Im Rahmen einer aktuellen Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten Endpunkten des Netzwerks gespeichert waren. Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, verschaffte sich über kompromittierte Anmeldedaten Zugang und manipulierte die Gruppenrichtlinien, um ein PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Diese Skripte wurden beim Einloggen der Benutzer aktiviert, um die Daten zu sammeln.
Die Cybergangster nutzen das PowerShell-Skript, um Anmeldedaten von vernetzten Endpunkten zu sammeln und konnten sich dabei das Fehlen von Multi-Faktor-Authentifizierung zu Nutze machen. Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet.
Qilin-Angriffe beinhalten häufig eine doppelte Erpressungsmethode – das heißt, die Gruppe stiehlt Daten, verschlüsselt Systeme und droht obendrein, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer nicht für den Entschlüsselungsschlüssel zahlt.
Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl war laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“
Im beschriebenen Fall verschafften sich die Angreifenden den ersten Zugriff auf die Umgebung über kompromittierte Anmeldedaten. Die Untersuchung des Sophos-Teams ergab zudem, dass das attackierte VPN-Portal keinen Schutz durch eine Multifaktor-Authentifizierung (MFA) aufwies. Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen im Netzwerk betrug achtzehn Tage.
Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Krankenhäuser, in den Nachrichten. Diese Aktivität wurde auf einem einzelnen Domänencontroller in der Active Directory-Domäne des Ziels entdeckt. Andere Domänencontroller in dieser AD-Domäne waren zwar infiziert, aber nicht von Qilin betroffen.
„Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen“, so Budd. „Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…