Un gang de ransomware vole les mots de passe de Chrome

Le gang Qilin, actif depuis plus de deux ans, a frappé le prestataire de services de santé britannique Synnovis. Cette attaque, survenue en juin dernier, a été marquée par une nouvelle méthode de vol de données qui cible directement les mots de passe enregistrés dans les navigateurs Chrome des utilisateurs du réseau.

Une attaque contre le système de santé britannique

L’infiltration a commencé par l’exploitation de données d’accès volées à un service VPN utilisé par Synnovis. Cette faille est liée à l’absence de protection par authentification à deux facteurs sur le portail VPN, facilitant ainsi l’accès des pirates au système. Sophos souligne que ce type de négligence est malheureusement fréquent et permet souvent aux attaquants de pénétrer les réseaux sans grande difficulté.

Qilin a ensuite patiemment attendu 18 jours avant de passer à l’offensive, en modifiant les règles du réseau pour déployer un script destiné à collecter des informations sensibles. Ce script, nommé « IPScanner.ps1 », a été utilisé pour récolter les mots de passe enregistrés dans Chrome sur les machines des employés du réseau, qui sont alors devenus des victimes collatérales de cette attaque. Chaque connexion à une machine déclenchait ainsi l’exécution d’un script chargé de collecter les informations d’identification stockées dans le navigateur.

Qilin n’a pas seulement volé des données : le groupe a également crypté des fichiers sur des systèmes infectés. Ce type d’attaque, connu sous le nom de double extorsion, consiste non seulement à crypter des données, mais aussi à menacer de les rendre publiques si la rançon n’est pas payée. Dans le cas de Synnovis, les pirates ont volé des informations extrêmement sensibles, allant des données personnelles des employés aux informations financières des clients, en passant par les informations d’accès à divers services de l’entreprise.

La menace de Qilin était explicite : « Si vous refusez de communiquer avec nous et que nous ne parvenons pas à un accord, vos données seront publiées sur notre blog. « Le groupe a exigé une rançon de 50 millions de dollars, une somme qui reflète l’importance des informations volées.

Les chercheurs de Sophos, qui ont suivi l’attaque, ont déclaré que les attaquants ont supprimé toutes les preuves de leur intrusion, y compris les fichiers volés et les journaux d’événements, avant de lancer leur ransomware sur tous les systèmes. La demande de rançon a ensuite été placée dans chaque répertoire des machines infectées, augmentant ainsi la pression sur les victimes.

Le choix de Qilin de s’en prendre à Google Chrome pour mener cette attaque n’est pas anodin. Chrome est le navigateur le plus utilisé au monde avec plus de 75 % de parts de marché, ce qui en fait une cible de choix pour la récupération de mots de passe. Cette stratégie est peu courante dans les attaques par ransomware, mais elle s’est avérée particulièrement efficace. En une seule intrusion, Qilin a pu accéder à une quantité massive de données stockées localement sur les appareils des utilisateurs sur le réseau.

Sophos recommande d’adopter les meilleures pratiques de sécurité, telles que l’utilisation de gestionnaires de mots de passe tiers et l’activation systématique de l’authentification à deux facteurs.

🟣 Pour ne rien rater de l’actualité du Journal du Geek, abonnez-vous sur Google News. Et si vous nous aimez, nous vous proposons une newsletter tous les matins.