Flexible Security for Your Peace of Mind

[Neue Studie] Mit dieser Malware stehlen Hacker die Passwörter Ihrer Benutzer

Das Specops Research Team stellt Ihnen aktuelle Daten über die Malware vor, mit denen Hacker Passwörter stehlen, um diese im Dark Web zu verkaufen. Die Veröffentlichung erfolgt zeitgleich mit der neuesten Erweiterung des Specops Breached Password Protection Service um über 48 Millionen kompromittierte Passwörter.

Die Datenbank mit kompromittierten Passwörtern von Specops enthält bereits über 4 Milliarden einzigartige Passwörter, auf die wir kontinuierlich die Active Directories unserer Kunden überprüfen. Die Daten in der Datenbank stammen beispielsweise aus Listen mit bereits bekannten kompromittierten Passwörtern, aus unseren Honeypots, die Brute-Force-Angriffe live überwachen, und aus einer wertvollen neuen Quelle: KrakenLabs, die Threat-Intelligence-Einheit der Specops Software-Muttergesellschaft, Outpost24.

KrakenLabs hat sich auf das Aufspüren von Threat-Actors, das Reverse-Engineering von Malware und die Analyse von Cyberbedrohungen spezialisiert, um wichtige Informationen für die Threat Intelligence-Lösung Threat Compass von Outpost24 zu gewinnen. Zeitgleich mit der Aktualisierung unserer Datenbank für kompromittierte Passwörter hat KrakenLabs 359 Millionen gestohlene Passwörter analysiert, die in den letzten sechs Monaten gefunden wurden, um die häufigsten Malware-Typen zu ermitteln, die für den Diebstahl von Zugangsdaten verwendet werden.

Darren James, Specops Senior Product Manager, kommentiert die Ergebnisse wie folgt: “Es ist interessant festzustellen, dass eine bestimmte Malware für fast die Hälfte der analysierten gestohlenen Passwörter verantwortlich war. Die Daten zeigen, dass die Redline-Malware mit 170 Millionen gestohlenen Passwörtern in den letzten sechs Monaten das derzeit beliebteste Spielzeug für den Diebstahl von Passwörtern unter Hacker ist.

Die Daten zeigen auch, wie viele Passwörter im Dark Web zum Verkauf angeboten werden und unterstreichen die Gefahr durch die Wiederverwendung von Passwörtern. Wenn Ihre Endbenutzer ihre beruflichen Passwörter auf Websites oder Geräten, die für Malware anfällig sind, wiederverwenden, kann dies ganz schnell dazu führen, dass Passwörter in Ihrem Active Directory (und anderen Anwendungen und Plattformen wie Entra iD und Okta, wenn Sie Ihre Passwörter synchronisieren) auf einmal kompromittiert sind – egal wie gut Ihre Sicherheitsmaßnahmen in der Organisation sind. Daher ist es wichtig, dass Sie Ihr Active Directory kontinuierlich nach kompromittierten Passwörtern durchsuchen“.

Schlummern kompromittierte Kennwörter bereits in Ihrer Organisation?

Die zehn beliebtesten Tools zum Diebstahl von Zugangsdaten

Auf dem Markt gibt es viele Tools, aus denen Hacker wählen können, aber einige sind für mehr gestohlene Passwörter verantwortlich als andere. Wie Sie den Daten von KrakenLabs in der Tabelle unten entnehmen können, war die Redline-Malware allein in den letzten sechs Monaten für 170 Millionen gestohlene Passwörter verantwortlich. Das bedeutet, dass Redline für den Diebstahl von fast der Hälfte (47 %) aller analysierten Passwörter verwendet wurde. Das ist mehr als die drei nächstgrößeren Tools zum Diebstahl von Zugangsdaten zusammen: Vidar (17 %), Raccoon Stealer (11,7 %) und Meta (10,6 %).

