IT-Forscher von Sophos haben bei einer Analyse eines Ransomware-Vorfalls ein neues Verhalten entdeckt. Nach dem Befall im Netzwerk hat die Ransomware Qilin Zugangsdaten aus dem Google-Chrome-Webbrowser auf den Endpunkten exfiltriert, um damit auf weitere Systeme und Dienste Zugriff zu erlangen.

Die Angreifer haben sich bei dem untersuchten Vorfall aus dem Juli dieses Jahres mit VPN-Zugangsdaten unbefugt Zutritt zum Netzwerk verschafft, wie die IT-Sicherheitsforscher von Sophos in ihrer Analyse schreiben. Die IT-Forensiker erörtern, dass hier eine fehlende Mehr-Faktor-Authentifizierung am initialen Einbruch schuld war.

Demnach vergingen zwischen dem initialen Einbruch in die Organisation und der weiteren Bewegung im Netzwerk 18 Tage. Der Einbruch sei eventuell auch von einem IAB (Initial Access Broker) vorgenommen worden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE