Die aus Russland stammende Cybercrime-Gruppierung Qilin ist noch nicht lange aktiv, zumindest im Vergleich zu vielen anderen Cyberkriminellen. Erstmals in Erscheinung getreten ist sie im Oktober 2022, damals noch als Anbieter von Ransomware-as-a-Service. Trotzdem wurde die Gruppe bereits mit einigen medienwirksamen Attacken in Zusammenhang gebracht, zuletzt mit einem Angriff auf mehrere Krankenhäuser in Großbritannien im Juni.
Bei der Analyse einer aktuellen Attacke fanden Sicherheitsforscher von Sophos nun heraus, dass Qilin seine Strategie offenbar ausgeweitet hat und nicht mehr nur Ransomware verbreitet, sondern zusätzlich einen Weg gefunden hat, gespeicherte Anmeldeinformationen aus Googles Browser Chrome zu stehlen. Damit erhalten die Kriminellen einen zusätzlichen Hebel, um ihre Opfer zu erpressen, denn mit den Anmeldeinformationen könnten sie ihre Angriffe ausweiten.
Der von den Sophos-Forschern analysierte Angriff fand im Juli 2024 statt, also nach den Attacken auf Londoner Krankenhäuser. Das Opfer wurde dabei nicht genannt. Die Untersuchung ergab, dass Qilin kompromittierte Zugangsdaten verwendet hatte, um auf ein VPN-Portal zuzugreifen, das nicht durch den Einsatz von Multi-Faktor-Authentifizierung geschützt war. Es ist sehr wahrscheinlich, dass dieser erste Zugang durch einen sogenannten „Initial Access Broker“ im Darknet erfolgte. Nach dem ersten Eindringen der Kriminellen gab es 18 Tage lang keine Aktivitäten, was diese Theorie untermauert.
Erst nach dieser anfänglichen Ruhephase wurden die Eindringlinge aktiv und kompromittierten einen Domain Controller. Anschließend wurden die Richtlinien der Domain mit zwei Skripten bearbeitet. Eines versuchte, die in einem Chrome-Browser gespeicherten Anmeldeinformationen abzugreifen, während ein weiteres Skript die Befehle zur Ausführung enthielt. Dadurch wurden die in Chrome-Browsern gespeicherten Anmeldeinformationen auf den mit dem Netzwerk verbundenen Computern abgefangen, sobald sich ein Client-Computer im Netzwerk anmeldete.
Es sollte eigentlich keine Überraschung sein, dass sich eine Ransomware-Gruppe auf Chrome spezialisiert hat, denn der Browser hat einen stattlichen Marktanteil von 65 Prozent. Die Sophos-Forscher gehen davon aus, dass pro Computer durchschnittlich 87 arbeitsbezogene Kennwörter und doppelt so viele private Kennwörter gespeichert werden. Da ist es eigentlich eher überraschend, dass Cyberkriminelle erst jetzt versuchen, an diese Daten zu gelangen.
Doch es gibt auch eine gute Nachricht: Während die Art des Angriffs noch relativ neu ist, trifft das auf den Zugriffsvektor für die Erstinfektion nicht zu. Umso wichtiger ist es, VPN-Zugänge mit Zwei-Faktor-Authentifizierung abzusichern und regelmäßige Updates einzuspielen. Passwörter sollten außerdem niemals im Browser gespeichert werden. Stattdessen empfiehlt sich die Nutzung eines lokalen Passwortmanagers.
Bei der Analyse einer aktuellen Attacke fanden Sicherheitsforscher von Sophos nun heraus, dass Qilin seine Strategie offenbar ausgeweitet hat und nicht mehr nur Ransomware verbreitet, sondern zusätzlich einen Weg gefunden hat, gespeicherte Anmeldeinformationen aus Googles Browser Chrome zu stehlen. Damit erhalten die Kriminellen einen zusätzlichen Hebel, um ihre Opfer zu erpressen, denn mit den Anmeldeinformationen könnten sie ihre Angriffe ausweiten.
Der von den Sophos-Forschern analysierte Angriff fand im Juli 2024 statt, also nach den Attacken auf Londoner Krankenhäuser. Das Opfer wurde dabei nicht genannt. Die Untersuchung ergab, dass Qilin kompromittierte Zugangsdaten verwendet hatte, um auf ein VPN-Portal zuzugreifen, das nicht durch den Einsatz von Multi-Faktor-Authentifizierung geschützt war. Es ist sehr wahrscheinlich, dass dieser erste Zugang durch einen sogenannten „Initial Access Broker“ im Darknet erfolgte. Nach dem ersten Eindringen der Kriminellen gab es 18 Tage lang keine Aktivitäten, was diese Theorie untermauert.
Erst nach dieser anfänglichen Ruhephase wurden die Eindringlinge aktiv und kompromittierten einen Domain Controller. Anschließend wurden die Richtlinien der Domain mit zwei Skripten bearbeitet. Eines versuchte, die in einem Chrome-Browser gespeicherten Anmeldeinformationen abzugreifen, während ein weiteres Skript die Befehle zur Ausführung enthielt. Dadurch wurden die in Chrome-Browsern gespeicherten Anmeldeinformationen auf den mit dem Netzwerk verbundenen Computern abgefangen, sobald sich ein Client-Computer im Netzwerk anmeldete.
Es sollte eigentlich keine Überraschung sein, dass sich eine Ransomware-Gruppe auf Chrome spezialisiert hat, denn der Browser hat einen stattlichen Marktanteil von 65 Prozent. Die Sophos-Forscher gehen davon aus, dass pro Computer durchschnittlich 87 arbeitsbezogene Kennwörter und doppelt so viele private Kennwörter gespeichert werden. Da ist es eigentlich eher überraschend, dass Cyberkriminelle erst jetzt versuchen, an diese Daten zu gelangen.
Doch es gibt auch eine gute Nachricht: Während die Art des Angriffs noch relativ neu ist, trifft das auf den Zugriffsvektor für die Erstinfektion nicht zu. Umso wichtiger ist es, VPN-Zugänge mit Zwei-Faktor-Authentifizierung abzusichern und regelmäßige Updates einzuspielen. Passwörter sollten außerdem niemals im Browser gespeichert werden. Stattdessen empfiehlt sich die Nutzung eines lokalen Passwortmanagers.
