Le gang Qilin, actif depuis plus de deux ans, a frappé le prestataire de services de santé britannique Synnovis. Cette attaque, survenue en juin dernier, a été marquée par une nouvelle méthode de vol de données qui cible directement les mots de passe enregistrés dans les navigateurs Chrome des utilisateurs du réseau.
Une attaque contre le système de santé britannique
L’infiltration a commencé par l’exploitation de données d’accès volées à un service de VPN utilisé par Synnovis. Cette faille est liée à l’absence de protection par authentification à deux facteurs sur le portail VPN, facilitant ainsi l’accès des pirates au système. Sophos souligne que ce type de négligence est malheureusement courant et permet souvent aux attaquants de pénétrer les réseaux sans grande difficulté.
Qilin a ensuite patiemment attendu 18 jours avant de passer à l’offensive, modifiant les règles du réseau pour déployer un script conçu pour collecter des informations sensibles. Ce script, nommé « IPScanner.ps1 », a permis de récolter les mots de passe enregistrés dans Chrome sur les machines des employés du réseau, qui sont alors devenus des victimes collatérales de cette attaque. Chaque connexion à une machine déclenchait ainsi l’exécution d’un script chargé de collecter les informations d’identification stockées dans le navigateur.
Qilin ne s’est pas contenté de voler des données : le groupe a également chiffré les fichiers des systèmes infectés. Ce type d’attaque, connu sous le nom de double extorsion, consiste à non seulement chiffrer les données, mais aussi à menacer de les divulguer publiquement si la rançon n’est pas payée. Dans le cas de Synnovis, les pirates ont volé des informations hautement sensibles, allant des données personnelles des employés aux informations financières des clients et aux détails d’accès aux différents services de l’entreprise.
La menace de Qilin a été explicite : « Si vous refusez de communiquer avec nous et que nous ne parvenons pas à un accord, vos données seront publiées sur notre blog. » Le groupe a exigé une rançon de 50 millions de dollars, une somme qui reflète l’importance des informations dérobées.
Les chercheurs de Sophos, qui ont suivi l’évolution de cette attaque, ont précisé que les cybercriminels ont effacé toutes les preuves de leur intrusion, notamment les fichiers volés et les logs d’événements, avant de lancer leur ransomware sur l’ensemble des systèmes. La demande de rançon a ensuite été placée dans chaque répertoire des machines infectées, accentuant la pression sur les victimes.
Le choix de Google Chrome par Qilin pour mener cette attaque n’est pas anodin. Chrome est le navigateur le plus utilisé dans le monde avec plus de 75 % de parts de marché, ce qui en fait une cible privilégiée pour les collectes de mots de passe. Cette stratégie est peu courante dans les attaques par ransomware, elle s’est cependant révélée particulièrement efficace. En une seule intrusion, Qilin a pu accéder à une quantité massive de données stockées localement sur les appareils des utilisateurs du réseau.
Sophos recommande l’adoption de meilleures pratiques de sécurité, comme l’utilisation de gestionnaires de mots de passe tiers et l’activation systématique de l’authentification à deux facteurs.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
