Ces derniers temps, le navigateur Chrome est devenu une cible privilégiée du groupe cybercriminel Qilin, réputé pour ses attaques sophistiquées par ransomware. En plus de chiffrer les fichiers critiques et de perturber les systèmes, ce groupe se distingue par sa capacité à exfiltrer et exploiter les identifiants stockés dans Chrome. Cette méthode représente une évolution préoccupante dans les tactiques des cyberattaquants, faisant peser une menace accrue sur la sécurité des utilisateurs et des entreprises, notamment en facilitant des intrusions ultérieures et des actes de chantage numérique.
Tribune – Ilia Sotnikov, Security Strategist chez Netwrix, a fait l’analyse suivante :
« Ces dernières années, les opérateurs de ransomware ont adopté la stratégie de la double extorsion. Dans un premier temps, ils chiffrent les systèmes pour les rendre inutilisables et interrompre les processus opérationnels. Ensuite, ils exfiltrent et “prennent en otage” des données précieuses pour l’organisation, telles que des informations financières, des communications internes, des secrets commerciaux ou des données personnelles de clients. Ils exigent alors une rançon en échange de deux promesses : déchiffrer les systèmes et supprimer les données dérobées sans les publier.
Le groupe de ransomware Qilin fait de même. Cependant, un rapport de Sophos révèle qu’en plus de dérober les données de l’organisation, ils collectent également les mots de passe des utilisateurs finaux. Jusqu’à présent, cet aspect n’intéressait pas particulièrement les groupes de ransomware, car il n’offrait pas de voie directe vers la monétisation. Pourtant, ces informations sont précieuses pour les cybercriminels et peuvent être exploitées de diverses manières.
Premièrement, le navigateur Chrome peut stocker des identifiants donnant accès à des dizaines, voire des centaines de ressources professionnelles et personnelles. Cela offre aux attaquants l’opportunité d’analyser les outils et services utilisés par l’organisation, de mieux comprendre ses processus et de cibler leurs attaques de manière plus précise, augmentant ainsi la probabilité de paiement de la rançon.
Deuxièmement, il sera difficile pour une organisation de déployer rapidement l’authentification multi-facteurs (MFA) sur tous les services qu’elle utilise. Il est également peu probable que les utilisateurs modifient immédiatement leurs mots de passe sur les différents comptes et services qu’ils utilisent. Cela permet au groupe de ransomware d’exploiter les identifiants volés lors de futures attaques, en utilisant ces informations comme vecteur d’attaque initial pour infiltrer l’environnement, que ce soit directement ou via des campagnes de phishing ciblées et d’ingénierie sociale.
Enfin, il existe un marché sur le dark web pour les comptes et mots de passe compromis. Pour les groupes de ransomware, cela peut constituer une activité secondaire rentable, en plus de leur activité principale d’extorsion.