Avertissement concernant un nouveau logiciel malveillant volant des informations aux utilisateurs de Google Chrome

Récemment, les experts en sécurité de Sophos ont découvert que le ransomware Qilin exploitait une grave faille de sécurité du navigateur Google Chrome pour voler directement les identifiants de connexion des utilisateurs, ce qui représente une menace majeure pour la sécurité des données. Cela permet aux pirates d'infiltrer facilement d'autres systèmes et de causer de graves dommages.

Lors d'une attaque de ransomware à grande échelle, le gang de cybercriminels Qilin a pénétré dans le système de Synnovis, un fournisseur de services de laboratoire externalisés pour le système de santé publique (National Health Service : NHS) à Londres (Royaume-Uni) le 3 juin 2024, volant une grande quantité de données sensibles sur les dossiers des patients, notamment les résultats des tests, les antécédents médicaux et les informations personnelles.

Ils ont menacé de rendre publiques toutes ces informations à moins de recevoir une rançon de 50 millions de dollars. Après l'échec des négociations, le gang Qilin a révélé publiquement toutes les données volées.

Le gang de rançongiciels Qilin est connu pour sa tactique vicieuse de « double extorsion », qui consiste non seulement à chiffrer les données des victimes, mais aussi à voler et menacer de divulguer publiquement des informations sensibles, les forçant ainsi à payer une rançon colossale. L'entreprise de cybersécurité Sophos appelle cette tactique « Tourner la vis », soulignant la pression croissante exercée sur les victimes jusqu'à ce qu'elles cèdent.

Cette découverte a révélé une nouvelle tactique extrêmement dangereuse de Qilin : attaquer directement les identifiants de connexion de millions d'utilisateurs de Google Chrome. Avec plus de 65 % de parts de marché, Google Chrome est devenu une cible lucrative pour les pirates, ouvrant une porte dérobée leur permettant d'infiltrer tous les aspects de la vie numérique de leurs victimes, des comptes bancaires aux e-mails, en passant par les systèmes d'entreprise importants.

L'intrusion réussie du contrôleur de domaine de la cible par le groupe de rançongiciels Qilin en juillet 2024 a révélé une grave vulnérabilité dans le système de cybersécurité de nombreuses organisations. Une attaque contre le contrôleur de domaine, cœur du réseau, fragilise l'ensemble du système, entraînant des conséquences imprévisibles telles que la perte de données, des perturbations opérationnelles et une atteinte à la réputation.

Une enquête plus approfondie sur les activités du groupe Qilin a révélé un scénario d'attaque sophistiqué : les attaquants ont infiltré le système ciblé en achetant des identifiants de réseau privé virtuel (VPN) auprès d'un courtier sur le dark web. Ils ont ensuite patiemment « hiberné » dans le système pendant 18 jours, observant silencieusement, cartographiant le réseau et sélectionnant les cibles d'attaque les plus précises.

La campagne a été rendue plus sophistiquée grâce à un outil malveillant spécialement conçu pour voler les identifiants de connexion de Google Chrome. Après avoir réussi à pénétrer le système, le groupe de rançongiciels s'est rapidement propagé, transformant l'ensemble du réseau de la victime en une véritable « usine » à se dupliquer en masse.

Lorsqu'un tel incident se produit, les experts en sécurité doivent non seulement changer tous les mots de passe, mais aussi convaincre des millions d'utilisateurs de modifier les mots de passe de leurs nombreux comptes en ligne. C'est un problème complexe, car changer les mots de passe de chaque compte est un processus long et fastidieux, et de nombreux utilisateurs négligent ou oublient de le faire.

Depuis son apparition en octobre 2022, le rançongiciel Qilin a causé de graves dommages à de nombreuses organisations à travers le monde. Grâce à sa capacité à se propager rapidement et à chiffrer efficacement les données, Qilin a contraint de nombreuses entreprises à fermer, entraînant d'importantes pertes financières et la fuite d'informations sensibles sur leurs clients.

L'émergence du groupe de rançongiciels Qilin a alerté sur la gravité croissante de la situation en matière de cybersécurité. Face à l'évolution constante des menaces, les entreprises doivent se montrer plus proactives dans la protection de leurs systèmes. La mise en œuvre de l'authentification multifacteur, l'utilisation de solutions de sécurité robustes pour les terminaux et la mise à jour régulière des mesures de sécurité sont des mesures urgentes pour prévenir les attaques de rançongiciels.