De criminelen achter de Qilin-ransomware stelen bij aangevallen bedrijven en organisaties wachtwoorden van besmette machines. Het gaat dan specifiek om inloggegevens die door medewerkers in Google Chrome zijn opgeslagen. Dat laat antivirusbedrijf Sophos weten. De virusbestrijder roept op om geen wachtwoorden in de browser op te slaan en een aparte wachtwoordmanager te gebruiken.

Net als veel andere ransomwaregroepen steelt ook de Qilin-groep eerst allerlei data van organisaties, voordat systemen worden versleuteld. Onlangs onderzocht Sophos een aanval op een organisatie. De aanvallers hadden door middel van gecompromitteerde VPN-inloggegevens toegang tot de organisatie gekregen. De niet nader genoemde VPN-oplossing maakte geen gebruik van multifactorauthenticatie.

Nadat de aanvallers toegang hadden voerden ze een script uit waarmee van alle op het netwerk aangesloten machines de in Google Chrome opgeslagen wachtwoorden werden gestolen. Hierna werden alle hierbij gebruikte bestanden en event logs van zowel de domeincontroller als besmette machines verwijderd. Volgens het antivirusbedrijf werd dit gedaan om het lastiger te maken om de omvang van de datadiefstal te bepalen. Nadat het bewijs was verwijderd werden op de systemen alle bestanden versleuteld en de 'ransom note' achtergelaten.

"Een dergelijke succesvolle aanval houdt in dat verdedigers niet alleen alle Active Directory-wachtwoorden moeten wijzigen, maar ook (in theorie) eindgebruikers moeten vragen om hun websites voor tientallen, mogelijk honderden, third-party sites aan te passen waarvoor gebruikers hun inloggegevens in de Chrome-browser hebben opgeslagen", zegt Lee Kirkpatrick van Sophos. Hij adviseert organisaties om van aparte wachtwoordmanager-applicaties gebruik te maken. "Het is keer op keer bewezen dat het gebruik van een browser-gebaseerde wachtwoordmanager onveilig is."