image

Ransomware steelt bij aangevallen bedrijven wachtwoorden uit Google Chrome

vrijdag 23 augustus 2024, 10:17 door Redactie, 4 reacties

De criminelen achter de Qilin-ransomware stelen bij aangevallen bedrijven en organisaties wachtwoorden van besmette machines. Het gaat dan specifiek om inloggegevens die door medewerkers in Google Chrome zijn opgeslagen. Dat laat antivirusbedrijf Sophos weten. De virusbestrijder roept op om geen wachtwoorden in de browser op te slaan en een aparte wachtwoordmanager te gebruiken.

Net als veel andere ransomwaregroepen steelt ook de Qilin-groep eerst allerlei data van organisaties, voordat systemen worden versleuteld. Onlangs onderzocht Sophos een aanval op een organisatie. De aanvallers hadden door middel van gecompromitteerde VPN-inloggegevens toegang tot de organisatie gekregen. De niet nader genoemde VPN-oplossing maakte geen gebruik van multifactorauthenticatie.

Nadat de aanvallers toegang hadden voerden ze een script uit waarmee van alle op het netwerk aangesloten machines de in Google Chrome opgeslagen wachtwoorden werden gestolen. Hierna werden alle hierbij gebruikte bestanden en event logs van zowel de domeincontroller als besmette machines verwijderd. Volgens het antivirusbedrijf werd dit gedaan om het lastiger te maken om de omvang van de datadiefstal te bepalen. Nadat het bewijs was verwijderd werden op de systemen alle bestanden versleuteld en de 'ransom note' achtergelaten.

"Een dergelijke succesvolle aanval houdt in dat verdedigers niet alleen alle Active Directory-wachtwoorden moeten wijzigen, maar ook (in theorie) eindgebruikers moeten vragen om hun websites voor tientallen, mogelijk honderden, third-party sites aan te passen waarvoor gebruikers hun inloggegevens in de Chrome-browser hebben opgeslagen", zegt Lee Kirkpatrick van Sophos. Hij adviseert organisaties om van aparte wachtwoordmanager-applicaties gebruik te maken. "Het is keer op keer bewezen dat het gebruik van een browser-gebaseerde wachtwoordmanager onveilig is."

Reacties (4)
23-08-2024, 12:43 door Anoniem
laten we ook stoppen met domein controllers en met bestanden, want die zijn ook kwetsbaar.
23-08-2024, 13:00 door Anoniem
vind ik nogal een ongenuanceerd statement, ik heb niet het idee dat je heel veel kennis van het securitydomein hebt...
23-08-2024, 13:19 door Anoniem
Door Anoniem: laten we ook stoppen met domein controllers en met bestanden, want die zijn ook kwetsbaar.
Volkomen overbodige opmerking weer. Heeft u wel gelezen waar het Sophos artikel over gaat eigenlijk?
26-08-2024, 11:20 door Anoniem
Door Anoniem: laten we ook stoppen met domein controllers en met bestanden, want die zijn ook kwetsbaar.
Geen idee of het charcastisch is maar Domain Controllers zijn inderdaad extreem ouderwets en letterlijk het eenvoudigste doelwit ooit. Een Windows machine is altijd maar 1 hop verwijderd van de kroonjuwelen van de organisatie. Eenvoudiger kan je het niet maken voor een aanvaller.

En inderdaad bestanden versturen is een grote reden waarom datalekken gebeuren. Mensen blijven mensen...
Het is veel beter om een bestand te delen en enkel leesbaar te maken. Je voorkomt datalekken hier niet volledig mee maar kan wel rechten intrekken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.