะคืนการเก็บเกี่ยวรหัสผ่านมากมาย”
กลยุทธ์นี้ค่อนข้างไม่ปกติสำหรับแฮกเกอร์ที่เชี่ยวชาญเรื่องการขู่กรรโชก อย่างไรก็ตาม มันดูน่าเกรงขามเป็นพิเศษในระหว่างเรื่องซินโนวิส แท้จริงแล้ว การบุกรุกเพียงครั้งเดียวมีแนวโน้มที่จะส่งผลให้มีการขโมยข้อมูลจำนวนมากที่เกี่ยวข้องกับบริการอื่นๆ ด้วยการโจมตีเพียงครั้งเดียว อาชญากรไซเบอร์พบว่าตัวเองครอบครองข้อมูลอันมีค่าจำนวนมหาศาล
“กลุ่มแรนซัมแวร์ยังคงเปลี่ยนกลยุทธ์และขยายขอบเขตเทคนิคของพวกเขา”รายงานของ Sophos เตือนด้วยเกรงว่ากลยุทธ์จะเปิดออก“บทมืดใหม่”ในประวัติศาสตร์ของอาชญากรรมไซเบอร์
ในกรณีที่มีการละเมิด Sophos ขอแนะนำ"เพื่อขอให้ผู้ใช้เปลี่ยนรหัสผ่านสำหรับไซต์บุคคลที่สามหลายสิบหรืออาจเป็นหลายร้อยไซต์ที่พวกเขาได้บันทึกชุดชื่อผู้ใช้และรหัสผ่านไว้ในเบราว์เซอร์ Chrome"
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : โซฟอส
