Der Ransomware-Angriff „The Agenda (Qilin)“ führt zum Diebstahl von Anmeldeinformationen für Google Chrome
Die Agenda (Qilin) Ransomware- Gruppe hat eine besorgniserregende neue Taktik eingeführt: Sie setzt einen benutzerdefinierten Stealer ein, um in Google Chrome-Browsern gespeicherte Kontoanmeldeinformationen abzugreifen. Diese Entwicklung, die das Sophos X-Ops-Team bei seinen jüngsten Bemühungen zur Reaktion auf Vorfälle beobachtet hat, markiert eine erhebliche Eskalation in der Ransomware-Landschaft und macht die Abwehr dieser Angriffe noch schwieriger.
Inhaltsverzeichnis
Angriffsübersicht: Eine detaillierte Aufschlüsselung
Sophos-Forscher analysierten einen Agenda/Qilin-Angriff, der damit begann, dass sich die Gruppe über kompromittierte Anmeldeinformationen für ein VPN-Portal ohne Multi-Faktor-Authentifizierung (MFA) Zugang zu einem Netzwerk verschaffte. Auf den Einbruch folgte eine 18-tägige Inaktivitätsphase, was darauf hindeutet, dass Qilin möglicherweise Zugang zum Netzwerk von einem Initial Access Broker (IAB) gekauft hat. Während dieser Ruhephase verbrachten die Angreifer wahrscheinlich Zeit damit, das Netzwerk zu kartieren, kritische Assets zu identifizieren und Aufklärung zu betreiben.
Nach dieser Erkundungsphase bewegten sich die Angreifer seitlich zu einem Domänencontroller, wo sie Gruppenrichtlinienobjekte (GPOs) änderten, um ein PowerShell-Skript namens „IPScanner.ps1“ auf allen im Domänennetzwerk angemeldeten Computern auszuführen. Dieses Skript, das von einer Batchdatei namens „logon.bat“ ausgeführt wurde, wurde speziell dafür entwickelt, in Google Chrome gespeicherte Anmeldeinformationen zu sammeln.
Chrome Credential Harvesting: Eine neue Gefahrenebene
Das Batch-Skript löste das PowerShell-Skript jedes Mal aus, wenn sich ein Benutzer bei seinem Computer anmeldete, und die gestohlenen Anmeldeinformationen wurden auf der Freigabe „SYSVOL“ unter den Namen „LD“ oder „temp.log“ gespeichert. Diese Dateien wurden dann an den Befehls- und Kontrollserver (C2) von Agenda/Qilin gesendet, woraufhin lokale Kopien und zugehörige Ereignisprotokolle gelöscht wurden, um die Spuren der Angreifer zu verwischen. Anschließend setzte Agenda (Qilin) seine Ransomware-Nutzlast ein und verschlüsselte Daten auf allen kompromittierten Computern. Ein separates GPO und die Batchdatei „run.bat“ wurden verwendet, um die Ransomware auf allen Computern in der Domäne herunterzuladen und auszuführen.
Der Ansatz von Agenda/Qilin, Chrome-Anmeldeinformationen abzugreifen, ist besonders besorgniserregend, da die Gruppenrichtlinie für alle Rechner innerhalb der Domäne galt. Das bedeutete, dass jedes Gerät, bei dem sich ein Benutzer anmeldete, dem Prozess der Anmeldeinformationenerhebung unterlag. Das Skript stahl möglicherweise Anmeldeinformationen von allen Rechnern im gesamten Unternehmen, sofern diese mit der Domäne verbunden waren und während der Laufzeit des Skripts aktive Benutzeranmeldungen hatten.
Auswirkungen und Minderungsstrategien
Der umfangreiche Diebstahl von Anmeldeinformationen, der durch diese Methode ermöglicht wird, kann zu Folgeangriffen und weitreichenden Sicherheitsverletzungen auf mehreren Plattformen und Diensten führen und die Reaktionsbemühungen erheblich erschweren. Darüber hinaus entsteht eine anhaltende Bedrohung, die auch nach der Lösung des ersten Ransomware-Vorfalls bestehen bleiben kann.
Um dieses Risiko zu mindern, sollten Unternehmen strenge Richtlinien gegen die Speicherung von Anmeldeinformationen in Webbrowsern durchsetzen. Die Implementierung einer Multi-Faktor-Authentifizierung ist auch entscheidend, um Konten vor Hackern zu schützen, selbst im Falle einer Kompromittierung der Anmeldeinformationen. Darüber hinaus kann die Anwendung der Grundsätze der geringsten Privilegien und die Segmentierung des Netzwerks die Fähigkeit eines Bedrohungsakteurs, sich innerhalb einer kompromittierten Umgebung seitlich zu bewegen, erheblich erschweren.
Angesichts der Verbindungen von Qilin zur Social-Engineering-Gruppe Scattered Spider und ihrer plattformübergreifenden Fähigkeiten stellt dieser taktische Wechsel ein erhebliches Risiko für Unternehmen dar. Da sich Ransomware-Gruppen wie Qilin weiterentwickeln, ist es wichtiger denn je, wachsam zu bleiben und proaktiv robuste Sicherheitsmaßnahmen zu implementieren.