Bei einer kürzlichen Untersuchung eines Qilin-Ransomware-Angriffs entdeckte das Sophos X-Ops-Team, dass Angreifer auf einer Teilmenge der Endpunkte des Netzwerks massenhaft Anmeldedaten aus Google Chrome-Browsern gestohlen hatten. Diese ungewöhnliche Taktik erweitert die Bedrohung durch Ransomware-Angriffe erheblich und könnte weit über das ursprüngliche Ziel hinaus Auswirkungen haben.
Die Qilin-Ransomware-Gruppe, bekannt für ihre „Double Extortion“-Taktiken, hat in der Vergangenheit Angriffe auf verschiedene Ziele durchgeführt, einschließlich eines Angriffs auf den britischen Regierungsdienstleister Synnovis im Juni 2024. Bei ihrem jüngsten Angriff nutzten die Angreifer eine Sicherheitslücke im VPN-Portal des Opfers aus, das keine Multi-Faktor-Authentifizierung (MFA) verwendete.
Die Angreifer erlangten Zugriff auf das Netzwerk und nutzten die Zeit, um sich weiter in das System einzugraben. 18 Tage nach dem ersten Zugriff modifizierten sie die Domänenrichtlinie des Zielnetzwerks, um ein Logon-basiertes Gruppenrichtlinienobjekt (GPO) einzuführen. Dieses enthielt Skripte, die bei jeder Anmeldung auf den Endgeräten ausgeführt wurden und Anmeldedaten aus Chrome-Browsern ernteten. Diese sensiblen Daten wurden dann an einen zentralen Ort exfiltriert
Ein erfolgreicher Angriff dieser Art bedeutet, dass alle Active Directory-Passwörter geändert werden müssen und möglicherweise auch Passwörter für zahlreiche Drittanbieter-Websites, die in den Browsern gespeichert sind. Unternehmen und Nutzer sollten auf Passwort-Manager-Anwendungen vertrauen, die regelmäßig von Dritten getestet werden, und auf die Verwendung von Browser-basierten Passwort-Managern verzichten, die sich immer wieder als unsicher erwiesen haben. Die Implementierung von MFA hätte diesen Angriff verhindern können.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: