Die berüchtigte Qilin-Ransomware-Gruppe hat eine neuartige Taktik eingesetzt, um in Google Chrome gespeicherte Anmeldeinformationen zu stehlen. Die Techniken zum Erfassen von Anmeldeinformationen erweitern den Umfang von Ransomware und die Anzahl potenzieller Angriffe in der Zukunft erheblich.
Wie stiehlt die Qilin-Ransomware-Gruppe in Google Chrome gespeicherte Anmeldeinformationen?
Die Qilin-Ransomware-Gruppe ist seit über zwei Jahren aktiv. Daher sind sie sich der potenziellen Schwachstellen in großen Netzwerken durchaus bewusst.
Der gesamte Angriff hatte eine Entwicklungszeit von 18 Tagen, wie das Sophos X-Ops-Team angab, das die Angriffsvektoren und -module entdeckte. Dies deutet stark darauf hin, dass Qilin möglicherweise kompromittierte Anmelde- und Authentifizierungsdaten für ein großes Netzwerk von einem Initial Access Broker (IAB) gekauft hat.
Indem Qilin 18 Tage lang unentdeckt blieb, kartierte es Berichten zufolge das Netzwerk, identifizierte kritische Assets und führte Aufklärungsarbeiten durch. Anschließend nutzte die Qilin-Gruppe ihr unrechtmäßig erworbenes Wissen und griff auf einen Domänencontroller innerhalb der Active Directory-Domäne (AD) des Ziels zu. Dort setzten sie dann eine neuartige Technik zur Erlangung von Anmeldeinformationen ein.
Durch Änderung der Standarddomänenrichtlinie konnte die Gruppe in ein anmeldebasiertes Gruppenrichtlinienobjekt (Group Policy Object, GPO) gelangen. Dieses enthielt ein PowerShell-Skript, das Anmeldeinformationen sammelte, die in Chrome-Browserinstallationen auf den Computern der Opfer gespeichert waren.
Wie kann man sich vor der neuen Methode des Cyberangriffs schützen?
Die Qilin-Ransomware-Gruppe ist für ihre doppelte Erpressungstaktik berüchtigt. Die Gruppe stiehlt Daten, verschlüsselt Systeme und droht dann, die Daten ins Internet zu stellen oder zu verkaufen, wenn das Lösegeld nicht bezahlt wird. Die neueste Technik deutet jedoch darauf hin, dass die Gruppe ihre Methoden möglicherweise diversifiziert hat.
Die neue Technik ist vor allem deshalb verheerend, weil Google Chrome derzeit den Browsermarkt dominiert. Jüngste Untersuchungen zur Cybersicherheit haben ergeben, dass ein durchschnittlicher Internetnutzer etwa 87 arbeitsbezogene Passwörter und viel mehr private Passwörter in seinem Browser speichert.
Durch den Zugriff auf gespeicherte Anmeldeinformationen konnte die Qilin-Ransomware-Gruppe ihren Umfang, ihre Reichweite und ihren Einfluss erheblich erweitern. Ein einzelner kompromittierter Benutzer könnte diese Gruppe zu mehreren Plattformen von Drittanbietern führen und deren Abwehr mit Anmeldeinformationen kompromittieren.
Eine der offensichtlichsten Präventionsmaßnahmen wäre, keine Passwörter mehr in Webbrowsern zu speichern. Benutzer könnten zu diesem Zweck auf Plattformen von Drittanbietern zurückgreifen.
Aufgrund der Angriffsmethoden können Internetnutzer auch ihre Sicherheit wahren, indem sie VPN-Dienste mit zweifelhafter Erfolgsbilanz meiden. Schließlich sollten sich Benutzer, wo immer möglich, für die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung (MFA) entscheiden.
