Bei der Analyse einer aktuellen Attacke fanden Sicherheitsforscher von Sophos nun heraus, dass Qilin seine Strategie offenbar ausgeweitet hat und nicht mehr nur Ransomware verbreitet, sondern zusätzlich einen Weg gefunden hat, gespeicherte Anmeldeinformationen aus Googles Browser Chrome zu stehlen. Damit erhalten die Kriminellen einen zusätzlichen Hebel, um ihre Opfer zu erpressen, denn mit den Anmeldeinformationen könnten sie ihre Angriffe ausweiten.
Der von den Sophos-Forschern analysierte Angriff fand im Juli 2024 statt, also nach den Attacken auf Londoner Krankenhäuser. Das Opfer wurde dabei nicht genannt. Die Untersuchung ergab, dass Qilin kompromittierte Zugangsdaten verwendet hatte, um auf ein VPN-Portal zuzugreifen, das nicht durch den Einsatz von Multi-Faktor-Authentifizierung geschützt war. Es ist sehr wahrscheinlich, dass dieser erste Zugang durch einen sogenannten „Initial Access Broker“ im Darknet erfolgte. Nach dem ersten Eindringen der Kriminellen gab es 18 Tage lang keine Aktivitäten, was diese Theorie untermauert.
Erst nach dieser anfänglichen Ruhephase wurden die Eindringlinge aktiv und kompromittierten einen Domain Controller. Anschließend wurden die Richtlinien der Domain mit zwei Skripten bearbeitet. Eines versuchte, die in einem Chrome-Browser gespeicherten Anmeldeinformationen abzugreifen, während ein weiteres Skript die Befehle zur Ausführung enthielt. Dadurch wurden die in Chrome-Browsern gespeicherten Anmeldeinformationen auf den mit dem Netzwerk verbundenen Computern abgefangen, sobald sich ein Client-Computer im Netzwerk anmeldete.
Es sollte eigentlich keine Überraschung sein, dass sich eine Ransomware-Gruppe auf Chrome spezialisiert hat, denn der Browser hat einen stattlichen Marktanteil von 65 Prozent. Die Sophos-Forscher gehen davon aus, dass pro Computer durchschnittlich 87 arbeitsbezogene Kennwörter und doppelt so viele private Kennwörter gespeichert werden. Da ist es eigentlich eher überraschend, dass Cyberkriminelle erst jetzt versuchen, an diese Daten zu gelangen.
Doch es gibt auch eine gute Nachricht: Während die Art des Angriffs noch relativ neu ist, trifft das auf den Zugriffsvektor für die Erstinfektion nicht zu. Umso wichtiger ist es, VPN-Zugänge mit Zwei-Faktor-Authentifizierung abzusichern und regelmäßige Updates einzuspielen. Passwörter sollten außerdem niemals im Browser gespeichert werden. Stattdessen empfiehlt sich die Nutzung eines lokalen Passwortmanagers.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de