[Neue Studie] Mit dieser Malware stehlen Hacker die Passwörter Ihrer Benutzer

Heute veröffentlicht das Specops-Forschungsteam neue Daten über die Arten von Malware, die Hacker verwenden, um Passwörter zu stehlen und sie im Dark Web zu verkaufen. Dies fällt mit der neuesten Ergänzung von über 48 Millionen kompromittierten Passwörtern zum Specops Breached Password Protection Service zusammen.

Specops’ database of breached and compromised passwords contains over 5 billion unique passwords that we continuously scan for in our customers’ Active Directories. The data comes from known breached passwords lists, our real-time attack monitoring system that monitors live brute force attacks, and a valuable new source: KrakenLabs, the Threat Intelligence unit of Specops Software’s parent company, Outpost24.

KrakenLabs ist auf die Verfolgung von Bedrohungsakteuren, das Reverse Engineering von Malware und die Analyse von Bedrohungen spezialisiert, um wichtige Informationen zu generieren, die die Outpost24 Threat Intelligence-Lösung unterstützen. Passend zur Aktualisierung unserer Datenbank mit bekannt gewordenen Passwörtern hat KrakenLabs 359 Millionen gestohlene Passwörter analysiert, die in den letzten sechs Monaten gefunden wurden, um die häufigsten Arten von Malware zu ermitteln, die zum Stehlen von Anmeldedaten verwendet werden.

Darren James, Specops Senior Product Manager, sagte Folgendes zu den Ergebnissen: „Es ist interessant festzustellen, dass ein bestimmtes Stück Malware für fast die Hälfte der analysierten gestohlenen Passwörter verantwortlich war. Die Daten zeigen, dass Redline-Malware das derzeitige Lieblingsspielzeug der Hacking-Community zum Stehlen von Passwörtern ist und in den letzten sechs Monaten 170 Millionen gestohlene Anmeldedaten angehäuft hat.

„Dies zeigt auch, wie viele Passwörter letztendlich im Dark Web zum Verkauf angeboten werden, und unterstreicht die Gefahr der Wiederverwendung von Passwörtern. Wenn Ihre Endbenutzer Arbeitskennwörter auf Websites oder Geräten wiederverwenden, die anfällig für Malware sind, könnten Sie am Ende kompromittierte Kennwörter in Ihrem Active Directory haben (und in anderen Anwendungen und Plattformen wie Entra iD und Okta, wenn Sie Ihre Kennwörter synchronisieren). Es ist wichtig, dass Sie eine Möglichkeit haben, Ihr Active Directory kontinuierlich auf bekannt gewordene und kompromittierte Kennwörter zu scannen“.

Die zehn beliebtesten Anmeldedaten-Diebe der Hacker

Es gibt viele Tools auf dem Markt, aus denen Hacker wählen können, aber einige sind für mehr gestohlene Passwörter verantwortlich als andere. Wie Sie aus den Daten von KrakenLabs in der Tabelle unten ersehen können, steckte Redline-Malware allein in den letzten sechs Monaten hinter riesigen 170 Millionen gestohlenen Passwörtern. Das bedeutet, dass Redline verwendet wurde, um fast die Hälfte (47 %) aller analysierten Passwörter zu stehlen. Das war mehr als die nächsten drei beliebtesten Tools zum Stehlen von Anmeldedaten zusammen: Vidar (17 %), Raccoon Stealer (11,7 %) und Meta (10,6 %).

Analyse der drei häufigsten Arten von Malware zum Stehlen von Passwörtern

1. Redline

Wie die Daten zeigen, ist RedLine ein äußerst beliebter Stealer. Er wurde im März 2020 entdeckt und sein Hauptziel ist es, alle Arten von persönlichen Informationen wie Anmeldedaten, Kryptowährungs-Wallets und Finanzdaten zu exportieren und sie dann in die C2-Infrastruktur der Malware hochzuladen. In vielen Fällen wird eine RedLine-Payload zusammen mit einem Kryptowährungs-Miner ausgeliefert, der auf dem Rechner des Opfers eingesetzt werden soll, insbesondere in Kampagnen, in denen Gamer mit leistungsstarken GPUs das bevorzugte Ziel sind.

