Thought Leadership
Das Sophos X-Ops Team hat eine neue Angriffsvariante der Qilin-Ransomware-Gruppe offengelegt. Im Rahmen einer Untersuchung eines Qilin-Ransomware-Angriffs stellte man fest, dass die Angreifenden Anmeldedaten entwendeten, die in Google-Chrome-Browsern auf bestimmten Endpunkten des Netzwerks gespeichert waren.
Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, verschaffte sich über kompromittierte Anmeldedaten Zugang und manipulierte die Gruppenrichtlinien, um ein PowerShell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Diese Skripte wurden beim Einloggen der Benutzer aktiviert, um die Daten zu sammeln.
Die Cybergangster nutzen das PowerShell-Skript, um Anmeldedaten von vernetzten Endpunkten zu sammeln und konnten sich dabei das Fehlen von Multi-Faktor-Authentifizierung zu Nutze machen. Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet.
Qilin-Angriffe beinhalten häufig eine doppelte Erpressungsmethode – das heißt, die Gruppe stiehlt Daten, verschlüsselt Systeme und droht obendrein, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer nicht für den Entschlüsselungsschlüssel zahlt.
Christopher Budd, Director Threat Reserach bei Sophos X-Ops: „Anmeldedatendiebstahl ist für Angreifer eine äußerst effektive Möglichkeit, in Zielsysteme einzudringen. Tatsächlich war es laut unserem Active Adversary Report die Hauptursache für Angriffe im ersten Halbjahr 2024 und spielte bei vielen der aufsehenerregenden Cyberattacken, die wir in diesem Jahr gesehen haben, eine Rolle. In diesem Fall hat Qilin den Diebstahl von Zugangsdaten auf eine andere Ebene gehoben – indem es Daten aus Google-Chrome-Browsern sammelt. Browser sind ein beliebter Ort zum Speichern von Passwörtern für alle Arten von Konten, was diese Art von Daten für Cyberkriminelle besonders wertvoll macht. Ein starkes Passwortverwaltungssystem und MFA können das Risiko für Unternehmen jedoch erheblich reduzieren.“
Im beschriebenen Fall verschafften sich die Angreifenden den ersten Zugriff auf die Umgebung über kompromittierte Anmeldedaten. Die Untersuchung des Sophos-Teams ergab zudem, dass das attackierte VPN-Portal keinen Schutz durch eine Multifaktor-Authentifizierung (MFA) aufwies. Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen im Netzwerk betrug achtzehn Tage.
Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Krankenhäuser, in den Nachrichten. Das Sophos IR-Team beobachtete die im aktuellen Beitrag beschriebene Aktivität im Juli 2024. Diese Aktivität wurde auf einem einzelnen Domänencontroller in der Active Directory-Domäne des Ziels entdeckt. Andere Domänencontroller in dieser AD-Domäne waren zwar infiziert, aber nicht von Qilin betroffen.
„Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen“, so Budd. „Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können.“
(lb/sophos)
