Qilin-Ransomware erfasst die Anmeldehistorie von RDP auf einem kompromittierten Server

Bis 2023 begann die Gruppe, an Fahrt aufzunehmen und meldete 45 Angriffe und startete Kampagnen gegen kritische Sektoren wie das Gesundheitswesen, die Fertigung, die Finanzwirtschaft und staatliche Behörden.

Bis 2025 hatte Qilin bereits über 700 bestätigte Angriffe in einem einzigen Jahr verzeichnet und gilt damit als einer der produktivsten Ransomware-Betreiber aller Zeiten. Zu den Opfern gehörten NHS-Krankenhäuser in London und staatliche Verwaltungssysteme in den Vereinigten Staaten, was zeigt, dass kein Sektor sicher ist.

Die Gruppe erlangt typischerweise zunächst Zugang durch Spearphishing-E-Mails, die Ausnutzung bekannter Software-Schwachstellen oder durch die Missbrauch (RMM)-Tools.

Moegliche Anwendungen

Sobald sie sich in einem Netzwerk befinden, konzentrieren sich Angreifer darauf, ihre Reichweite leise zu erweitern, indem sie Living-off-the-Land-Techniken einsetzen, die sich in normale Systemaktivitäten einfügen, um Alarmierungen zu vermeiden.

Qilin setzt außerdem auf Doppelerpressung, was bedeutet, dass die Gruppe Daten verschlüsselt und gleichzeitig droht, diese öffentlich zu veröffentlichen, wenn die Lösegeldzahlung nicht erfolgt, wodurch enorme Druck auf die Opfer ausgeübt wird, um nachzugeben.

Maurice Fielenbach, Information Security Researcher bei Hexastrike, identifizierte kürzlich einen besonders gezielten Aufklärungsversuch.

Seine Beobachtung hob hervor, wie die

Seine Beobachtung hob hervor, wie die Gruppe einen PowerShell-Befehl verwendete, um jeden Event ID 1149 aus dem Log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational abzurufen.

Diese einzelne Abfrage gab den Angreifern eine klare Karte darüber, welche Konten RDP auf dem Host nutzten, welche Clientsysteme damit verbunden waren und welche Konten privilegiert genug erschienen, um als nächstes Ziel zu dienen. Das Skript wurde während des Eindringens über eine bösartige ScreenConnect-Installation geliefert.

Was dieses Verhalten besonders macht, ist, wie wenig Lärm es erzeugt. Anstatt laute Netzwerkscans oder Active Directory Enumerationstools auszuführen, die , nutzte Qilin einen eingebauten Windows-Protokollierungsmechanismus, um alle benötigten Aufklärungsdaten zu sammeln.

Dies ist ein kalkulierter Schritt, der

Dies ist ein kalkulierter Schritt, der einen breiteren Wandel in der Art und Weise widerspiegelt, wie Ransomware-Gruppen die Tarnung vor der Verschlüsselung angehen. RDP-Enumeration als Strategie zur lateralen Bewegung Die Zentrum ihrer Strategie zur lateralen Bewegung.

Durch Abfragen der Event ID 1149, die aufzeichnet, wann eine Anforderung für eine Remote-Desktop-Verbindung empfangen wird, extrahierten die Angreifer Benutzernamen, Domainnamen und die Quell-Client-Maschinen, die an jeder Sitzung beteiligt waren.

Mit einem einzigen Befehl erstellten sie eine priorisierte Liste , die für eine weitere Kompromittierung ins Visier genommen werden konnten. Dieser Ansatz ist besonders effektiv, weil die Event ID 1149 im RemoteConnectionManager Operational Log und nicht im Haupt-Sicherheitsereignisprotokoll (Security event log) zu finden ist.

Viele Organisationen leiten dieses Protokoll nicht

Viele Organisationen leiten dieses Protokoll nicht an ihr Security Information and Event Management (SIEM)-System weiter oder behandeln es einfach als geringe Priorität. Diese Lücke gibt Angreifern ein ruhiges Zeitfenster, um wertvolle Informationen zu sammeln.

Es ist auch wichtig zu beachten, dass die Event ID 1149 nicht allein einen erfolgreichen RDP-Login bestätigt. Sie zeichnet lediglich auf, dass eine Verbindungsanforderung empfangen wurde.

Zur Überprüfung tatsächlicher erfolgreicher Anmeldungen ist eine Korrelation mit der Event ID 4624 aus dem Sicherheitsprotokoll oder Einträgen aus dem Local Session Manager Protokoll erforderlich.

Sicherheitsteams wird geraten, das PowerShell ScriptBlock

Sicherheitsteams wird geraten, das PowerShell ScriptBlock Logging in ihrer gesamten Umgebung zu aktivieren, da es keinen legitimen Grund gibt, dass ein nicht-administratives Verfahren diese Art ührt.

Organisationen sollten auch auf unbefugte Installationen , AnyDesk, Atera oder Total Software Deployment auf einem kompromittierten Host achten. Die Überwachung Indikatoren fügt eine weitere starke Erkennungsebene hinzu.

Zusammen können diese Signale, die in den Stunden vor Beginn der Verschlüsselung beobachtet werden, als zuverlässiger Fingerabdruck eines aktiven Qilin-Eindringens dienen. Sie uns auf

Der Beitrag Qilin Ransomware Enumerates RDP Authentication History on a Compromised Server erschien zuerst bei Cyber Security News.