Qilin Ransomware stiehlt Anmeldedaten aus Google Chrome-Browsern

Bei einer kürzlichen Untersuchung eines Qilin-Ransomware-Angriffs entdeckte das Sophos X-Ops-Team, dass Angreifer auf einer Teilmenge der Endpunkte des Netzwerks massenhaft Anmeldedaten aus Google Chrome-Browsern gestohlen hatten. Diese ungewöhnliche Taktik erweitert die Bedrohung durch Ransomware-Angriffe erheblich und könnte weit über das ursprüngliche Ziel hinaus Auswirkungen haben.

Die Qilin-Ransomware-Gruppe, bekannt für ihre “Double Extortion”-Taktiken, hat in der Vergangenheit Angriffe auf verschiedene Ziele durchgeführt, einschließlich eines Angriffs auf den britischen Regierungsdienstleister Synnovis im Juni 2024. Bei ihrem jüngsten Angriff nutzten die Angreifer eine Sicherheitslücke im VPN-Portal des Opfers aus, das keine Multi-Faktor-Authentifizierung (MFA) verwendete.

Die Angreifer erlangten Zugriff auf das Netzwerk und nutzten die Zeit, um sich weiter in das System einzugraben. 18 Tage nach dem ersten Zugriff modifizierten sie die Domänenrichtlinie des Zielnetzwerks, um ein Logon-basiertes Gruppenrichtlinienobjekt (GPO) einzuführen. Dieses enthielt Skripte, die bei jeder Anmeldung auf den Endgeräten ausgeführt wurden und Anmeldedaten aus Chrome-Browsern ernteten. Diese sensiblen Daten wurden dann an einen zentralen Ort exfiltriert

Ein erfolgreicher Angriff dieser Art bedeutet, dass alle Active Directory-Passwörter geändert werden müssen und möglicherweise auch Passwörter für zahlreiche Drittanbieter-Websites, die in den Browsern gespeichert sind. Unternehmen und Nutzer sollten auf Passwort-Manager-Anwendungen vertrauen, die regelmäßig von Dritten getestet werden, und auf die Verwendung von Browser-basierten Passwort-Managern verzichten, die sich immer wieder als unsicher erwiesen haben. Die Implementierung von MFA hätte diesen Angriff verhindern können.

Related Posts

Microsoft führt verpflichtende Multi-Faktor-Authentifizierung für alle Azure-Nutzer ein

Microsoft hat angekündigt, dass ab 15. Oktober 2024 die Multi-Faktor-Authentifizierung (MFA) für alle Azure-Nutzer verpflichtend wird. Diese Maßnahme zielt darauf ab, die Sicherheit von Azure-Tenants zu erhöhen und die Cloud-Investitionen der Unternehmen besser zu schützen. Wenn man sich jetzt bereits proaktiv darum kümmert, den Zeitpunkt für den Starts der MFA zu setzen, lässt sich die Umsetzung bis Anfang 2025 hinauszögern.

Read More

Sicherheitslücke bei Dating-Apps ermöglicht Standortermittlung auf 2 Meter genau

Forscher der belgischen Universität KU Leuven haben Sicherheitslücken in mehreren beliebten Dating-Apps, darunter Bumble und Hinge, entdeckt, die es Stalkern ermöglichen könnten, den Standort von Nutzern bis auf zwei Meter genau zu ermitteln.

Read More

Hackerangriff: Phishing Mails vom Hotel Waldstätterhof

Am 17.7.24 traf ein schwerer Hackerangriff das Seehotel Waldstätterhof in Brunnen am Vierwaldstättersee. Kriminelle verschickten Anfang dieser Woche gefälschte E-Mails von der offiziellen Hoteladresse an Hunderte Gäste. Diese E-Mails forderten die Empfänger auf, ihre Zahlungsdaten über einen Link einzugeben, um ihre Reservierungen zu bestätigen.

Read More