Redline wird mit einer Vielzahl von Verbreitungsmethoden in Verbindung gebracht, obwohl Phishing-Kampagnen am häufigsten vorkommen. Bedrohungsakteure nutzen globale Ereignisse wie COVID-19 als Köder, um Menschen dazu zu bringen, auf den Stealer zu klicken und ihn herunterzuladen. Seit Mitte 2021 wird auch YouTube als Verbreitungsmethode für RedLine verwendet, und zwar wie folgt:

• Erstens kompromittiert der Bedrohungsakteur ein Google/YouTube-Konto
• Nach der Kompromittierung erstellt der Bedrohungsakteur verschiedene Kanäle oder veröffentlicht Videos direkt auf diesen
• In der Beschreibung der hochgeladenen Videos (in der Regel solche, die für Gaming-Cheats und -Cracks werben und Anleitungen zum Hacken beliebter Spiele und Software geben) fügen Bedrohungsakteure einen bösartigen Link ein, der sich auf das Thema des Videos bezieht
• Benutzer klicken auf den Link und laden unwissentlich Redline auf ihr Gerät herunter, was dazu führt, dass ihre Passwörter und andere private Informationen gestohlen werden

2. Vidar

Vidar ist eine Weiterentwicklung des bekannten Arkei Stealer. Es prüft die Spracheinstellungen des infizierten Rechners, um einige Länder für eine weitere Infektion auf die Whitelist zu setzen. Danach generiert es einen Mutex und initialisiert die für den Betrieb benötigten Strings. Es gibt zwei verschiedene C2-Versionen für Hacker. Die ursprüngliche Version ist mit der kostenpflichtigen Version von Vidar, Vidar Pro, verbunden. Es gibt auch eine andere C2-Version, die in der gecrackten Version von Vidar verwendet wird, die in Untergrundforen verbreitet wird und Anti-Vidar genannt wird.

Anfang 2022 wurde Vidar bei Phishing-Kampagnen als Microsoft Compiled HTML Help (CHM)-Dateien verbreitet. Darüber hinaus wurde festgestellt, dass die Malware vom PPI-Malware-Dienst PrivateLoader, dem Fallout Exploit Kit und dem Colibri Loader verbreitet wird. Ende 2023 wurde beobachtet, dass die Malware vom GHOSTPULSE-Malware-Loader ausgeliefert wird.

3. Raccoon Stealer

Raccoon Stealer ist eine informationsstehlende Malware, die im Cyberkriminellen-Untergrund zum Verkauf angeboten wird. Das Team hinter Raccoon Stealer verwendet ein „Malware-as-a-Service“-Modell, das es Kunden ermöglicht, den Stealer monatlich zu mieten. Es wurde erstmals am 8. April 2019 im russischsprachigen Top-Forum Exploit zum Verkauf angeboten. Raccoon Stealer wird mit dem Slogan beworben: „Wir stehlen, Sie handeln!“

In erster Linie wurde es in russischsprachigen Untergrundforen wie Exploit und WWH-Club zum Verkauf angeboten. Am 20. Oktober 2019 begann der Bedrohungsakteur auch, Raccoon Stealer auf dem

berüchtigten englischsprachigen Hack-Forum anzubieten. Der Bedrohungsakteur, der Raccoon Stealer in Untergrundforen vermarktet, spricht gelegentlich von „Testwochen“, was vielleicht darauf hindeutet, dass potenzielle Hacker eine Testversion des Produkts genießen können.

Wo landen gestohlene Anmeldedaten?

Einige Bedrohungsakteure verwenden gestohlene Anmeldedaten, um selbst weitere Angriffe durchzuführen, aber viele werden versuchen, sie im Dark Web in großen Mengen zu verkaufen, um finanzielle Vorteile zu erzielen. Andere Angreifer kaufen diese Anmeldedaten und versuchen, sie zu verwenden, um sich einen ersten Zugang zu Ihrem Netzwerk zu verschaffen.

Das Dark Web ist eine Teilmenge des Deep Web, auf die nicht mit normalen Webbrowsern zugegriffen werden kann. Sie benötigen spezielle Software wie den Tor-Browser, einen VPN-Dienst (Tor-Netzwerk) und Onion-Routing, um darauf zuzugreifen. Das Dark Web wird nicht nur für Cyberkriminalität genutzt, aber seine Untergrundforen und -marktplätze sind berüchtigt für Identitätsdiebstahl, Ransomware-as-a-Service, Phishing-as-a-Service und den Verkauf privater Daten geworden. Einfach ausgedrückt, es ist kein Ort, an dem Sie die Anmeldedaten Ihrer Endbenutzer finden möchten, die zwischen Initial Access Brokers (IABs) gehandelt werden.

Anmeldedaten sind ein wertvolles Gut unter Cyberkriminellen, da sie den einfachsten Weg bieten, sich in eine Organisation zu hacken – und das Dark Web ist der Ort, an dem sie in der Regel zum Verkauf angeboten werden. Ohne Zugang zu Threat Intelligence oder Tools, die nach kompromittierten Passwörtern suchen können, kann es für Organisationen schwierig sein, zu wissen, ob die Anmeldedaten ihrer Endbenutzer im Dark Web gelandet sind.

