Contact
QR code for the current URL

Story Box-ID: 1213869

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Ransomware-Gruppe hat Nutzer von Google Chrome im Visier

Die Ransomware-Gruppe Qilin greift derzeit offenbar nicht nur mit Malware an, sondern stiehlt zusätzlich gespeicherte Anmeldeinformationen aus Chrome-Browsern im Netzwerk ihrer Opfer.

(PresseBox) (Neustadt an der Weinstraße, )
Die aus Russland stammende Cybercrime-Gruppierung Qilin ist noch nicht lange aktiv, zumindest im Vergleich zu vielen anderen Cyberkriminellen. Erstmals in Erscheinung getreten ist sie im Oktober 2022, damals noch als Anbieter von Ransomware-as-a-Service. Trotzdem wurde die Gruppe bereits mit einigen medienwirksamen Attacken in Zusammenhang gebracht, zuletzt mit einem Angriff auf mehrere Krankenhäuser in Großbritannien im Juni.

Bei der Analyse einer aktuellen Attacke fanden Sicherheitsforscher von Sophos nun heraus, dass Qilin seine Strategie offenbar ausgeweitet hat und nicht mehr nur Ransomware verbreitet, sondern zusätzlich einen Weg gefunden hat, gespeicherte Anmeldeinformationen aus Googles Browser Chrome zu stehlen. Damit erhalten die Kriminellen einen zusätzlichen Hebel, um ihre Opfer zu erpressen, denn mit den Anmeldeinformationen könnten sie ihre Angriffe ausweiten.

Der von den Sophos-Forschern analysierte Angriff fand im Juli 2024 statt, also nach den Attacken auf Londoner Krankenhäuser. Das Opfer wurde dabei nicht genannt. Die Untersuchung ergab, dass Qilin kompromittierte Zugangsdaten verwendet hatte, um auf ein VPN-Portal zuzugreifen, das nicht durch den Einsatz von Multi-Faktor-Authentifizierung geschützt war. Es ist sehr wahrscheinlich, dass dieser erste Zugang durch einen sogenannten „Initial Access Broker“ im Darknet erfolgte. Nach dem ersten Eindringen der Kriminellen gab es 18 Tage lang keine Aktivitäten, was diese Theorie untermauert.

Erst nach dieser anfänglichen Ruhephase wurden die Eindringlinge aktiv und kompromittierten einen Domain Controller. Anschließend wurden die Richtlinien der Domain mit zwei Skripten bearbeitet. Eines versuchte, die in einem Chrome-Browser gespeicherten Anmeldeinformationen abzugreifen, während ein weiteres Skript die Befehle zur Ausführung enthielt. Dadurch wurden die in Chrome-Browsern gespeicherten Anmeldeinformationen auf den mit dem Netzwerk verbundenen Computern abgefangen, sobald sich ein Client-Computer im Netzwerk anmeldete.

Es sollte eigentlich keine Überraschung sein, dass sich eine Ransomware-Gruppe auf Chrome spezialisiert hat, denn der Browser hat einen stattlichen Marktanteil von 65 Prozent. Die Sophos-Forscher gehen davon aus, dass pro Computer durchschnittlich 87 arbeitsbezogene Kennwörter und doppelt so viele private Kennwörter gespeichert werden. Da ist es eigentlich eher überraschend, dass Cyberkriminelle erst jetzt versuchen, an diese Daten zu gelangen.

Doch es gibt auch eine gute Nachricht: Während die Art des Angriffs noch relativ neu ist, trifft das auf den Zugriffsvektor für die Erstinfektion nicht zu. Umso wichtiger ist es, VPN-Zugänge mit Zwei-Faktor-Authentifizierung abzusichern und regelmäßige Updates einzuspielen. Passwörter sollten außerdem niemals im Browser gespeichert werden. Stattdessen empfiehlt sich die Nutzung eines lokalen Passwortmanagers.

8com GmbH & Co. KG

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.