ورود به سیستم VPN به خطر افتاده برای سرقت اطلاعات کاربری Google Chrome استفاده می شود
دادههای حساس ذخیرهشده در Google Chrome با استفاده از باجافزار Qilin، به لطف برخی از اعتبارنامههای VPN به خطر افتاده، با موفقیت لو رفت.
این سرقت اطلاعات توسط شرکت امنیتی Sophos در حین بررسی نقض اطلاعات اخیر مربوط به باج افزار Qilin کشف شد.
در این حمله سایبری تعداد زیادی اعتبار از مرورگرهای گوگل کروم به سرقت رفت. این نشان میدهد که حتی بهترین VPN نمیتواند شما را ایمن نگه دارد، مگر اینکه از شیوههای خوب امنیت سایبری پیروی کنید.
سرقت اطلاعات چگونه اتفاق افتاد؟
هکرها توانستند از اعتبارنامه های ورود به خطر افتاده برای یک پورتال VPN برای دسترسی به محیط استفاده کنند. احراز هویت چند عاملی (MFA) در پورتال VPN مورد نظر فعال نبود.
پس از دسترسی به محیط، مهاجم 18 روز منتظر ماند تا فعالیت خود را در سیستم افزایش دهد و به صورت جانبی حرکت کند تا با استفاده از اعتبار در معرض خطر، به کنترل کننده دامنه دسترسی پیدا کند.
هنگامی که مهاجم سایبری به این کنترلکننده دامنه دسترسی پیدا کرد، خطمشی پیشفرض دامنه را ویرایش کرد تا کدهای مخرب را وارد آن کند، از جمله یک اسکریپت خاص که دادههای اعتبار ذخیره شده در Google Chrome را جمعآوری میکرد. آنها سپس یک اسکریپت دوم را مستقر کردند که کنترل دامنه را وادار کرد تا اسکریپت اول را اجرا کند تا بتوانند تمام اعتبارنامه های ذخیره شده در مرورگرهای Google Chrome ماشین های شبکه را جمع آوری کنند. این اسکریپت ها را می توان در هر ماشین کلاینت که وارد شبکه شده است اجرا کرد.
این احتمالاً منجر به سرقت تعداد زیادی رمز عبور شده است. علاوه بر این، برای هر مرورگر کروم، داده های نقض شده، به طور خاص هر فرد به طور متوسط 225 رمز عبور دارد برای ورود به سیستم تجاری و شخصی. اگر هر یک از این گذرواژهها در لاگینهایی که در گوگل کروم ذخیره نشدهاند تکرار شوند، این امر میتواند به هکرها امکان دسترسی به این حسابها را نیز بدهد.
این حمله سایبری واقعاً اهمیت بهروزرسانی منظم گذرواژهها، با استفاده از مدیر رمز عبور را برجسته میکند تا بتوانید اعتبارنامههای ورود منحصربهفردی برای هر حساب ایجاد کنید، و MFA را فعال کنید. در حالی که نمی توانم با اطمینان بگویم که اعتبارنامه و MFA به روز شده هکرها را به طور کامل متوقف می کند، ممکن است حداقل سرعت آنها را کند کرده باشد و به صاحب اعتبارنامه هشدار داده باشد که شخصی سعی دارد به حساب آنها دسترسی پیدا کند و به آنها اجازه مداخله می دهد.
باج افزار Qilin چیست؟
باج افزار Qilin به بدافزاری گفته می شود که توسط گروه باج افزار Qilin توزیع شده است.
خود این گروه حدود دو سال است که فعال بوده است، اما شهرت واقعی آن در ژوئن سال جاری و زمانی که Synovis را راه اندازی کرد، یک مشارکت علمی و پزشکی بین SYNLAB انگلستان و ایرلند، کینگز کالج Hospital NHS Foundation Trust و Guy’s and St Thomas’ NHS Foundation آغاز شد. اعتماد، که خدماتی را به NHS ارائه می دهد، او به لطف حمله خود برنده شد.
این حملات به شدت بر عملیات روزانه Synovis (به عنوان مثال پردازش نمونه ها) تأثیر گذاشت و تقریباً همه سیستم های فناوری اطلاعات را تحت تأثیر قرار داد. این بدان معنی بود که آنها مجبور بودند برای تکمیل بیشتر فرآیندهای خود به جای ابزارهای دیجیتال از قلم و کاغذ استفاده کنند.
قبل از حمله استخراج دادههای گوگل کروم، باجافزار Qilin از تکنیک «اخاذی مضاعف» استفاده میکرد که مورد علاقه اکثر باجافزارهای جنایتکار بود. این به هکرها اجازه می دهد تا به یک سیستم نفوذ کنند، شبکه آن را رمزگذاری کنند و سپس با تهدید قربانی به افشای یا فروش اطلاعاتی که رمزگذاری کرده اند، اخاذی کنند، مگر اینکه قربانی مقدار زیادی پول برای کلید رمزگذاری بپردازد.
میتوانید درباره تحقیقات Sophos درباره باجافزار Qilin اطلاعات بیشتری کسب کنید اینجا.
منبع: tomsguide