Die zehn beliebtesten Stealer für Zugangsdaten

1. Redline

Wie die Daten zeigen, ist RedLine ein äußerst beliebter Stealer. RedLine wurde im März 2020 entdeckt und hat das Ziel, alle Arten von persönlichen Informationen zu extrahieren, z. B. Anmeldeinformationen, Krypto-Wallets und Bankdaten, und diese dann in die C2-Infrastruktur der Malware hochzuladen. In vielen Fällen wird RedLine zusammen mit einem Kryptowährungs-Miner verbreitet, der auf dem Computer des Opfers installiert wird, insbesondere in Kampagnen, bei denen Gamer mit leistungsstarken Grafikprozessoren das Hauptziel sind.

Redline wird über eine Vielzahl von Methoden verbreitet, wobei Phishing-Kampagnen am häufigsten vorkommen. Die Täter nutzen globale Ereignisse wie COVID-19 als Köder, um Menschen dazu zu bringen, auf den Stealer zu klicken und ihn herunterzuladen. Seit Mitte 2021 wird auch YouTube als Verbreitungsmethode für RedLine genutzt, und zwar wie folgt:

  • Zuerst verschafft sich der Angreifer Zugang zu einem bestehenden Google/YouTube-Konto.
  • Sobald das Konto kompromittiert ist, erstellt der Täter verschiedene Kanäle oder veröffentlicht direkt Videos auf diesen Kanälen.
  • In der Beschreibung der hochgeladenen Videos (in der Regel solche, die Cheats und Cracks für Spiele anpreisen und Anleitungen zum Hacken beliebter Spiele und Software enthalten) fügen die Angreifer einen schädlichen Link ein, der mit dem Thema des Videos zusammenhängt
  • Benutzer klicken auf den Link und laden unwissentlich Redline auf ihr Gerät herunter, wodurch ihre Passwörter und andere private Informationen gestohlen werden.

2. Vidar

Vidar ist eine Weiterentwicklung des altbekannten Arkei Stealers. Er prüft die Spracheinstellungen des infizierten Rechners, um bestimmte Länder für eine weitere Infektion in die Whitelist aufzunehmen. Anschließend erzeugt er eine Mutex und initialisiert die für den Betrieb erforderlichen Strings. Es gibt zwei verschiedene C2-Versionen, die Hackern zur Verfügung stehen. Die ursprüngliche Version ist mit der kostenpflichtigen Version von Vidar, Vidar Pro, verbunden. Es gibt auch eine andere C2-Version, die in der gecrackten Version von Vidar verwendet wird. Diese wird in Untergrundforen verbreitet und heißt Anti-Vidar.

Anfang 2022 wurde entdeckt, dass Vidar in Phishing-Kampagnen als Microsoft Compiled HTML Help (CHM)-Dateien verbreitet wird. Außerdem wurde festgestellt, dass die Malware über den PPI-Malware-Dienst PrivateLoader, das Fallout Exploit Kit und den Colibri-Loader verbreitet wird. Ende 2023 wurde beobachtet, dass die Malware über den GHOSTPULSE Malware-Loader verbreitet wurde.

3. Raccoon Stealer

Raccoon Stealer ist ein Infostealer, der im cyberkriminellen Untergrund zum Verkauf angeboten wird. Das Team hinter Raccoon Stealer verwendet ein “Malware-as-a-Service”-Modell, das es den Kunden ermöglicht, den Stealer auf monatlicher Basis zu mieten. Der Raccoon Stealer wurde erstmals am 8. April 2019 im hochrangigen russischsprachigen Forum Exploit zum Verkauf angeboten. Raccoon Stealer wird mit dem Slogan beworben: “We steal, You deal!”

Die Software wurde vor allem in russischsprachigen Untergrundforen wie Exploit und WWH-Club zum Verkauf angeboten. Am 20. Oktober 2019 begann der Threat-Actor, Raccoon Stealer auch in den berüchtigten englischsprachigen Hack-Foren anzubieten. Der Anbieter, der Raccoon Stealer in Untergrundforen vertreibt, spricht gelegentlich von “Probewochen”, was darauf hindeuten könnte, dass potenzielle Hacker in den Genuss eines Testlaufs des Produkts kommen können.

Was passiert mit den gestohlenen Zugangsdaten?

