Die Entwickler der Qilin-Ransomware haben ihre Angriffsstrategie erweitert und setzen nun einen maßgeschneiderten Infostealer ein, der gezielt auf in Google Chrome gespeicherte Anmeldedaten abzielt. Diese besorgniserregende Entwicklung wurde kürzlich von den Experten bei Sophos X-Ops entdeckt und analysiert.
Anatomie eines modernen Ransomware-Angriffs
Der von Sophos untersuchte Angriff fand im Juli 2024 statt und begann mit dem Eindringen in das Netzwerk über kompromittierte VPN-Zugangsdaten. Besonders alarmierend ist dabei die Tatsache, dass das betroffene VPN-Portal keine Zwei-Faktor-Authentifizierung implementiert hatte – eine grundlegende Sicherheitsmaßnahme, die solche Angriffe erheblich erschweren kann.
Nach der initialen Kompromittierung blieben die Angreifer zunächst 18 Tage inaktiv. Dieses Verhalten deutet laut Experten entweder auf den Kauf des Netzwerkzugangs von einem Access Broker hin oder auf eine ausgedehnte Reconnaissance-Phase, in der die Angreifer das Netzwerk erkundeten und kritische Ressourcen identifizierten.
Einsatz von Group Policy Objects für die Verbreitung
Im nächsten Schritt manipulierten die Cyberkriminellen Group Policy Objects (GPOs), um einen PowerShell-Skript namens „IPScanner.ps1“ auf allen Domänen-Computern auszuführen. Dieser Skript, der bei jedem Benutzer-Login durch „logon.bat“ gestartet wurde, war darauf ausgelegt, in Chrome gespeicherte Anmeldeinformationen zu extrahieren.
Die erbeuteten Daten wurden zunächst im SYSVOL-Verzeichnis unter den Namen „LD“ und „temp.log“ gespeichert, bevor sie an einen Command-and-Control-Server übermittelt wurden. Um Spuren zu verwischen, löschten die Angreifer anschließend lokale Kopien und relevante Ereignisprotokolle.
Weitreichende Folgen für die Unternehmenssicherheit
Die Sophos-Analysten warnen, dass diese neue Taktik der Qilin-Gruppe die Abwehr von Ransomware-Angriffen deutlich erschweren könnte. Da die manipulierte GPO auf alle Domänen-Computer angewendet wurde, konnten potenziell sämtliche Anmeldedaten aller Benutzer im Unternehmensnetzwerk kompromittiert werden.
Eine derart umfassende Kompromittierung von Zugangsdaten kann zu Folgeangriffen, weitreichenden Sicherheitsverletzungen auf verschiedenen Plattformen und erheblich komplexeren Incident-Response-Prozessen führen. Die Bedrohung bleibt dabei auch nach der Beseitigung der ursprünglichen Ransomware-Infektion bestehen.
Cybersicherheitsexperten betonen die Notwendigkeit umfassender Maßnahmen im Falle einer solchen Kompromittierung. Neben dem Reset aller Active Directory-Passwörter müssten theoretisch auch sämtliche in Chrome gespeicherten Zugangsdaten für externe Dienste und Websites geändert werden – eine logistische Herausforderung, die viele Unternehmen an ihre Grenzen bringen dürfte.
Um sich vor solchen hochentwickelten Angriffen zu schützen, ist ein ganzheitlicher Sicherheitsansatz unerlässlich. Dieser sollte robuste Authentifizierungsmechanismen, regelmäßige Sicherheitsaudits, Mitarbeiterschulungen und ein effektives Patch-Management umfassen. Nur so können Unternehmen ihre digitalen Assets in der sich ständig weiterentwickelnden Bedrohungslandschaft wirksam schützen.