HIBP fügt 284 Millionen durch Malware gestohlene Konten hinzu: Erkenntnisse zu Telegram & Infostealern
Table of Contents
Gestohlene Anmeldeinformationen sind auf Untergrund-Marktplätzen sehr gefragt. Eine Datenbank mit gestohlenen Anmeldeinformationen ist wie eine riesige Kiste mit Schlüsseln für einen Hacker. Mit der richtigen Software können sie diese Schlüssel schnell gegen Benutzerkonten ausprobieren, in der Hoffnung, dass einer passt und sie unbefugten Zugriff auf eine Organisation erhalten. Aus diesem Grund ist es wichtig, diese Datenbanken aufzudecken und Endbenutzer daran zu hindern, kompromittierte Passwörter zu verwenden.
Im Januar haben wir eine Studie über über 1 Milliarde durch Malware gestohlene Anmeldeinformationen veröffentlicht. Aber es gibt immer mehr zu finden. Vor kurzem hat HaveIBeenPwned seiner Datenbank 284 Millionen Konten hinzugefügt. Diese HIBP-Datenbankaktualisierung enthält einige interessante Erkenntnisse über die Verwendung von Telegram, die anhaltende Bedrohung durch Infostealer, und wir werden Ihnen mitteilen, was wir über den Bedrohungsakteur ALIEN TXTBASE wissen.
Was hat HaveIBeenPwned auf Telegram gefunden?
Der Betreiber der HaveIBeenPwned-Website, Troy Hunt, gab an, 284.132.969 kompromittierte Konten gefunden zu haben, die von Information-Stealer-Malware gestohlen und auf einem Telegram-Kanal veröffentlicht wurden. Dies geschah bei der Analyse von 1,5 TB Stealer-Protokollen, die wahrscheinlich aus zahlreichen Quellen stammen und auf einem Telegram-Kanal namens „ALIEN TXTBASE“ geteilt wurden.
Hacker verwenden Telegram oft, um gestohlene Anmeldeinformationen auszutauschen und zu handeln. Die End-to-End-Verschlüsselung und die geheimen Chatfunktionen von Telegram machen es zu einer beliebten Plattform für Cyberkriminelle, um sicher zu kommunizieren und sensible Informationen auszutauschen. Sie können private Gruppen oder Kanäle erstellen, um gestohlene Anmeldeinformationen zu verteilen, Angriffe zu koordinieren und Tools und Techniken auszutauschen.
Hunt erklärte in seinem Blog über die Ergebnisse: „Sie enthalten 23 Milliarden Zeilen mit 493 Millionen eindeutigen Website- und E-Mail-Adresspaaren, die 284 Millionen eindeutige E-Mail-Adressen betreffen. Wir haben außerdem 244 Millionen Passwörter zu Pwned Passwords hinzugefügt, die wir noch nie zuvor gesehen haben, und die Anzahl der bereits vorhandenen Passwörter um weitere 199 Millionen aktualisiert.“
Angesichts der großen Anzahl von Konten in dieser Sammlung ist es wahrscheinlich, dass die Daten sowohl kürzlich kompromittierte als auch ältere Anmeldeinformationen umfassen, die durch Credential-Stuffing-Angriffe und Datenschutzverletzungen erhalten wurden. Vor der HIBP-Datenbankaktualisierung überprüfte Troy deren Gültigkeit, indem er versuchte, ein Passwort mithilfe der gestohlenen E-Mail-Adressen zurückzusetzen, um festzustellen, ob der Dienst mit einer E-Mail zum Zurücksetzen des Passworts antwortete.
Gibt es kompromittierte Passwörter in Ihrem Active Directory?
Führen Sie einen schreibgeschützten Scan mit unserem kostenlosen Tool Specops Password Auditor durch. Sie erhalten einen exportierbaren Bericht, der alle passwortbezogenen Schwachstellen aufzeigt, die der Scan entdeckt. Laden Sie hier Ihr kostenloses Tool herunter.
Telegram: sich verlagernde Cyberkriminalitätstaktiken
Victor Acin, Director of Product Management bei Outpost24 (der Muttergesellschaft von Specops), sagte dazu: „Die Hinzufügung von 284 Millionen kompromittierten Konten zu Have I Been Pwned unterstreicht einen wachsenden Trend in der Cyberkriminalität: die Verlagerung von Dark-Web-Marktplätzen zu zugänglicheren Plattformen wie Telegram für den Datenaustausch und -verkauf. Dies deckt sich mit dem, was wir in den letzten Jahren beobachtet haben, wo Bedrohungsakteure aufgrund ihrer einfachen Zugänglichkeit und des geringeren Risikos von Abschaltungen zunehmend Kommunikationsplattformen für illegale Aktivitäten nutzen.
