В результате недавней кибератаки, осуществленной с использованием программы-вымогателя Qilin, злоумышленникам удалось эксфильтрировать конфиденциальные данные, хранящиеся в браузере Google Chrome, благодаря компрометированным учетным данным VPN.
Инцидент был выявлен компанией Sophos в ходе расследования утечек данных, связанных с активностью группы Qilin. В рамках атаки были украдены многочисленные учетные данные, хранящиеся в браузерах Google Chrome, что еще раз подчеркивает важность соблюдения надлежащих практик кибербезопасности, поскольку даже VPN не гарантирует полную защиту без дополнительных мер безопасности.
Как произошла кража данных?
Хакеры использовали компрометированные учетные данные для входа на VPN-портал, который не был защищен двухфакторной аутентификацией (MFA). После получения доступа злоумышленники в течение 18 дней вели скрытую активность, постепенно распространяя свое влияние в системе через украденные учетные данные и получив доступ к контроллеру домена.
После этого они изменили политику домена, внедрив в нее вредоносный код, включая скрипт, предназначенный для сбора данных учетных записей, хранящихся в Google Chrome. Затем был запущен второй скрипт, который инициировал выполнение первого на всех устройствах, подключенных к сети, что позволило киберпреступникам собирать пароли, сохраненные в браузерах Chrome на клиентских машинах.
Этот метод привел к массовой утечке паролей, что потенциально могло затронуть сотни учетных записей. Учитывая, что у среднего пользователя насчитывается около 225 паролей для различных сервисов, повторное использование этих данных могло бы открыть злоумышленникам доступ к другим учетным записям, даже если они не были сохранены в Google Chrome.
Данный инцидент подчеркивает критическую важность регулярного обновления паролей, использования менеджера паролей для создания уникальных учетных данных и включения двухфакторной аутентификации (MFA)
vpnРоссия
Хотя невозможно утверждать, что обновленные пароли и MFA полностью предотвратили бы атаку, они могли бы значительно замедлить действия злоумышленников и предоставить владельцу учетной записи возможность вовремя вмешаться.
Что такое программа-вымогатель Qilin?
Qilin — это вредоносное программное обеспечение, используемое одноименной группой хакеров. Группа Qilin действует уже около двух лет, но наибольшую известность получила в июне этого года после атаки на Synovis — научно-медицинское партнерство между SYNLAB UK & Ireland, больничным фондом NHS King’s College и фондом NHS Guy’s and St Thomas’, которое оказывает услуги Национальной службе здравоохранения Великобритании.
Эта атака серьезно нарушила работу Synovis, затронув почти все его ИТ-системы и вынудив перейти на использование бумажных документов вместо цифровых инструментов.
До инцидента с эксфильтрацией данных из Google Chrome группа Qilin была известна применением метода «двойного вымогательства», распространенного среди киберпреступников. В этом случае злоумышленники сначала шифруют данные жертвы, а затем угрожают опубликовать или продать эти данные, если не будет выплачен выкуп за ключ дешифровки.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.