Attention : Un nouveau ransomware cible vos données Google Chrome !
Le fléau du moment s’appelle Qilin. Il ne s’agit pas d’un ransomware ordinaire. Ce qui le rend vraiment effrayant, c’est sa capacité à voler des informations cruciales stockées dans Google Chrome avant de bloquer vos fichiers et d’exiger une rançon. Alors, comment cela fonctionne-t-il exactement ?
Une attaque subtile mais redoutable
Le processus commence par l’infiltration du réseau cible. Pour cela, Qilin utilise des identifiants compromis, souvent obtenus par des voies malveillantes, pour accéder à un portail VPN qui, malheureusement, n’a pas activé l’authentification à plusieurs facteurs (MFA). Une fois à l’intérieur, les pirates patientent environ 18 jours. Ils cartographient le réseau, identifient les ressources critiques et planifient leur attaque avec précision.
La technique du vol massif de données
Le point fort de cette cyberattaque est l’exécution d’un script PowerShell sur les machines connectées au réseau. Ce script, activé à chaque connexion de l’utilisateur, récolte les identifiants stockés dans Google Chrome. Ces informations sont ensuite envoyées à un serveur contrôlé par les pirates, et toutes les traces de l’attaque sont effacées pour masquer leur activité.
Imaginez un instant l’ampleur du désastre : chaque utilisateur touché pourrait voir ses identifiants pour des dizaines, voire des centaines de sites, compromis. Non seulement cela affecte les données de l’entreprise cible, mais cela pourrait aussi provoquer une vague de cyberattaques sur d’autres plateformes utilisant les mêmes informations d’identification.
Les conséquences désastreuses
Après avoir récolté toutes ces données, Qilin passe à l’étape suivante : le chiffrement des fichiers sur les machines compromises. Un message de rançon est alors affiché, exigeant une somme d’argent en échange de la clé de déchiffrement. Le pire dans tout ça ? Même après le paiement, rien ne garantit que vos données seront entièrement récupérées.
Comment se protéger contre Qilin ?
Voici quelques mesures simples mais efficaces pour vous prémunir contre ce type d’attaque :
- Activez l’authentification à plusieurs facteurs (MFA) sur tous les accès sensibles, y compris les VPN et les plateformes en ligne. Cela réduit considérablement le risque d’intrusion même si les identifiants sont compromis.
- Utilisez un gestionnaire de mots de passe sécurisé qui ne dépend pas uniquement du navigateur pour stocker vos identifiants. Les gestionnaires de mots de passe dédiés sont souvent mieux protégés contre ce type de vol
- Segmentez votre réseau pour limiter la propagation d’une attaque. Cela peut empêcher les pirates d’accéder à l’ensemble du réseau et de causer des dégâts plus importants.
- Surveillez en permanence les activités inhabituelles sur votre réseau pour détecter les intrusions avant qu’elles ne deviennent incontrôlables.
Ce ransomware Qilin a dejà attaqué le laboratoire de pathologie Synnovis, le 3 juin dernier, voici un bulletin d’alerte produit par l’Agence du Numérique en Santé