Программа-вымогатель Qilin может извлекать данные Chrome из подключенных к сети конечных точек

Специалисты обнаружили версию вируса-вымогателя Qilin, которая успешно извлекает конфиденциальные данные, хранящиеся в браузере Google Chrome.
Программа-вымогатель Qilin может извлекать данные Chrome из подключенных к сети конечных точек

Программа-вымогатель Qilin может извлекать данные Chrome из подключенных к сети конечных точек. Фото: СС0

Исследователи из Sophos раскрыли, как преступная группа использовала ранее скомпрометированные учетные данные для входа в ИТ-инфраструктуру неназванной организации. Учетные данные были для портала виртуальной частной сети (VPN), в котором отсутствовала многофакторная аутентификация (MFA), и поэтому к нему было относительно легко получить доступ.

В любом случае, группа действовала более двух недель (18 дней), прежде чем переместиться в сторону контроллера домена, используя скомпрометированные учетные данные. Хотя мошенники были замечены на одном контроллере домена в домене Active Directory их цели, другие контроллеры домена в этом домене AD были заражены, заключили исследователи. Однако они были затронуты по-разному.

Qilin — это классический вымогатель, который сначала крадет как можно больше информации, а затем шифрует взломанное устройство. Операторы требуют плату в обмен на ключ дешифрования. Однако исследователи утверждают, что эта операция уникальна тем, как она нацелена на Google Chrome.

Из сообщения исследователей безопасности:

«В ходе недавнего расследования взлома программы-вымогателя Qilin команда Sophos X-Ops выявила активность злоумышленников, которая привела к массовой краже учетных данных, хранящихся в браузерах Google Chrome на подмножестве конечных точек сети, — метод сбора учетных данных с потенциальными последствиями, выходящими далеко за рамки организации первоначальной жертвы. Это необычная тактика, которая может стать бонусным множителем для хаоса, уже присущего ситуациям с программами-вымогателями».

Другими словами, Qilin собирал учетные данные, сохраненные в браузерах Chrome на компьютерах, подключенных к той же сети, что и изначально скомпрометированная.

В Sophos пришли к выводу, что киберпреступники продолжают совершенствовать свои тактики, подчеркивая, что организациям следует больше полагаться на менеджеры паролей и включать многофакторную аутентификацию, чтобы свести к минимуму риски подобных атак.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

Больше интересного

Актуальное

Роль контрольной группы в маркетинге
Хакеры используют критическую ошибку в плагине LiteSpeed Cache для WordPress
Эксплуатирующих уязвимость нулевого дня в браузере Chrome хакеров обнаружили исследователи
Ещё…