Il ransomware Qilin è noto agli esperti di sicurezza da almeno un paio di anni, avendo guadagnato di notorietà a causa della sua strategia tristemente famosa come doppia estorsione.
Come evidenziato da Sophos X-Ops, i cybercriminali che gestiscono questa minaccia sembrano aver cambiato strategia, proponendo una nuova e allarmante tattica. Nello specifico, Qilin sembra ora concentrarsi sulle credenziali archiviate nel browser Google Chrome presente sul computer delle vittime.
Visto che la maggior parte di utenti conserva su Chrome password e altri dati sensibili. Tenendo conto dell’ampia diffusione del software (che secondo alcune stime detiene il 65% del settore browser), è facile intuire come per i cybercriminali questo cambio di strategia possa risultare vincente.
Il primo attacco di questo tipo segnalato dagli esperti sembra risalire allo scorso giugno, quando il ransomware ha infettato Synnovis, fornitore di servizi governativi per l’assistenza sanitaria nel Regno Unito. In quel caso, Qilin ha ottenuto accesso a dati sensibili attraverso tramite credenziali compromesse relative a un portale VPN privo di autenticazione a più fattori (MFA) su un computer dell’azienda.
Qilin e il caso Synnovis: Google Chrome nel mirino dei cyberciminali
Stando alla segnalazione degli esperti, nei giorni seguenti i cybercriminali si sono gradualmente spinti all’interno del network aziendale di Synnovis, andando a rastrellare tutte le credenziali presenti nei browser Chrome.
Raccogliendo credenziali, Qilin e gruppi simili possono ottenere informazioni di grande valore, non solo per quanto riguarda il futuro immediato. I dati così ottenuti, possono essere infatti venduti in blocco sul Dark Web oppure sfruttati per attacchi più raffinati. A livello pratico, ciò sottolinea come non sia saggio conservare credenziali sensibili sul proprio browser. Sebbene Chrome offra un ottimo servizio per memorizzare le password, affidarsi a servizi terzi professionali può, in molti casi, rivelarsi più sicuro.
Al giorno d’oggi online esistono infatti vari servizi, noti come password manager, in grado di generare e proteggere in modo adeguato le parole d’accesso utilizzate per accedere a servizi bancari, social network e non solo.