Cảnh báo mã độc mới đánh cắp thông tin của người dùng Google Chrome

Mới đây, các chuyên gia bảo mật của Sophos đã phát hiện ra rằng ransomware Qilin đang lợi dụng lỗ hổng bảo mật nghiêm trọng trong trình duyệt Google Chrome để đánh cắp trực tiếp thông tin đăng nhập của người dùng, gây ra mối đe dọa lớn đến an toàn dữ liệu. Điều này cho phép tin tặc dễ dàng xâm nhập vào các hệ thống khác và gây ra thiệt hại nghiêm trọng.

Trong một vụ tấn công ransomware quy mô lớn, băng nhóm tội phạm mạng Qilin đã xâm nhập vào hệ thống của Synnovis, một nhà cung cấp dịch vụ phòng thí nghiệm thuê ngoài cho hệ thống y tế công lập (National Health Service: NHS) ở thủ đô Luân Đôn (Vương quốc Anh) vào ngày 3/6/2024, đánh cắp một lượng lớn dữ liệu nhạy cảm về hồ sơ bệnh nhân, bao gồm kết quả xét nghiệm, lịch sử bệnh án và thông tin cá nhân.

Chúng đe dọa công khai tất cả thông tin này nếu không nhận được 50 triệu USD tiền chuộc. Sau khi đàm phán không thành công, băng đảng Qilin đã công khai tiết lộ toàn bộ dữ liệu đã đánh cắp được.

Băng nhóm ransomware Qilin nổi tiếng với thủ đoạn “tống tiền kép” vô cùng tàn độc. Chúng không chỉ mã hóa dữ liệu của nạn nhân mà còn đánh cắp và đe dọa công khai thông tin nhạy cảm, buộc nạn nhân phải trả một khoản tiền chuộc khổng lồ. Công ty an ninh mạng Sophos gọi đây là chiêu thức “Turning the Screws” (tạm dịch: siết chặt ốc vít), qua đó nhấn mạnh sự gia tăng áp lực lên nạn nhân cho đến khi họ chịu khuất phục.

Phát hiện này đã phơi bày một chiêu thức mới cực kỳ nguy hiểm của Qilin đó là tấn công trực tiếp vào thông tin đăng nhập của hàng triệu người dùng Google Chrome. Với hơn 65% thị phần, Google Chrome trở thành mục tiêu béo bở cho những kẻ tấn công, mở ra cánh cửa hậu để chúng xâm nhập vào mọi ngóc ngách cuộc sống số của nạn nhân, từ tài khoản ngân hàng đến email, thậm chí cả các hệ thống doanh nghiệp quan trọng.

Việc nhóm ransomware Qilin xâm nhập thành công vào bộ điều khiển miền của mục tiêu vào tháng 7/2024 đã phơi bày một lỗ hổng nghiêm trọng trong hệ thống an ninh mạng của nhiều tổ chức. Bộ điều khiển miền, trái tim của mạng lưới, khi bị tấn công sẽ khiến toàn bộ hệ thống trở nên dễ bị tổn thương, gây ra những hậu quả khôn lường như mất dữ liệu, gián đoạn hoạt động và mất uy tín.

Một cuộc điều tra sâu hơn về các hoạt động của nhóm Qilin đã hé lộ một kịch bản tấn công tinh vi, kẻ tấn công đã xâm nhập vào hệ thống mục tiêu bằng cách mua thông tin đăng nhập vào mạng riêng ảo (VPN) từ một kẻ môi giới trên các web đen. Sau đó, chúng kiên nhẫn “ngủ đông” trong hệ thống suốt 18 ngày, âm thầm quan sát, lập bản đồ mạng và lựa chọn mục tiêu tấn công chính xác nhất.

Chiến dịch tấn công này còn tinh vi hơn khi kẻ tấn công sử dụng một công cụ độc hại được thiết kế riêng để đánh cắp thông tin đăng nhập từ Google Chrome. Sau khi xâm nhập thành công, nhóm ransomware đã nhanh chóng lây lan khắp hệ thống, biến toàn bộ mạng của nạn nhân thành một “nhà máy” sản xuất ra hàng loạt bản sao của chính nó.

Khi một vụ việc như vậy xảy ra, các chuyên gia bảo mật không chỉ đối mặt với việc thay đổi toàn bộ mật khẩu mà còn phải thuyết phục hàng triệu người dùng thay đổi mật khẩu cho vô số tài khoản trực tuyến khác nhau. Đây là một bài toán nan giải, bởi việc thay đổi mật khẩu cho từng tài khoản là một quá trình tốn thời gian và phiền hà, và không ít người dùng sẽ lơ là hoặc quên thực hiện.

Kể từ khi xuất hiện vào tháng 10 năm 2022, ransomware Qilin đã gây ra những tổn thất nghiêm trọng cho hàng loạt tổ chức trên toàn cầu. Với khả năng lây lan nhanh chóng và mã hóa dữ liệu một cách hiệu quả, Qilin đã khiến nhiều doanh nghiệp phải ngừng hoạt động, gây ra thiệt hại tài chính lớn và làm rò rỉ thông tin nhạy cảm của khách hàng.

Sự xuất hiện của nhóm ransomware Qilin đã gióng lên hồi chuông báo động về tình hình an ninh mạng ngày càng nghiêm trọng. Để đối phó với những mối đe dọa không ngừng biến đổi, các tổ chức cần phải chủ động hơn trong việc bảo vệ hệ thống. Việc triển khai xác thực đa yếu tố, sử dụng các giải pháp bảo mật điểm cuối mạnh mẽ và thường xuyên cập nhật bảo mật là những biện pháp cấp thiết để ngăn chặn các cuộc tấn công ransomware.