铬合金处于网络犯罪分子的视线之中做吧,一个专门从事勒索软件攻击的团伙。 Sophos 研究人员确实发现“大量凭证被盗”该组织的黑客通过网络浏览器进行攻击。
Chrome 黑客攻击
正如 Sophos 所解释的那样,Qilin 被黑了Synnovis实验室去年六月,一家总部位于伦敦的病理学服务提供商与多家伦敦医院合作。最初,黑客使用从 VPN 服务窃取的凭据来访问系统。这些数据使黑客能够毫不费力地渗透到 Synnovis 平台。 Sophos 指定 VPN 门户忽略配置双因素身份验证。然而,这种机制为攻击者设置了障碍。不幸的是,这种预防措施常常被忽视。通常情况下,整个攻击都依赖于数据泄露和疏忽。
入侵两周后,Qilin 开始在系统内部移动,试图访问网络的其他部分,包括域控制器、管理用户访问和计算机网络的关键服务器。 然后,攻击者更改了域的默认规则,以便部署脚本旨在尝试收集存储在网络用户 Chrome 浏览器中的识别数据。行动结束时,奇林窃取了包括密码在内的大量数据。
双重勒索的例子
那么,麒麟删除受感染系统上的文件或备份的本地副本。通过删除这些副本,攻击者可以阻止受害者轻松恢复其数据,从而使他们谈判中更有分量。他们也在这个过程中抹去了自己的痕迹。然后,黑客启动了勒索软件,对实验室中的所有其他信息进行加密。 Sophos 表示,勒索信被粘贴到运行该程序的设备上。
“我们已经从您的系统/网络下载了泄露的敏感数据。
我们集团与大众媒体合作。如果您拒绝与我们沟通并且我们无法达成协议,您的数据将被审查并发布在我们的博客上»,在赎金信中威胁麒麟。
活跃两年,麒麟专攻双重勒索。在这些类型的攻击中,网络犯罪分子所做的不仅仅是加密文件。他们将在完成进攻之前窃取并泄露数据。如果他们没有获得所需的赎金,他们就会威胁要在暗网上发布这些被盗数据或用它来进行其他攻击。该策略最大限度地增加了受害者的压力。在本案中,麒麟还具有窃取敏感数据的优势,例如“员工的个人数据、简历、驾驶执照、社会安全号码”, 这“完整的网络映射,包括本地和远程服务的标识符”,等“财务信息,包括客户数据、发票、预算、年度报告、银行对账单”。这就是为什么麒麟向Synnovis实验室索要5000万美元的原因。
明显的Chrome
正如 Sophos 指出的那样,难怪 Qilin 选择 Chrome 作为其数据泄露载体。据统计,Chrome 仍然是世界上使用最广泛的网络浏览器,占据超过 75% 的市场份额金斯塔的一项研究。这是“从统计上看,这是最有可能获得大量密码的选择。”
对于专门从事勒索的黑客来说,这种策略相当不寻常。然而,在 Synnovis 事件中,它被证明尤其令人畏惧。事实上,一次入侵可能会导致与其他服务相关的大量信息被盗。只需一次攻击,网络犯罪分子就会发现自己拥有了大量有价值的数据。
“勒索软件团体不断改变策略并扩展其技术手段”,Sophos 报告警告称,担心这一策略会展开“新的黑暗篇章”在网络犯罪史上。
如果发生违规行为,Sophos 建议“要求最终用户更改数十个甚至数百个第三方网站的密码,这些网站的用户名密码组合已保存在 Chrome 浏览器中。”
来源 : 索福斯
