Qilin-Ransomware stiehlt in Chrome gesicherte Anmeldedaten
Quelle: Despositphotos/arrow123

Qilin-Ransomware stiehlt in Chrome gesicherte Anmeldedaten

Die Qilin-Ransomare-Gruppe hat offenbar eine neue Angriffsvariante für sich gefunden. Dabei entwendete sie Zugangsdaten, die in Googles Chrome-Browsern gespeichert waren, wie das Sophos-X-Ops-Team offengelegt hat.
27. August 2024

     

Das X-Ops-Team von Sophos hat eine neue Angriffsvariante der Qilin-Ransomware-Gruppe veröffentlicht. Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, fokussiert neu darauf, im Chrome-Browser gespeicherte Zugangsdaten auszuspionieren. Im Rahmen einer aktuellen Untersuchung eines Qilin-Ransomware-Angriffs hat das X-Ops-Team festgestellt, dass die Ransomware-Angreifer "massenhaft" Zugangsdaten entwendeten, die in Googles Chrome-Browsern gespeichert waren. "Dies ist eine ungewöhnliche Taktik, die das in Ransomware-Situationen ohnehin schon herrschende Chaos noch vervielfachen könnte", heisst es im englischsprachigen Sophos-Blog.

Dem Sophos-X-Ops-Team zufolge verschaffte sich die Qilin-Gruppe zunächst über kompromittierte Anmeldedaten Zugang zur Umgebung. Die Untersuchung ergab, dass das VPN-Portal keinen Schutz durch Multi-Faktor-Authentifizierung (MFA) aufwies. Nachdem der Zugriff erfolgt war, wurden Gruppenrichtlinien manipuliert, um ein Powershell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Dieses Skript wurden beim Login der User aktiviert, um die Daten zu sammeln. "Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet", schreibt Sophos weiter.


Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen soll achtzehn Tage betragen haben. "Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen", so Christopher Budd, Director Threat Reserach bei Sophos X-Ops. "Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können."

Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Spitäler, in die Schlagzeilen gelangt. (cma)


Weitere Artikel zum Thema

Chef der Ransomware-Gruppe Lockbit identifiziert

10. Mai 2024 - Lockbit galt als eine der gefährlichsten Ransomware-Gruppen weltweit. Anfang des Jahres wurde sie teils zerschlagen. Nun haben internationale Behörden den Kopf der Bande identifiziert und eine Belohnung für Informationen ausgelobt.

10 Millionen Dollar Belohnung für Hinweise auf Hive-Ransomware-Bande

11. Februar 2024 - Das US-Aussenministerium hat eine Belohnung von zehn Millionen Dollar für Hinweise ausgeschrieben, die zur Identifizierung oder Ergreifung von führenden Mitgliedern der Hive-Ransomware-Bande führen.

Ransomware-Angriff auf Concevis: Auch Daten der Bundesverwaltung betroffen

15. November 2023 - Das NCSC hat einen Ransomware-Angriff auf den Schweizer Software-Anbieter Concevis gemeldet. Das Unternehmen spricht von einem "umfangreichen Datenabfluss", auch die Bundesverwaltung soll betroffen sein.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER