cybersécurité

L’évolution des ransomwares : comment les cybercriminels élargissent leurs tactiques avec la collecte de mots de passe et l’exploitation des identifiants

Ces derniers temps, le navigateur Chrome est devenu une cible privilégiée du groupe cybercriminel Qilin, réputé pour ses attaques sophistiquées par ransomware. En plus de chiffrer les fichiers critiques et de perturber les systèmes, ce groupe se distingue par sa capacité à exfiltrer et exploiter les identifiants stockés dans Chrome. Cette méthode représente une évolution préoccupante dans les tactiques des cyberattaquants, faisant peser une menace accrue sur la sécurité des utilisateurs et des entreprises, notamment en facilitant des intrusions ultérieures et des actes de chantage numérique. 

Tribune – Ilia Sotnikov, Security Strategist chez Netwrix, a fait l’analyse suivante :

« Ces dernières années, les opérateurs de ransomware ont adopté la stratégie de la double extorsion. Dans un premier temps, ils chiffrent les systèmes pour les rendre inutilisables et interrompre les processus opérationnels. Ensuite, ils exfiltrent et “prennent en otage” des données précieuses pour l’organisation, telles que des informations financières, des communications internes, des secrets commerciaux ou des données personnelles de clients. Ils exigent alors une rançon en échange de deux promesses : déchiffrer les systèmes et supprimer les données dérobées sans les publier.

Le groupe de ransomware Qilin fait de même. Cependant, un rapport de Sophos révèle qu’en plus de dérober les données de l’organisation, ils collectent également les mots de passe des utilisateurs finaux. Jusqu’à présent, cet aspect n’intéressait pas particulièrement les groupes de ransomware, car il n’offrait pas de voie directe vers la monétisation. Pourtant, ces informations sont précieuses pour les cybercriminels et peuvent être exploitées de diverses manières.

Premièrement, le navigateur Chrome peut stocker des identifiants donnant accès à des dizaines, voire des centaines de ressources professionnelles et personnelles. Cela offre aux attaquants l’opportunité d’analyser les outils et services utilisés par l’organisation, de mieux comprendre ses processus et de cibler leurs attaques de manière plus précise, augmentant ainsi la probabilité de paiement de la rançon.

Deuxièmement, il sera difficile pour une organisation de déployer rapidement l’authentification multi-facteurs (MFA) sur tous les services qu’elle utilise. Il est également peu probable que les utilisateurs modifient immédiatement leurs mots de passe sur les différents comptes et services qu’ils utilisent. Cela permet au groupe de ransomware d’exploiter les identifiants volés lors de futures attaques, en utilisant ces informations comme vecteur d’attaque initial pour infiltrer l’environnement, que ce soit directement ou via des campagnes de phishing ciblées et d’ingénierie sociale.

Enfin, il existe un marché sur le dark web pour les comptes et mots de passe compromis. Pour les groupes de ransomware, cela peut constituer une activité secondaire rentable, en plus de leur activité principale d’extorsion.

SOURCE

Veille-cyber

Recent Posts

Les 7 menaces cyber les plus fréquentes en entreprise

Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…

3 jours ago

Cybersécurité : Vers une montée en compétence des établissements de santé grâce aux exercices de crise

Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…

2 semaines ago

Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…

2 semaines ago

L’IA : opportunité ou menace ? Les DSI de la finance s’interrogent

L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…

2 semaines ago

Telegram menace de quitter la France : le chiffrement de bout en bout en ligne de mire

Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…

2 semaines ago

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le secteur financier

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…

2 semaines ago

This website uses cookies.