Passwords can become compromised for all sorts of reasons, but the biggest risk to your Active Directory environment is password reuse. Even if you have an effective password policy, strong passwords can still become compromised through people reusing their work passwords on unsecure sites and devices. These could be breached and then listed for sale online without your knowledge. There’s no foolproof way to stop human behavior like password reuse, so it’s invaluable to have tools that can continuously scan your Active Directory for passwords that are known to have been compromised and could be listed on a dark web marketplace.

Wie Specops mit KrakenLabs zusammenarbeitet, um bekannt gewordene Anmeldedaten hinzuzufügen

Die Zusammenarbeit mit einem Threat Intelligence-Team hilft Specops, noch mehr Daten über bekannt gewordene Passwörter zu sammeln, indem verschiedene Techniken verwendet werden, um Informationen über gestohlene Anmeldedaten zu sammeln. Ihre Forschung überwacht Bedrohungsakteure, die auf das Stehlen von Anmeldedaten spezialisiert sind, was es ihren Bedrohungsanalysten ermöglicht, eine Vielzahl von Gruppen zu entdecken, zu untersuchen und zu infiltrieren. Dies ermöglicht ein besseres Verständnis ihrer Methoden zur Verbreitung von Anmeldedaten und ermöglicht es KrakenLabs in den meisten Fällen, auf die Rohinformationen selbst zuzugreifen.

Neben der Überwachung von Bedrohungsakteuren verfügt KrakenLabs auch über die Möglichkeit, Anmeldedaten aus der Malware zu extrahieren, mit der sie gestohlen wurden. Durch den Einsatz verschiedener Techniken, die von traditionellem Sinkholing (Abfangen von DNS-Anfragen, die versuchen, sich mit bekannten bösartigen oder unerwünschten Domänen zu verbinden) bis hin zur Verwendung ihrer eigenen patentierten Technologie reichen, kann das Team gestohlene Anmeldedaten ‚in-flight‘ erfassen. Dies bedeutet, dass sie Anmeldedaten erfassen können, während sie an den Command-and-Control-Server gemeldet werden, der verwendet wird, um die Anmeldedaten später auf die verschiedenen Clouds zu verteilen.

Was bedeutet das für Active Directory-Passwörter?

This research highlights the lengths threat actors will go to in order to both steal and purchase credentials – and how successful malware such as Redline is for facilitating this. But if your environment is secure from malware, why does that matter? The problem is password reuse. If your end users are reusing their work passwords on insecure devices, sites, and applications, this puts your organization at risk. Hackers use malware to steal passwords from insecure sites and can then easily match a victim’s user information to their place of work.

Eine Bitwarden-Studie ergab, dass 68 % der Internetnutzer Passwörter für über 10 Websites verwalten – und 84 % dieser Personen geben zu, Passwörter wiederzuverwenden. In einer ähnlichen Studie stellte LastPass fest, dass 91 % der Benutzer die Risiken der Wiederverwendung von Passwörtern verstehen, aber 61 % dies weiterhin tun. Die Wiederverwendung von Passwörtern ist ein sehr herausforderndes Verhalten, das es zu stoppen gilt, daher ist Hilfe von Technologien erforderlich, die diese Bedrohung kontinuierlich überwachen können.

So finden Sie kompromittierte Passwörter wie diese in Ihrem Netzwerk

Today’s update to the Breached Password Protection service includes an addition of over 16 million compromised passwords to the list used by Specops Password Auditor. You can find out how many of these compromised passwords are being used by your end users with a quick scan of your Active Directory with our free auditing tool: Specops Password Auditor.

Specops Password Auditor is read-only and doesn’t store Active Directory data, nor does it make any changes to Active Directory. You’ll get an easy-to-understand exportable report detailing password-related vulnerabilities that could be used as entry points for attackers. Download for free here.

Schützen Sie Ihr Unternehmen vor dem Risiko von passwortstehlender Malware

By monitoring the dark web, our analysts can gain information that helps organizations stay ahead of threats. For instance, knowing if your organization’s data has been leaked can help security teams change the relevant credentials and secure your systems before an attack occurs. Specops Breached Password Protection combines this threat intelligence with known breached password lists and data from our real-time attack monitoring system to create a unique database of over 5 billion unique compromised passwords.

Specops Password Policy with Breached Password Protection lets organizations continuously protect themselves against this ever-growing list of compromised credentials. The daily update of the Breached Password Protection API, paired with continuous scans for the use of those passwords in your network, blocks compromised passwords in Active Directory with customizable end-user messaging.

Interested in seeing how Specops Password Policy could fit in with your organization? Have questions on how you could adapt this for your needs? Contact us or see how it works with a demo or free trial.