Przechowujesz hasła w przeglądarce? Na te rzeczy lepiej uważaj, doszło do wycieku

W czerwcu tego roku nowa grupa ransomware przeprowadziła cyberatak na systemy brytyjskich szpitali. Celem ataku stał się dostawca usług dla służby zdrowia na Wyspach - Synnovis. Grupa działa od ponad dwóch lat, ale to właśnie to wydarzenie spowodowało, że zyskała rozpoznawalność.

Grupy ransomware to zorganizowane grupy cyberprzestępców, którzy tworzą, rozpowszechniają i używają oprogramowania ransomware w celu szantażu ofiar. Złośliwe oprogramowanie blokuje dostęp do danych lub systemu ofiary poprzez szyfrowanie plików lub całkowite zablokowanie urządzenia. Następnie przestępcy żądają okupu (najczęściej w kryptowalutach, takich jak bitcoin) w zamian za odblokowanie dostępu do danych.

Działania grup ransomware mogą być bardzo dobrze zorganizowane, a ich metody stają się coraz bardziej zaawansowane. Często atakują one duże organizacje, takie jak firmy, szpitale (przykład Wielkiej Brytanii), czy instytucje rządowe, co może prowadzić do poważnych zakłóceń i strat finansowych. Wcześniej przestępcy z Qilin stosowali taktykę podwójnego wymuszenia, polegającą na kradzieży danych, szyfrowaniu systemów i grożeniu ujawnieniem lub sprzedażą skradzionych informacji, jeśli okup nie zostanie zapłacony.

Jak wykryli badacze z Sophos X-Ops, rozmiar ataku na brytyjskie szpitale był jednak o wiele większy, niż początkowo sądzono. Zauważyli oni nietypowe zachowanie dla grup ransomware, co wskazuje na ewolucję taktyk cyberprzestępców.

W trakcie ataku na brytyjskie szpitale Qilin nie tylko przeprowadził atak ransomware, ale także skradł dane uwierzytelniające z urządzeń ofiar. Grupa celowała w przeglądarkę Google Chrome, z której korzysta ponad 65 proc. użytkowników internetu. Okazało się, że grupa była również odpowiedzialna za kradzież haseł przechowywanych w przeglądarce Google Chrome.

- Kradzież danych uwierzytelniających to jedna z najskuteczniejszych metod infiltracji systemów przez cyberprzestępców. Według naszego raportu Active Adversary, stanowiła ona główną przyczynę ataków w pierwszej połowie 2024 roku i odegrała znaczną rolę w wielu głośnych przypadkach naruszenia bezpieczeństwa danych, które widzieliśmy w tym roku - tłumaczy Christopher Budd, dyrektor ds. badań nad zagrożeniami w Sophos X-Ops.

Jak jednak podali badacze, Qilin poszedł o krok dalej, pozyskując informacje z przeglądarek Google Chrome, w których użytkownicy często przechowują hasła do różnych kont. - To czyni te dane niezwykle cennymi dla cyberprzestępców - dodaje Budd.

Konsekwencje utraty danych uwierzytelniających - w tym haseł do kont w mediach społecznościowych, skrzynki pocztowej e-mail czy kont bankowych - mogą być bardzo duże. Jak twierdzą badacze, to jeden z najgroźniejszych scenariuszy w cyberbezpieczeństwie.

Poprzez uzyskanie dostępu do loginów i haseł, przestępcy mogą przejąć kontrolę nad kontami bankowymi, e-mailami, profilami w mediach społecznościowych, a nawet nad infrastrukturą IT firmy. Jakie zatem konkretnie mogą być konsekwencje kradzieży danych uwierzytelniających? To między innymi:

• kradzież tożsamości;
• oszustwa finansowe;
• wyciek wrażliwych informacji, które mogą narazić ofiarę na poważne straty finansowe;
• ryzyko dalszych ataków;
• sprzedaż danych na czarnym rynku.

Jak ostrzegają badacze Sophos, nawet użytkownicy, którzy nie padli ofiarą bezpośredniego ataku, mogą być zagrożeni. Poprzednio wykradzione dane zostaną użyte przeciwko nim w innych działaniach przestępczych. 

Nierzadko nie jest łatwo zapamiętać hasła do wszystkich kont i aplikacji, dlatego mendżerowie haseł czy zapisywanie ich w sieci są coraz popularniejszymi praktykami. W celu zabezpieczenia się przed cyberatakami, w ramach których nasze hasła czy loginy mogą paść ofiarą kradzieży, warto zwrócić szczególną uwagę na kilka rzeczy.

Zarówno przedsiębiorstwa, jak i osoby prywatne powinny polegać na sprawdzonych aplikacjach do zarządzania hasłami. Wszystko przez to, że grupy ransomware ciągle dostosowują swoje taktyki do stosowanych zabezpieczeń, próbując je ominąć.

- Silny system zarządzania hasłami oraz uwierzytelnianie wieloskładnikowe mogą znacząco zmniejszyć ryzyko nieautoryzowanego dostępu do poufnych danych. Nawet jeśli przestępcy zdobędą login i hasło, będą musieli pokonać dodatkowe warstwy ochrony, co utrudni im dostęp do kont - uważa Christopher Budd.

Jak zabezpieczyć się przed kradzieżą haseł i loginów? Podsumowując:

• należy korzystać ze sprawdzonych menadżerów haseł; 
• warto zainwestować w dwuskładnikowe uwierzytelnianie (kod SMS, aplikacja uwierzytelniająca, sprzętowy klucz bezpieczeństwa); 
• unikać phishingu (nie otwierać podejrzanych e-maili, a także nie klikać w linki niewiadomego pochodzenia); 
• unikać innych oszustw (np. podawania swoich danych na nieznanych stronach). 

Jak podkreślają eksperci, korzystanie z menedżera haseł wbudowanego w przeglądarkę nie jest bezpiecznym rozwiązaniem, co wyraźnie pokazał ostatni "incydent".