Im Rahmen einer aktuellen Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten Endpunkten des Netzwerks gespeichert waren. Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, verschaffte sich über kompromittierte Anmeldedaten Zugang und manipulierte die Gruppenrichtlinien, um ein PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Diese Skripte wurden beim Einloggen der Benutzer aktiviert, um die Daten zu sammeln.
Die Cybergangster nutzen das PowerShell-Skript, um Anmeldedaten von vernetzten Endpunkten zu sammeln und konnten sich dabei das Fehlen von Multi-Faktor-Authentifizierung zu Nutze machen. Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet.
Qilin-Angriffe beinhalten häufig eine doppelte Erpressungsmethode – das heißt, die Gruppe stiehlt Daten, verschlüsselt Systeme und droht obendrein, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer nicht für den Entschlüsselungsschlüssel zahlt.
Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl war laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“
Im beschriebenen Fall verschafften sich die Angreifenden den ersten Zugriff auf die Umgebung über kompromittierte Anmeldedaten. Die Untersuchung des Sophos-Teams ergab zudem, dass das attackierte VPN-Portal keinen Schutz durch eine Multifaktor-Authentifizierung (MFA) aufwies. Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen im Netzwerk betrug achtzehn Tage.
Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Krankenhäuser, in den Nachrichten. Diese Aktivität wurde auf einem einzelnen Domänencontroller in der Active Directory-Domäne des Ziels entdeckt. Andere Domänencontroller in dieser AD-Domäne waren zwar infiziert, aber nicht von Qilin betroffen.
„Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen“, so Budd. „Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können.“
Technik funktioniert überall oder zumindest fast überall. In einem klimatisierten Büro mag ein herkömmlicher Laptop…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
Das Datenleck betrifft den Kreditvergleich. Unbefugte haben zwischenzeitlich Zugriff auf die Kreditvergleiche anderer Kunden.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…