Sophos X-Ops deckte eine schwerwiegende Sicherheitslücke im Zusammenhang mit der Qilin-Ransomware auf und enthüllte eine neuartige und besorgniserregende Taktik, bei der von kompromittierten Endpunkten aus massenhaft Anmeldeinformationen gestohlen wurden, die im Google Chrome-Browser gespeichert sind.
Die Qilin-Ransomware-Gruppe ist seit mindestens 2022 aktiv und wurde für ihre Strategie der „doppelten Erpressung“ berüchtigt. Bei dieser Methode werden die Daten eines Opfers gestohlen, dessen Systeme verschlüsselt und damit gedroht, die gestohlenen Daten offenzulegen oder zu verkaufen, sofern kein Lösegeld gezahlt wird.
Diese Methode zum Erlangen von Anmeldeinformationen birgt auch für die unmittelbaren Opfer ernsthafte Risiken und verdeutlicht die Weiterentwicklung von Ransomware-Angriffen.
Erster Zugriff und Lateral Movement
Im Juni 2024 griff die Qilin-Ransomware Synnovis an, einen britischen staatlichen Gesundheitsdienstleister, und rückte damit die Cybercrime-Gruppe ins Rampenlicht. Der Angriff begann damit, dass sich die Angreifer über kompromittierte Anmeldeinformationen für ein VPN-Portal Zugang verschafften, dem eine Multi-Faktor-Authentifizierung (MFA) fehlte.
Nach 18 Tagen Überwachung bewegten sich die Angreifer im Netzwerk seitlich zu einem Domänencontroller. Hier änderten sie die Gruppenrichtlinienobjekte (GPO), um ein PowerShell-Skript namens „IPScanner.ps1“ einzuführen, das dazu dient, in Chrome-Browsern gespeicherte Anmeldeinformationen abzugreifen.
Dieses Skript wurde jedes Mal ausgeführt, wenn sich ein Benutzer bei seinem Gerät anmeldete. Dadurch konnten die Angreifer Anmeldeinformationen von mehreren mit dem Netzwerk verbundenen Geräten sammeln. Die gesammelten Daten wurden in der SYSVOL-Freigabe gespeichert, die nach dem Hostnamen des infizierten Geräts benannt war, und anschließend auf den Command-and-Control-Server der Angreifer exfiltriert. Nach diesem Datendiebstahl löschten die Angreifer die lokalen Kopien und löschten Ereignisprotokolle, um ihre Spuren zu verwischen, bevor sie die Ransomware-Nutzlast einsetzten.
Qilin-Ransomware zielt auf Google Chrome ab, das über 65 % des Browser-Marktanteils hält. Daher könnten die Angreifer möglicherweise auf eine große Anzahl von Benutzernamen und Passwörtern zugreifen, die von Benutzern gespeichert werden.
Von diesem Angriff betroffene Organisationen müssen alle Active Directory-Passwörter zurücksetzen und Benutzern raten, die Passwörter für alle in ihren Browsern gespeicherten Websites zu ändern. Das Ausmaß des Angriffs bedeutet, dass ein einziges kompromittiertes Konto Dutzende oder sogar Hunderte weiterer Angriffe bei verschiedenen Diensten nach sich ziehen könnte, was die Reaktionsbemühungen erheblich erschwert.
Sophos-Forscher stellten fest, dass dieser neue Ansatz ein „Bonusmultiplikator“ für das Chaos sein könnte, das Ransomware-Situationen bereits innewohnt. Durch das Sammeln von Anmeldeinformationen können Qilin und ähnliche Gruppen Einblicke in hochwertige Ziele gewinnen und so in Zukunft ausgefeiltere und schädlichere Angriffe ermöglichen. Dieser Trend wirft erhebliche Bedenken hinsichtlich der Sicherheit von Organisationen auf, die möglicherweise nicht ausreichend auf die Abwehr solcher vielschichtigen Bedrohungen vorbereitet sind.
