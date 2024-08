Das X-Ops-Team von Sophos hat eine neue Angriffsvariante der Qilin-Ransomware-Gruppe veröffentlicht. Die Qilin-Gruppe, die seit über zwei Jahren aktiv ist, fokussiert neu darauf, im Chrome-Browser gespeicherte Zugangsdaten auszuspionieren. Im Rahmen einer aktuellen Untersuchung eines Qilin-Ransomware-Angriffs hat das X-Ops-Team festgestellt, dass die Ransomware-Angreifer "massenhaft" Zugangsdaten entwendeten, die in Googles Chrome-Browsern gespeichert waren. "Dies ist eine ungewöhnliche Taktik, die das in Ransomware-Situationen ohnehin schon herrschende Chaos noch vervielfachen könnte", heisst es im englischsprachigen Sophos-Blog Dem Sophos-X-Ops-Team zufolge verschaffte sich die Qilin-Gruppe zunächst über kompromittierte Anmeldedaten Zugang zur Umgebung. Die Untersuchung ergab, dass das VPN-Portal keinen Schutz durch Multi-Faktor-Authentifizierung (MFA) aufwies. Nachdem der Zugriff erfolgt war, wurden Gruppenrichtlinien manipuliert, um ein Powershell-Skript zur Erfassung von Chrome-Anmeldedaten auszuführen. Dieses Skript wurden beim Login der User aktiviert, um die Daten zu sammeln. "Die gestohlenen Anmeldedaten, die auch zahlreiche Logins von Drittanbieter-Webseiten umfassen könnten, wurden dann exfiltriert und zu einer zusätzlichen Eskalation des Ransomware-Angriffs verwendet", schreibt Sophos weiter.Die Verweildauer des Angreifers zwischen dem ersten Zugriff auf das Netzwerk und weiteren Bewegungen soll achtzehn Tage betragen haben. "Wenn Qilin oder andere Ransomware-Gruppen sich dafür entscheiden, in zukünftigen Angriffen vermehrt auf Endpoints gespeicherte Zugangsdaten auszuspionieren, könnte dies ein neues Kapitel in der Geschichte der Cyberkriminalität darstellen", so Christopher Budd, Director Threat Reserach bei Sophos X-Ops. "Die persönlichen Daten beinhalten eine Fülle von Informationen über hochwertige Ziele, die nach der eigentlichen Ransomware-Attacke mit anderen Mitteln ausgenutzt werden können."Im Juni 2024 war die Qilin-Ransomware-Gruppe wegen eines Angriffs auf Synnovis, einen staatlichen Dienstleister für britische Gesundheitsdienstleister und Spitäler, in die Schlagzeilen gelangt. (cma)