A ISH Tecnologia alerta para as atividades de um grupo criminoso que se utiliza de uma prática muito utilizada por usuários por todo o mundo: seu ransomware, conhecido como "Qilin", rouba credenciais salvas no Google Chrome para ter acesso a informações sensíveis de suas vítimas.
De acordo com a análise da ISH, os ataques do Qilin envolvem a dupla extorsão, ou seja, após o roubo dos dados e a criptografia dos sistemas, que os torna inacessíveis, o grupo ameaça revelar ou vender os dados vazados caso a vítima não pague a chave da criptografia, que tende a ser de um valor altíssimo. O "recado" deixado pelo grupo após a invasão ainda alerta para que o usuário não tente descriptografar os arquivos por conta própria, o que pode levar a sua destruição permanente.
O grupo está ativo há pouco mais de dois anos, e ganhou notoriedade com um ataque contra uma prestadora de serviços governamentais para vários provedores de saúde e hospitais no Reino Unido. A perícia da ISH também revela que o grupo costuma visar empresas e serviços que não habilitam a autenticação multifatorial (quando outra credencial, além da senha, é necessária) em seus ataques.
Em um dos casos, foi relatada a presença do invasor nos sistemas da empresa atingida por dezoito dias. Durante esse período, cada usuário conectado teve suas credenciais roubadas a cada login. A ISH revela que o foco está no Google Chrome, por ser o navegador mais utilizado do mundo. Além disso, pesquisas recentes mostram que o usuário médio possui cerca de 87 senhas de trabalho, e o dobro de senhas pessoais. No caso de um ataque bem-sucedido contra o navegador, todas que estiverem armazenadas passam a estar nas mãos de criminosos.
"Apesar de ser uma prática facilitadora e comum, utilizada por muitos, o armazenamento de credenciais em navegadores é muito perigoso, na maioria das vezes por questões que fogem ao controle de seus desenvolvedores, e por isso deve ser evitada", explica Caique Albuquerque, Especialista em Inteligência de Ameaças da ISH. "Malwares são criados e disparados com o único objetivo de procurar esse tipo de informação nas máquinas que invadem; considere utilizar, em vez disso, um gerenciador de senhas."
O especialista também explica que, conforme ilustrado pelos ataques do Qilin, a autenticação multifatorial deve ser implementada sempre que possível. "Trata-se de uma barreira de segurança a mais, e que na maioria das vezes consiste numa credencial de acesso exclusivo ao usuário, dificultando assim seu vazamento", conclui.
