Le groupe de cybercriminels Qilin s'est récemment attaqué à Synnovis, un prestataire de services pour le système de santé britannique qui lui a permis d'organiser le bol de données sensibles, notamment des mots de passe enregistrés au sein du navigateur Chrome.
Le groupe a exploité une faille dans un service de VPN utilisé par Synnovis : aucune protection à double facteur n'était ainsi requise pour l'accès au portail VPN, permettant un accès facilité au réseau du prestataire.
Une fois en place, le groupe a patienté 18 jours avant de coordonner son attaque en modifiant les réglages du réseau dans le but d'autoriser le lancement d'un script développé pour collecter des informations sensibles, intitulé IPScanner.ps1. L'acte a permis de récolter des mots de passe enregistrés dans Chrome sur l'ensemble des machines des employés du réseau. Chaque nouvelle connexion au réseau déclenchait l'exécution du script qui collectait les informations d'identification stockées dans le navigateur.
Au passage, Qilin en a profité pour mettre en place un ransomware en chiffrant les fichiers des systèmes infectés. Les victimes étaient alors invitées à récupérer une clé de déchiffrement en échange d'une rançon en cryptomonnaie, avec la menace de divulguer publiquement les données privées sur la toile si le montant n'était pas réglé rapidement.
Une rançon de 50 millions de dollars a été demandée à Synnovis, montant à la hauteur de la sensibilité des informations subtilisées : principalement des données personnelles des employés, informations financières des clients, comptes et accès divers aux différents services et outils de l'entreprise...
