Mittelstandspresse
28.08.2024
Ransomware-Gruppe hat Nutzer von Google Chrome im Visier
Die Ransomware-Gruppe Qilin greift derzeit offenbar nicht nur mit Malware an, sondern stiehlt zusätzlich gespeicherte Anmeldeinformationen aus Chrome-Browsern im Netzwerk ihrer Opfer.
Neustadt an der Weinstraße, 28.08.2024 (PresseBox) - Die aus Russland stammende Cybercrime-Gruppierung Qilin ist noch nicht lange aktiv, zumindest im Vergleich zu vielen anderen Cyberkriminellen. Erstmals in Erscheinung getreten ist sie im Oktober 2022, damals noch als Anbieter von Ransomware-as-a-Service. Trotzdem wurde die Gruppe bereits mit einigen medienwirksamen Attacken in Zusammenhang gebracht, zuletzt mit einem Angriff auf mehrere Krankenhäuser in Großbritannien im Juni.
Bei der Analyse einer aktuellen Attacke fanden Sicherheitsforscher von Sophos nun heraus, dass Qilin seine Strategie offenbar ausgeweitet hat und nicht mehr nur Ransomware verbreitet, sondern zusätzlich einen Weg gefunden hat, gespeicherte Anmeldeinformationen aus Googles Browser Chrome zu stehlen. Damit erhalten die Kriminellen einen zusätzlichen Hebel, um ihre Opfer zu erpressen, denn mit den Anmeldeinformationen könnten sie ihre Angriffe ausweiten.
Der von den Sophos-Forschern analysierte Angriff fand im Juli 2024 statt, also nach den Attacken auf Londoner Krankenhäuser. Das Opfer wurde dabei nicht genannt. Die Untersuchung ergab, dass Qilin kompromittierte Zugangsdaten verwendet hatte, um auf ein VPN-Portal zuzugreifen, das nicht durch den Einsatz von Multi-Faktor-Authentifizierung geschützt war. Es ist sehr wahrscheinlich, dass dieser erste Zugang durch einen sogenannten „Initial Access Broker“ im Darknet erfolgte. Nach dem ersten Eindringen der Kriminellen gab es 18 Tage lang keine Aktivitäten, was diese Theorie untermauert.
Erst nach dieser anfänglichen Ruhephase wurden die Eindringlinge aktiv und kompromittierten einen Domain Controller. Anschließend wurden die Richtlinien der Domain mit zwei Skripten bearbeitet. Eines versuchte, die in einem Chrome-Browser gespeicherten Anmeldeinformationen abzugreifen, während ein weiteres Skript die Befehle zur Ausführung enthielt. Dadurch wurden die in Chrome-Browsern gespeicherten Anmeldeinformationen auf den mit dem Netzwerk verbundenen Computern abgefangen, sobald sich ein Client-Computer im Netzwerk anmeldete.
Es sollte eigentlich keine Überraschung sein, dass sich eine Ransomware-Gruppe auf Chrome spezialisiert hat, denn der Browser hat einen stattlichen Marktanteil von 65 Prozent. Die Sophos-Forscher gehen davon aus, dass pro Computer durchschnittlich 87 arbeitsbezogene Kennwörter und doppelt so viele private Kennwörter gespeichert werden. Da ist es eigentlich eher überraschend, dass Cyberkriminelle erst jetzt versuchen, an diese Daten zu gelangen.
Doch es gibt auch eine gute Nachricht: Während die Art des Angriffs noch relativ neu ist, trifft das auf den Zugriffsvektor für die Erstinfektion nicht zu. Umso wichtiger ist es, VPN-Zugänge mit Zwei-Faktor-Authentifizierung abzusichern und regelmäßige Updates einzuspielen. Passwörter sollten außerdem niemals im Browser gespeichert werden. Stattdessen empfiehlt sich die Nutzung eines lokalen Passwortmanagers.
Ansprechpartner
Felicitas Kraus
+49 (30) 30308089-14
Zuständigkeitsbereich: Pressereferentin
Julia Olmscheid
+49 6321 484460
Zuständigkeitsbereich: Head of Communications
Über 8com GmbH & Co. KG:
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
- Mehr Infos zu dieser Meldung unter www.pressebox.de
- zurück zur Übersicht