Einige Täter nutzen die gestohlenen Zugangsdaten, um selbst weitere Angriffe auszuführen, aber viele versuchen, sie in großen Mengen im Dark Web zu verkaufen, um damit Geld zu verdienen. Andere Angreifer kaufen diese Zugangsdaten dann wieder und versuchen damit Zugang zu einem Netzwerk zu erlangen.

Ein Mitglied eines Untergrundforums wirbt mit 2,4 TB an Logdaten, einschließlich Zugangsdaten. Diese können gegen gekaufte oder verdiente Forum-Credits getauscht werden.

Das Dark Web ist eine Teilmenge des Deep Web, die mit normalen Webbrowsern nicht aufgerufen werden kann. Sie benötigen spezielle Software wie den Tor-Browser, einen VPN-Dienst (Tor-Netzwerk) und Onion-Routing, um darauf zuzugreifen. Das Dark Web wird nicht ausschließlich für Cyberkriminalität genutzt, aber seine Untergrundforen und Marktplätze sind berüchtigt für Identitätsdiebstahl, Ransomware-as-a-Service, Phishing-as-a-Service und den Verkauf privater Daten. Einfach ausgedrückt: Sie möchten nicht, dass die Anmeldeinformationen Ihrer Endbenutzer bei diesen Initial Access Brokers (IABs) gehandelt werden.

Zugangsdaten sind bei Cyberkriminellen ein begehrtes Gut, da sie die einfachste Möglichkeit bieten, in ein Unternehmen einzudringen – und werden daher gerne im Dark Web zum Verkauf angeboten. Ohne Zugang zu Threat Intelligence oder Tools, die nach kompromittierten Passwörtern scannen können, ist es für Unternehmen schwer zu erkennen, ob die Anmeldedaten ihrer Nutzer im Dark Web gelandet sind.

Kennwörter können aus allen möglichen Gründen kompromittiert werden, aber das größte Risiko für Ihre Active Directory-Umgebung ist die Wiederverwendung von Kennwörtern. Selbst wenn Sie über eine strenge Passwortrichtlinie verfügen, können vermeintlich starke Passwörter dennoch kompromittiert werden, indem Personen ihre beruflichen Passwörter auf unsicheren Webseiten und Geräten wiederverwenden. Diese könnten dann kompromittiert und ohne Ihr Wissen online zum Verkauf angeboten werden. Leider gibt es keine hundertprozentige Absicherung gegen solches Fehlverhalten. Weshalb es wichtig ist, über Tools zu verfügen, die Ihr Active Directory kontinuierlich nach kompromittierten Passwörtern durchsuchen.

Russisches Dark-Web-Forum, in dem belgische Zugangsdaten zum Verkauf angeboten werden, die primär mit Redline- und Risepro-Stealer extrahiert wurden.

Wie Specops mit KrakenLabs zusammenarbeitet, um kompromittierte Zugangsdaten zu sammeln

Die Zusammenarbeit mit einem Threat Intelligence-Team hilft Specops, noch mehr Daten über kompromittierte Passwörter zu sammeln. Diese Experten überwachen Threat-Actors, die sich auf den Diebstahl von Zugangsdaten spezialisiert haben, was es ihnen ermöglicht, eine Vielzahl von Gruppen zu entdecken, zu untersuchen und zu infiltrieren. Dadurch bekommt man ein besseres Verständnis für deren Methoden zur Verbreitung und Verkauf von Zugangsdaten sowie in manchen Fällen auch den Zugang zu den Rohdaten selbst.

Infiltrierter Telegram-Chat, der Logs mit Zugangsdaten und anderen privaten Informationen bewirbt.

Neben der Überwachung von Angreifergruppen ist KrakenLabs auch in der Lage, Zugangsdaten aus der Malware zu extrahieren, mit der sie gestohlen wurden. Durch den Einsatz verschiedener Techniken, die vom traditionellen Sinkholing (Abfangen von DNS-Anfragen, die versuchen, eine Verbindung zu bekannten bösartigen oder unerwünschten Domänen herzustellen) bis hin zur Verwendung einer eigenen patentierten Technologie reichen, kann das Team gestohlene Zugangsdaten “auf dem Weg” erfassen. Das bedeutet, dass sie Zugangsdaten abfangen können, während sie an den Command-and-Control-Server übermittelt werden, der diese dann später auf die verschiedenen Clouds verteilt.

