Qilin-Ransomware exfiltriert Chrome-Browser-Anmeldedaten

Qilin-Gruppe nutzt kompromittierte Anmeldedaten, um PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen.

Im Rahmen einer aktuellen Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten Endpunkten des Netzwerks gespeichert waren. Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, verschaffte sich über kompromittierte Anmeldedaten Zugang und manipulierte die Gruppenrichtlinien, um ein PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Diese Skripte wurden beim Einloggen der Benutzer aktiviert, um die Daten zu sammeln.

Doppelte Erpressungsmethode

Die Cybergangster nutzen das PowerShell-Skript, um Anmeldedaten von vernetzten Endpunkten zu sammeln und konnten sich dabei das Fehlen von Multi-Faktor-Authentifizierung zu Nutze machen. Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet.

Qilin-Angriffe beinhalten häufig eine doppelte Erpressungsmethode – das heißt, die Gruppe stiehlt Daten, verschlüsselt Systeme und droht obendrein, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer nicht für den Entschlüsselungsschlüssel zahlt.

Browser beliebter Ort zum Speichern von Passwörtern

Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl war laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“

Im beschriebenen Fall verschafften sich die Angreifenden den ersten Zugriff auf die Umgebung über kompromittierte Anmeldedaten. Die Untersuchung des Sophos-Teams ergab zudem, dass das attackierte VPN-Portal keinen Schutz durch eine Multifaktor-Authentifizierung (MFA) aufwies. Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen im Netzwerk betrug achtzehn Tage.

Neues Kapitel in der Geschichte der Cyberkriminalität

Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Krankenhäuser, in den Nachrichten. Diese Aktivität wurde auf einem einzelnen Domänencontroller in der Active Directory-Domäne des Ziels entdeckt. Andere Domänencontroller in dieser AD-Domäne waren zwar infiziert, aber nicht von Qilin betroffen.

„Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen“, so Budd. „Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können.“

 

Themenseiten: Browser, Chrome, Cyberkriminalität, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Qilin-Ransomware exfiltriert Chrome-Browser-Anmeldedaten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *