Qilin-Ransomware stiehlt Browser-Anmeldedaten
Bei einem aktuellen Qilin-Ransomware-Angriff stahlen die Angreifer Anmeldedaten, die in Google Chrome auf bestimmten Netzwerk-Endpunkten gespeichert waren. Die seit über zwei Jahren aktive Qilin-Gruppe nutzte kompromittierte Anmeldedaten, manipulierte Gruppenrichtlinien und setzte ein PowerShell-Skript ein, das beim Benutzer-Login Chrome-Anmeldedaten erfasste.
Das Sophos X-Ops Team hat eine neue Angriffsmethode der Qilin-Ransomware-Gruppe aufgedeckt. Die Hacker nutzen ein PowerShell-Skript, um Anmeldedaten von vernetzten Endgeräten zu stehlen, wobei sie das Fehlen von Multi-Faktor-Authentifizierung (MFA) ausnutzen. Diese gestohlenen Daten, darunter auch Logins von Drittanbieterseiten, werden zur weiteren Eskalation des Angriffs verwendet.
Qilin setzt oft auf doppelte Erpressung: Die Erpresser verschlüsseln Daten und drohen zusätzlich, diese zu veröffentlichen oder zu verkaufen, falls das Lösegeld nicht bezahlt wird.
Anmeldediebstahl häufigste Ursache für Cyberangriffe
Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl ist für Angreifer eine äußerst effektive Möglichkeit, in Zielsysteme einzudringen. Tatsächlich war es laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“
Im untersuchten Fall gelangten die Angreifer durch kompromittierte Anmeldedaten in das Netzwerk, wobei das angegriffene VPN-Portal keinen MFA-Schutz bot. Die Hacker waren 18 Tage im Netzwerk aktiv, bevor weitere Bewegungen festgestellt wurden.
Im Juni 2024 geriet die Qilin-Gruppe wegen eines Angriffs auf Synnovis, einen britischen Gesundheitsdienstleister, in die Schlagzeilen. Sophos entdeckte die beschriebenen Aktivitäten im Juli 2024 auf einem Domänencontroller des Ziels. Andere Domänencontroller waren zwar ebenfalls infiziert, jedoch nicht von Qilin betroffen.
Stärken Sie Ihr IT-Sicherheitsnetzwerk mit MFA und Passwortverwaltung
Budd warnt, dass das gezielte Ausspionieren von in Browsern gespeicherten Zugangsdaten durch Ransomware-Gruppen ein neues Kapitel in der Cyberkriminalität einläuten könnte, da diese Daten wertvolle Informationen für weitere Angriffe enthalten.
Den gesamten, englischsprachigen Artikel gibt es hier.