Alerte à un nouveau logiciel malveillant qui vole des informations aux utilisateurs de Google Chrome

Récemment, les experts en sécurité de Sophos ont découvert que le ransomware Qilin exploite une faille de sécurité critique du navigateur Google Chrome pour dérober directement les identifiants de connexion des utilisateurs, ce qui représente une menace majeure pour la sécurité des données. Cette faille permet aux pirates d'infiltrer facilement d'autres systèmes et de causer des dommages importants.

Lors d'une attaque de ransomware à grande échelle, le gang de cybercriminels Qilin a pénétré dans le système de Synnovis, un fournisseur de services de laboratoire externalisé pour le système de santé publique (National Health Service : NHS) à Londres (Royaume-Uni) le 3 juin 2024, volant une grande quantité de données sensibles sur les dossiers des patients, y compris les résultats des tests, les antécédents médicaux et les informations personnelles.

Ils ont menacé de rendre publiques toutes ces informations s'ils ne recevaient pas une rançon de 50 millions de dollars. Après l'échec des négociations, le gang Qilin a divulgué publiquement toutes les données volées.

Le groupe de ransomware Qilin est tristement célèbre pour sa tactique vicieuse de « double extorsion », qui consiste non seulement à chiffrer les données des victimes, mais aussi à voler et à menacer de divulguer publiquement des informations sensibles, contraignant ainsi les victimes à payer une rançon exorbitante. La société de cybersécurité Sophos qualifie cette tactique de « pression croissante », soulignant l'escalade de la pression sur les victimes jusqu'à ce qu'elles cèdent.

Cette découverte a révélé une nouvelle tactique extrêmement dangereuse de Qilin : attaquer directement les identifiants de connexion de millions d’utilisateurs de Google Chrome. Avec plus de 65 % de parts de marché, Google Chrome est devenu une cible de choix pour les pirates, leur offrant une porte dérobée pour s’infiltrer dans tous les aspects de la vie numérique de leurs victimes, des comptes bancaires aux messageries électroniques, en passant par les systèmes informatiques critiques de l’entreprise.

L'infiltration réussie du contrôleur de domaine d'une cible par le groupe de ransomware Qilin en juillet 2024 a révélé une grave vulnérabilité dans les systèmes de cybersécurité de nombreuses organisations. Le contrôleur de domaine, véritable cœur du réseau, est vulnérable lorsqu'il est attaqué, ce qui peut entraîner des conséquences imprévisibles telles que des pertes de données, des interruptions de service et une atteinte à la réputation.

Une enquête approfondie sur les activités du groupe Qilin a révélé un scénario d'attaque sophistiqué : les attaquants infiltraient le système cible en achetant des identifiants de réseau privé virtuel (VPN) auprès d'un courtier sur le dark web. Ils se sont ensuite patiemment « hibernés » dans le système pendant 18 jours, observant silencieusement, cartographiant le réseau et sélectionnant les cibles d'attaque les plus pertinentes.

La campagne a été rendue plus sophistiquée grâce à l'utilisation d'un outil malveillant spécialement conçu pour dérober les identifiants de connexion à Google Chrome. Après avoir réussi à s'infiltrer, le groupe de ransomware s'est rapidement propagé à l'ensemble du système, transformant le réseau de la victime en une véritable usine à répliques.

Lorsqu'un tel incident survient, les experts en sécurité doivent non seulement modifier tous les mots de passe, mais aussi convaincre des millions d'utilisateurs de changer ceux de leurs innombrables comptes en ligne. C'est un problème complexe, car changer le mot de passe de chaque compte est une procédure longue et fastidieuse, et beaucoup d'utilisateurs négligeront ou oublieront de le faire.

Depuis son apparition en octobre 2022, le ransomware Qilin a causé de graves dommages à de nombreuses organisations à travers le monde. Grâce à sa capacité à se propager rapidement et à chiffrer efficacement les données, Qilin a contraint de nombreuses entreprises à cesser leurs activités, entraînant d'énormes pertes financières et la fuite d'informations confidentielles sur les clients.

L'émergence du groupe de ransomware Qilin a mis en lumière la gravité croissante de la situation en matière de cybersécurité. Face à l'évolution constante des menaces, les organisations doivent adopter une approche plus proactive en matière de protection de leurs systèmes. La mise en œuvre de l'authentification multifacteurs, l'utilisation de solutions de sécurité robustes pour les terminaux et la mise à jour régulière des systèmes de sécurité constituent des mesures urgentes pour prévenir les attaques de ransomware.