Các nhà nghiên cứu tại công ty an ninh mạng Sophos của Anh đã phát hiện một diễn biến mới và đáng lo ngại trong hoạt động của ransomware Oilin, còn được biết đến với cái tên Qilin. Theo thông tin mới nhất, Qilin không chỉ đơn thuần là mã độc tống tiền mà còn có khả năng thu thập thông tin đăng nhập qua trình duyệt Google Chrome.
Trong một cuộc điều tra gần đây về vụ vi phạm bảo mật tại Synnovis, một nhà cung cấp dịch vụ phòng thí nghiệm cho các bệnh viện NHS ở Đông Nam London, nhóm nghiên cứu của Sophos đã phát hiện rằng những kẻ tấn công đã truy cập và đánh cắp thông tin đăng nhập được lưu trong Google Chrome từ một số điểm cuối trong mạng của Synnovis.
Điều đáng nói là vào ngày 3 tháng 6 năm 2024, nhóm ransomware Oilin đã công khai tuyên bố đánh cắp dữ liệu bệnh viện và bệnh nhân, đồng thời yêu cầu khoản tiền chuộc lên đến 50 triệu USD. Khi đàm phán thất bại, nhóm này không ngần ngại công khai dữ liệu đã đánh cắp.
Phát hiện mới về khả năng nhắm mục tiêu vào thông tin đăng nhập trên Google Chrome cho thấy một sự thay đổi chiến thuật của Qilin, làm tăng nguy cơ tiếp cận thông tin tài chính, email, dữ liệu lưu trữ đám mây và các tài khoản kinh doanh của nạn nhân.
Quá trình tấn công được mô tả như sau: Kẻ tấn công bắt đầu bằng cách sử dụng thông tin đăng nhập vào VPN bị xâm phạm, có khả năng đã được mua từ web đen. Sau đó, chúng dành 18 ngày để âm thầm lập bản đồ mạng, xác định các tài sản quan trọng và chuẩn bị cho các bước tiếp theo. Khi đã sẵn sàng, ransomware triển khai Group Policy Objects (GPO) để tự động hóa quá trình tấn công trên toàn mạng, nhằm tăng hiệu quả và phạm vi tiếp cận.
Các chuyên gia từ Sophos khuyến cáo các tổ chức cần áp dụng các biện pháp an ninh mạnh mẽ hơn như xác thực đa yếu tố (MFA) cho các giải pháp truy cập từ xa, sử dụng bảo mật điểm cuối để phát hiện và ngăn chặn các hoạt động đáng ngờ, cũng như thường xuyên sao lưu dữ liệu và cập nhật vá các lỗ hổng bảo mật trên tất cả hệ thống mạng