Qilin-Ransomware stiehlt Anmeldedaten aus Chrome

Sophos News

Beitrag teilen

Bei einer Untersuchung eines Qilin-Ransomware-Angriffs stellte das Sophos X-Ops-Team fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten Endpunkten des Netzwerks gespeichert sind.

Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, verschaffte sich über kompromittierte Anmeldedaten Zugang und manipulierte die Gruppenrichtlinien, um ein PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Diese Skripte wurden beim Einloggen der Benutzer aktiviert, um die Daten zu sammeln.

Anzeige

Angreifer sammeln per PowerShell-Skript Anmeldedaten ein

Die Cybergangster nutzen das PowerShell-Skript, um Anmeldedaten von vernetzten Endpunkten zu sammeln und konnten sich dabei das Fehlen von Multi-Faktor-Authentifizierung zu Nutze machen. Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet. Qilin-Angriffe beinhalten häufig eine doppelte Erpressungsmethode – das heißt, die Gruppe stiehlt Daten, verschlüsselt Systeme und droht obendrein, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer nicht für den Entschlüsselungsschlüssel zahlt.

Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl ist für Angreifer eine äußerst effektive Möglichkeit, in Zielsysteme einzudringen. Tatsächlich war es laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“

Arglistige Angriffskette für Verschlüsselung

Im beschriebenen Fall verschafften sich die Angreifenden den ersten Zugriff auf die Umgebung über kompromittierte Anmeldedaten. Die Untersuchung des Sophos-Teams ergab zudem, dass das attackierte VPN-Portal keinen Schutz durch eine Multifaktor-Authentifizierung (MFA) aufwies. Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen im Netzwerk betrug achtzehn Tage.

Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Krankenhäuser, in den Nachrichten. Das Sophos IR-Team beobachtete die im aktuellen Beitrag beschriebene Aktivität im Juli 2024. Diese Aktivität wurde auf einem einzelnen Domänencontroller in der Active Directory-Domäne des Ziels entdeckt. Andere Domänencontroller in dieser AD-Domäne waren zwar infiziert, aber nicht von Qilin betroffen.

Neue Wege für gefährliche Angriffe

„Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen“, so Budd. „Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

DDoS-Angriffe steigen weiter

Im letzten Quartal 2024 sind DDoS-Angriffe um 16 Prozent im Quartals- und 83 Prozent im Jahresvergleich gestiegen. Ungefähr sieben von ➡ Weiterlesen

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Orchestrierung der E-Mail-Verschlüsselung

E-Mails sind ein unverzichtbares Werkzeug in einer Arbeitswelt, die immer dezentraler wird. Aber wie lassen sich Praktikabilität, Resilienz und Vertrauen ➡ Weiterlesen