„Obwohl die Größe dieses Datensatzes beträchtlich ist, ist er kein Ausreißer in der breiteren Landschaft der Cyberkriminalität. Threat-Intelligence-Teams decken regelmäßig ähnliche Daten-Dumps auf, die oft aus gestohlenen Informationen aus früheren Verstößen und Infektionen bestehen. Die Tatsache, dass dieser Datensatz eine Mischung aus alten und neuen Anmeldeinformationen enthält, deutet darauf hin, dass Cyberkriminelle weiterhin kompromittierte Daten recyceln, was das Risiko von Kontoübernahmen für Benutzer erhöht, die Passwörter wiederverwenden.
„Für Einzelpersonen unterstreicht dies die Notwendigkeit starker Sicherheitspraktiken, einschließlich eindeutiger Passwörter für jedes Konto, Multi-Faktor-Authentifizierung und regelmäßiger Überprüfungen von Diensten wie Have I Been Pwned, um potenzielle Gefährdungen zu überwachen. Organisationen sollten auch ihre Threat-Intelligence-Fähigkeiten verbessern, um aufkommende Risiken von alternativen Plattformen wie Telegram zu verfolgen und die Daten ihrer Benutzer proaktiv zu schützen.“
Infostealer: eine anhaltende Bedrohung
Borja Rodriquez, Manager des KrakenLabs Threat Intelligence Teams von Outpost24, sagte: „Die kürzliche Hinzufügung von 284 Millionen kompromittierten Konten zu Have I Been Pwned unterstreicht die anhaltende Bedrohung durch Information-Stealer-Malware. Bei KrakenLabs beobachten wir den Bedrohungsakteur hinter dem Datenleck „ALIEN TXTBASE“ genau und beobachten seine regelmäßige Veröffentlichung gestohlener Anmeldeinformationen über mehrere Monate. Dieses Muster unterstreicht die Notwendigkeit einer kontinuierlichen Überwachung der Anmeldeinformationen, da das Warten auf große Datenansammlungen die Erkennung und Reaktion auf Bedrohungen verzögern kann.“
Was wissen wir über ALIEN TXTBASE?
Borjas Team hat einige interessante Informationen über den Bedrohungsakteur aufgedeckt: „Interessanterweise kündigte die Person hinter ALIEN TXTBASE nach der verstärkten Aufmerksamkeit der Medien die Schließung ihres Telegram-Kanals an und behauptete, den Betrieb einzustellen. In einem Beitrag in Breach Forums gaben sie ihre Absicht bekannt, alle damit verbundenen Aktivitäten einzustellen und änderten sogar ihren Forumsalias. Unsere Erfahrung zeigt jedoch, dass solche Akteure oft unter neuen Identitäten wieder auftauchen, was eine ständige Wachsamkeit unerlässlich macht.
„Es ist wichtig zu beachten, dass Analysen des ALIEN TXTBASE-Datensatzes Inkonsistenzen aufgedeckt haben, darunter künstlich erzeugte oder recycelte Daten aus früheren Verstößen. Während einige authentische Stealer-Protokolle vorhanden sind, enthält der Datensatz auch erfundene oder veraltete Informationen. Daher sollten Organisationen und Einzelpersonen ihre Gefährdung sorgfältig einschätzen, robuste Sicherheitspraktiken implementieren und unbegründeten Alarm vermeiden.“
Schützen Sie Ihre Benutzer vor kompromittierten Passwörtern
Specops arbeitet eng mit dem KrakenLabs Threat Intelligence Team zusammen, um durchgesickerte Anmeldeinformationen von Telegram zu sammeln und sie unserer Datenbank mit über vier Milliarden eindeutigen kompromittierten Anmeldeinformationen hinzuzufügen. Specops Password Policy verhindert, dass Endbenutzer diese kompromittierten Passwörter auswählen. Darüber hinaus scannt es kontinuierlich Ihr Active Directory und benachrichtigt Endbenutzer, wenn festgestellt wird, dass sie ein kompromittiertes Passwort verwenden, das kürzlich der Datenbank hinzugefügt wurde. Möchten Sie sehen, wie es funktioniert? Testen Sie Specops Password Policy kostenlos.
(Zuletzt aktualisiert am 20/07/2025)