Các nhà nghiên cứu đã phát hiện, mã độc tống tiền này đang nhắm mục tiêu vào thông tin đăng nhập trên Google Chrome.
Các nhà nghiên cứu của Công ty an ninh mạng Sophos (Anh) đã phát hiện ra một diễn biến đáng lo ngại trong hoạt động của ransomware Oilin - đó là thu thập thông tin đăng nhập thông qua trình duyệt Google Chrome. Mã độc tống tiền Qilin này hiện đang nhắm mục tiêu vào thông tin đăng nhập Google Chrome.
Sophos cho biết, trong khi điều tra vụ vi phạm tại Synnovis, nhóm nghiên cứu đã xác định rằng những kẻ tấn công đã đánh cắp thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome trên một tập hợp con các điểm cuối của mạng.
Trước đó, vào ngày 3/6/2024, băng đảng ransomware Oilin đã nhắm mục tiêu vào Synnovis, một nhà cung cấp dịch vụ phòng thí nghiệm thuê ngoài cho các bệnh viện NHS ở Đông Nam London, tuyên bố đã đánh cắp dữ liệu bệnh viện và bệnh nhân và yêu cầu 50 triệu USD tiền chuộc. Sau khi đàm phán không thành công, băng đảng đã công khai tiết lộ toàn bộ dữ liệu đã đánh cắp được.
Tuy nhiên, phát hiện mới này đánh dấu một sự thay đổi đáng kể trong chiến thuật của Qilin. Cụ thể, Qilin đã nhắm vào thông tin đăng nhập được lưu trữ trên Google Chrome của các mạng bị nhiễm. Điều này có thể gây ra hậu quả sâu rộng vì kẻ tấn công có thể truy cập vào tài khoản tài chính, email, lưu trữ đám mây hoặc các tài khoản kinh doanh bằng thông tin đăng nhập bị xâm phạm.
Các nhà nghiên cứu đã phân tích một cuộc tấn công của Qilin, cho thấy kẻ tấn công bắt đầu bằng thông tin đăng nhập vào VPN bị xâm phạm, có thể đã được mua từ một kẻ môi giới trên web đen. Sau đó, chúng "ngủ đông" 18 ngày, âm thầm lập bản đồ mạng, xác định các tài sản quan trọng và lập kế hoạch cho bước đi tiếp theo.
Nghiêm trọng hơn, khi ransomware chiếm được chỗ đứng, mã độc này triển khai Group Policy Objects (GPO) để tự động hóa quy trình trên toàn mạng. Tự động hóa này làm tăng đáng kể hiệu quả của cuộc tấn công và đảm bảo phạm vi tiếp cận rộng hơn.
Các chuyên gia nhấn mạnh, các chiến thuật phát triển của Qilin làm nổi bật tầm quan trọng của việc giám sát mối đe dọa liên tục và điều chỉnh các chiến lược bảo mật.
Oilin lưu ý, các tổ chức cần triển khai MFA (xác thực đa yếu tố) trên các giải pháp truy cập từ xa để tăng cường bảo mật, sử dụng các giải pháp bảo mật điểm cuối (EndPoint Security) để phát hiện và ngăn chặn hành vi đáng ngờ, đồng thời thường xuyên sao lưu dữ liệu và vá tất cả các hệ thống mạng, bao gồm hệ điều hành và trình duyệt web.
Theo Genk
Sophos cho biết, trong khi điều tra vụ vi phạm tại Synnovis, nhóm nghiên cứu đã xác định rằng những kẻ tấn công đã đánh cắp thông tin đăng nhập được lưu trữ trong trình duyệt Google Chrome trên một tập hợp con các điểm cuối của mạng.
Trước đó, vào ngày 3/6/2024, băng đảng ransomware Oilin đã nhắm mục tiêu vào Synnovis, một nhà cung cấp dịch vụ phòng thí nghiệm thuê ngoài cho các bệnh viện NHS ở Đông Nam London, tuyên bố đã đánh cắp dữ liệu bệnh viện và bệnh nhân và yêu cầu 50 triệu USD tiền chuộc. Sau khi đàm phán không thành công, băng đảng đã công khai tiết lộ toàn bộ dữ liệu đã đánh cắp được.
Tuy nhiên, phát hiện mới này đánh dấu một sự thay đổi đáng kể trong chiến thuật của Qilin. Cụ thể, Qilin đã nhắm vào thông tin đăng nhập được lưu trữ trên Google Chrome của các mạng bị nhiễm. Điều này có thể gây ra hậu quả sâu rộng vì kẻ tấn công có thể truy cập vào tài khoản tài chính, email, lưu trữ đám mây hoặc các tài khoản kinh doanh bằng thông tin đăng nhập bị xâm phạm.
Các nhà nghiên cứu đã phân tích một cuộc tấn công của Qilin, cho thấy kẻ tấn công bắt đầu bằng thông tin đăng nhập vào VPN bị xâm phạm, có thể đã được mua từ một kẻ môi giới trên web đen. Sau đó, chúng "ngủ đông" 18 ngày, âm thầm lập bản đồ mạng, xác định các tài sản quan trọng và lập kế hoạch cho bước đi tiếp theo.
Nghiêm trọng hơn, khi ransomware chiếm được chỗ đứng, mã độc này triển khai Group Policy Objects (GPO) để tự động hóa quy trình trên toàn mạng. Tự động hóa này làm tăng đáng kể hiệu quả của cuộc tấn công và đảm bảo phạm vi tiếp cận rộng hơn.
Các chuyên gia nhấn mạnh, các chiến thuật phát triển của Qilin làm nổi bật tầm quan trọng của việc giám sát mối đe dọa liên tục và điều chỉnh các chiến lược bảo mật.
Oilin lưu ý, các tổ chức cần triển khai MFA (xác thực đa yếu tố) trên các giải pháp truy cập từ xa để tăng cường bảo mật, sử dụng các giải pháp bảo mật điểm cuối (EndPoint Security) để phát hiện và ngăn chặn hành vi đáng ngờ, đồng thời thường xuyên sao lưu dữ liệu và vá tất cả các hệ thống mạng, bao gồm hệ điều hành và trình duyệt web.
Theo Genk
