Các nhà nghiên cứu tại Sophos, một công ty an ninh mạng của Anh, đã phát hiện ra một xu hướng đáng lo ngại trong hoạt động của ransomware Oilin, còn gọi là Qilin. Điều đáng chú ý là mã độc này hiện đang nhắm vào việc thu thập thông tin đăng nhập được lưu trữ trên trình duyệt Google Chrome.
Theo Sophos, trong quá trình điều tra vụ tấn công vào Synnovis, nhóm nghiên cứu phát hiện rằng những kẻ tấn công đã đánh cắp thông tin đăng nhập được lưu trữ trong Google Chrome trên một số điểm cuối trong mạng của công ty này.
Vụ việc này liên quan đến một cuộc tấn công vào ngày 3/6/2024, khi băng đảng ransomware Oilin nhắm vào Synnovis, một nhà cung cấp dịch vụ phòng thí nghiệm thuê ngoài cho các bệnh viện thuộc NHS ở Đông Nam London. Băng đảng đã tuyên bố đánh cắp dữ liệu bệnh viện và bệnh nhân, yêu cầu khoản tiền chuộc lên tới 50 triệu USD. Sau khi các cuộc đàm phán không thành công, nhóm này đã công khai toàn bộ dữ liệu bị đánh cắp.
Điều đáng chú ý trong phát hiện mới này là sự thay đổi chiến thuật của ransomware Qilin. Thay vì chỉ tập trung vào mã hóa dữ liệu như trước, Qilin đã chuyển hướng nhắm vào các thông tin đăng nhập được lưu trữ trong Google Chrome của các mạng bị nhiễm. Việc này có thể dẫn đến những hậu quả nghiêm trọng, như việc kẻ tấn công có thể truy cập vào các tài khoản tài chính, email, lưu trữ đám mây, hoặc các tài khoản kinh doanh bằng cách sử dụng thông tin đăng nhập bị đánh cắp.
Trong quá trình phân tích một cuộc tấn công của Qilin, các nhà nghiên cứu nhận thấy kẻ tấn công bắt đầu bằng cách sử dụng thông tin đăng nhập vào VPN bị xâm nhập, có thể đã được mua từ thị trường web đen. Sau đó, chúng “ngủ đông” trong 18 ngày, lặng lẽ lập bản đồ mạng, xác định các tài sản quan trọng, và lên kế hoạch cho bước tấn công tiếp theo.
Tình hình càng nghiêm trọng hơn khi ransomware này triển khai các Group Policy Objects (GPO) để tự động hóa quy trình tấn công trên toàn bộ mạng. Sự tự động hóa này không chỉ làm tăng hiệu quả của cuộc tấn công mà còn mở rộng phạm vi tác động của mã độc.
Các chuyên gia cảnh báo rằng sự phát triển trong chiến thuật của Qilin làm nổi bật tầm quan trọng của việc giám sát liên tục và điều chỉnh các chiến lược bảo mật. Để đối phó với các mối đe dọa ngày càng tinh vi, các tổ chức cần triển khai xác thực đa yếu tố (MFA) cho các giải pháp truy cập từ xa, sử dụng các giải pháp bảo mật điểm cuối (EndPoint Security) để phát hiện và ngăn chặn các hành vi đáng ngờ, cũng như thường xuyên sao lưu dữ liệu và vá tất cả các hệ thống mạng, bao gồm cả hệ điều hành và trình duyệt web.
