Ransomware Qilin klaut Log-in-Daten aus Google Chrome
Bei der Untersuchung eines Ransomware-Vorfalls hat Sophos ein neues Verhalten von Qilin beobachtet. Sie klaut Zugangsdaten aus Chrome.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Bei einer Analyse eines Ransomware-Vorfalls haben IT-Forscher von Sophos ein neues Verhalten entdeckt. Die Ransomware Qilin hat nach dem Befall im Netzwerk Zugangsdaten aus dem Google-Chrome-Webbrowser auf den Endpunkten exfiltriert, um damit auf weitere Systeme und Dienste Zugriff zu erlangen.
Wie die IT-Sicherheitsforscher von Sophos in ihrer Analyse schreiben, haben sich die Angreifer bei dem untersuchten Vorfall aus dem Juli dieses Jahres mit VPN-Zugangsdaten unbefugt Zutritt zum Netzwerk verschafft. Hier war eine fehlende Mehr-Faktor-Authentifizierung am initialen Einbruch schuld, erörtern die IT-Forensiker. Zwischen dem initialen Einbruch in die Organisation und der weiteren Bewegung im Netzwerk vergingen demnach 18 Tage. Möglicherweise sei der Einbruch auch von einem IAB (Initial Access Broker), also einer kriminellen Gruppe mit dem Spezialgebiet des Einbrechens in Netze und dem Verkauf des Zugangs an andere bösartige Akteure, vorgenommen worden.
Bewegung auf Domaincontroller und Anlegen von Gruppenrichtlinien
Mit kompromittierten Zugangsdaten gelang es den Angreifern nach den 18 Tagen, auf einen Domaincontroller (DC) im Active Directory (AD) zuzugreifen. Dort manipulierten sie die Standard-Gruppenrichtlinie, um ein Log-on-basiertes Gruppenrichtlinienobjekt einzuführen. Das eine war ein Powershell-Skript namens IPScanner.ps1, das in einen temporären Ordner der SYSVOL-Freigabe auf dem DC abgelegt wurde. Die Datei enthielt ein Skript mit 19 Zeilen, das Zugangsdaten aus dem Chrome-Webbrowser sammelt.
Das zweite Objekt war eine Batch-Datei mit dem Namen logon.bat und enthielt Befehle, das erste Skript auszuführen. Die Kombination mündete in der Sammlung der Zugangsdaten aus den Chrome-Webbrowsern der AD-Endpoints. Jede Maschine im Netz hat diese Skripte bei der Anmeldung ausgeführt. Die IPScanner.ps1 legt dabei eine SQLite-Datenbank mit dem Namen LD und eine Textdatei mit dem Titel temp.log an. Diese Dateien wurden auf eine neu erstellte SYSVOL-Freigabe auf den DC kopiert, die den Hostnamen des Geräts widerspiegelte, auf dem die Skripte liefen.
Die Gruppenrichtlinie blieb drei Tage aktiv, wodurch sie zum Ausführen der Malware auf vielen Maschinen führte – jedes Mal, wenn sich eine Nutzerin oder ein Nutzer angemeldet hat. Nachdem die Zugangsdaten gestohlen und von den bösartigen Akteuren exfiltriert wurden, haben sie die Dateien gelöscht und die Ereignisprotokolle sowohl für den DC als auch für die Endpunkte bereinigt. Nach dem Löschen der Beweise haben sie dann Dateien verschlüsselt und eine Erpressernotiz hinterlassen. Für die Ransomware hat die kriminelle Qilin-Gruppierung erneut Gruppenrichtlinien eingesetzt, um eine Datei namens run.bat zu verteilen und auszuführen.
Den Passwort-Manager in Chrome zu nutzen, führte dazu, dass die kriminellen Drahtzieher an weitere Zugangsdaten zu Diensten gelangen konnten. Die Nutzung eines Passwort-Managers wie Bitwarden, der sich in Unternehmen zentral verwalten und ohne Datenablage in der Cloud nutzen lässt, scheint eine empfehlenswerte Maßnahme zu sein. Zudem hilft der Einsatz von Passkeys, dass Cyberkriminelle keine nutzbaren Zugangsdaten erbeuten können.
(dmk)