Ein weiterer infiltrierter Telegram-Chat wirbt für einen Abonnement, das Zugang zu Logs mit Zugangsdaten bietet.

Was bedeutet dies für Passwörter in Active Directory?

Diese Analyse verdeutlicht, wie weit Angreifer gehen, um Zugangsdaten zu stehlen und zu kaufen – und wie erfolgreich Malware wie Redline dabei ist. Aber wenn Ihre Umgebung vor Schadsoftware geschützt ist, warum spielt das eine Rolle? Wie bereits anfangs erwähnt, liegt das Problem in der Wiederverwendung von Passwörtern. Wenn Ihre Endbenutzer ihre beruflichen Kennwörter auf unsicheren Geräten, Websites und Anwendungen wiederverwenden, stellt dies dennoch ein Risiko für Ihr Unternehmen dar. Für Hacker ist es ein Kinderspiel, gestohlene Kennwörter mit den Log-In-Informationen eines Arbeitnehmers zu verknüpfen.

Eine Untersuchung von Bitwarden ergab, dass 68 % der Internetnutzer Passwörter für mehr als 10 Websites verwalten – und 84 % dieser Personen geben zu, dass sie Passwörter wieder verwenden. In einer ähnlichen Studie fand LastPass heraus, dass 91 % der Benutzer die Risiken der Passwortwiederverwendung kennen, aber 61 % tun es trotzdem. Das zeigt, wie schwierig es ist, die Wiederverwendung von Passwörtern zu unterbinden. Weshalb Tools benötigt werden, die diese Problematik kontinuierlich überwachen und entschärfen können.

So finden Sie kompromittierte Passwörter in Ihrem Netzwerk

Das heutige Update des Breached Password Protection Service umfasst auch die Aufnahme von über 16 Millionen kompromittierte Passwörter in den Specops Password Auditor. Mit diesem kostenlosen Tool können Sie sich ein erstes Lagebild verschaffen und herausfinden, wie viele dieser kompromittierten Passwörter von Ihren Endbenutzern verwendet werden: Specops Password Auditor.

Specops Password Auditor speichert keine Active Directory-Daten und nimmt auch keine Änderungen an Active Directory vor. Sie erhalten einen leicht verständlichen, exportierbaren Bericht, in dem passwortrelevante Schwachstellen aufgeführt sind, die Angreifern als Einfallstore dienen könnten.

Schlummern kompromittierte Kennwörter bereits in Ihrer Organisation?

Schützen Sie Ihre Organisation vor Passwortstehlender-Malware

Durch die Überwachung des Dark Web können unsere Analysten Informationen gewinnen, die Organisationen dabei helfen, möglichen Gefahren einen Schritt voraus zu sein. Wenn Sie beispielsweise wissen, dass Daten Ihres Unternehmens geleakt wurden, können Sicherheitsteams die entsprechenden Zugangsdaten ändern und Ihre Systeme sichern, bevor ein Angriff erfolgt.

Mit Specops Password Policy und Breached Password Protection können sich Unternehmen dauerhaft gegen diese ständig wachsende Liste kompromittierter Zugangsdaten schützen. Die tägliche Aktualisierung der Datenbank, gepaart mit kontinuierlichen Scans nach der Verwendung dieser Passwörter in Ihrem Netzwerk, blockiert kompromittierte Passwörter in Ihrem Active Directory.

Wollen Sie erfahren, wie Specops Password Policy in Ihrer Organisation eingesetzt werden kann? Oder haben Sie Fragen, wie die Lösung für Ihre Bedürfnisse angepasst werden kann? Unsere Experten beraten Sie gerne und zeigen Ihnen mit einer Demo oder einer kostenlosen Testversion, wie es funktioniert.

(Zuletzt aktualisiert am 13/03/2024)

Zurück zum Blog