فيرس Qilin ransomware اتكشف مؤخرًا، وهو بيقدر يسرق البيانات الحساسة اللي متخزنة في متصفح جوجل كروم.
في تقريرها، شركة Sophos وضحت إزاي مجموعة إجرامية استخدمت بيانات اعتماد مخترقة عشان تدخل على البنية التحتية لتكنولوجيا المعلومات بتاعت منظمة مش معلنة.
البيانات كانت لحساب شبكة خاصة افتراضية (VPN) واللي مكنش فيها المصادقة متعددة العوامل (MFA)، وده خلاها سهلة الوصول نسبيًا.
سرقة بيانات بالجملة
Sophos بتقول إنها مش عارفة إذا كان الخرق الأولي حصل بواسطة وسيط دخول أولي (IAB) وسلمه لمشغلي الفيروس، ولا كان كله من نفس المجموعة.
في كل الأحوال، المجموعة فضلت موجودة أكتر من أسبوعين (18 يوم) قبل ما تتحرك داخل الشبكة باستخدام البيانات المسروقة. وعلى الرغم من إنهم اتشافوا على وحدة تحكم واحدة في نطاق Active Directory بتاع الهدف، الباحثين استنتجوا إن باقي وحدات التحكم في النطاق كانت متأثرة بشكل مختلف.
تكتيكات جديدة وخطيرة
Qilin هو فيرس تقليدي بيعمل على هجوم مزدوج – بيجمع المعلومات الأول وبعدين يشفر الجهاز ويطلب فدية عشان فك التشفير. لكن اللي بيخلي العملية دي فريدة نوعًا ما هو الطريقة اللي بيستهدف بيها جوجل كروم.
“خلال تحقيق حديث في اختراق Qilin ransomware، فريق Sophos X-Ops لاحظ نشاط المهاجمين في سرقة جماعية لبيانات الاعتماد المخزنة في متصفحات جوجل كروم على أجهزة الشبكة – وده تكتيك ممكن يكون له تأثيرات كبيرة تتجاوز المنظمة الأصلية”، الباحثين وضحوا.
بمعنى تاني، Qilin بيجمع بيانات الاعتماد المحفوظة في متصفحات كروم على الأجهزة المتصلة بنفس الشبكة اللي تم اختراقها.
المجرمين السيبرانيين بيطوروا تكتيكاتهم
Sophos أكدت إن المجرمين السيبرانيين بيطوروا تكتيكاتهم بشكل مستمر، وبتشدد على أهمية استخدام مديري كلمات المرور وتفعيل المصادقة متعددة العوامل (MFA) لتقليل فرص الوقوع ضحية.
