Home » News » Cybersecurity » Qilin-Ransomware stiehlt Browser-Anmeldedaten

Qilin-Ransomware stiehlt Browser-Anmeldedaten

Bei einem aktuellen Qilin-Ransomware-Angriff stahlen die Angreifer Anmeldedaten, die in Google Chrome auf bestimmten Netzwerk-Endpunkten gespeichert waren. Die seit über zwei Jahren aktive Qilin-Gruppe nutzte kompromittierte Anmeldedaten, manipulierte Gruppenrichtlinien und setzte ein PowerShell-Skript ein, das beim Benutzer-Login Chrome-Anmeldedaten erfasste.

1 Min. Lesezeit
Sicherer Login
Foto: ©AdobeStock/chaylek

Das Sophos X-Ops Team hat eine neue Angriffsmethode der Qilin-Ransomware-Gruppe aufgedeckt. Die Hacker nutzen ein PowerShell-Skript, um Anmeldedaten von vernetzten Endgeräten zu stehlen, wobei sie das Fehlen von Multi-Faktor-Authentifizierung (MFA) ausnutzen. Diese gestohlenen Daten, darunter auch Logins von Drittanbieterseiten, werden zur weiteren Eskalation des Angriffs verwendet.

Qilin setzt oft auf doppelte Erpressung: Die Erpresser verschlüsseln Daten und drohen zusätzlich, diese zu veröffentlichen oder zu verkaufen, falls das Lösegeld nicht bezahlt wird.

Anmeldediebstahl häufigste Ursache für Cyberangriffe

Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl ist für Angreifer eine äußerst effektive Möglichkeit, in Zielsysteme einzudringen. Tatsächlich war es laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“

Im untersuchten Fall gelangten die Angreifer durch kompromittierte Anmeldedaten in das Netzwerk, wobei das angegriffene VPN-Portal keinen MFA-Schutz bot. Die Hacker waren 18 Tage im Netzwerk aktiv, bevor weitere Bewegungen festgestellt wurden.

Im Juni 2024 geriet die Qilin-Gruppe wegen eines Angriffs auf Synnovis, einen britischen Gesundheitsdienstleister, in die Schlagzeilen. Sophos entdeckte die beschriebenen Aktivitäten im Juli 2024 auf einem Domänencontroller des Ziels. Andere Domänencontroller waren zwar ebenfalls infiziert, jedoch nicht von Qilin betroffen.

Stärken Sie Ihr IT-Sicherheitsnetzwerk mit MFA und Passwortverwaltung

Budd warnt, dass das gezielte Ausspionieren von in Browsern gespeicherten Zugangsdaten durch Ransomware-Gruppen ein neues Kapitel in der Cyberkriminalität einläuten könnte, da diese Daten wertvolle Informationen für weitere Angriffe enthalten.

 

Den gesamten, englischsprachigen Artikel gibt es hier.

 

Andere interessante News

Frau bei Videokonferenz

BSI erklärt Videokonferenzdienst Zoom für sicher

Der Videokonferenzanbieter Zoom hat jetzt zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. BSI-Vizepräsident Dr. Gerhard Schab...

NIS-2-Richtlinie

NIS2: Irrtümer und Fehleinschätzungen könnten teuer werden

Mit der neuen EU-Richtlinie für Cybersicherheit (NIS2) steigt die Zahl der betroffenen Unternehmen in Deutschland von rund 2.000 auf etwa 30.000. Während Großunternehmen oft von ih...

Gefahr im Rechenzentrum

Rekonvaleszenz nach einem Ransomware-Angriff langwierig

Die Dauer eines Ransomware-Angriffs und die anschließende Wiederherstellung variieren stark. Das liegt zum Teil daran, dass es keine einheitliche Quelle für alle Informationen gibt...