Cyberbedrohungen
Gestohlene Daten – ein Leckerbissen für Kriminelle
Daten sind zu einer der wertvollsten Währungen geworden. Persönliche Infos oder auch finanzielle Daten sind begehrtes Ziel der Kriminellen. Unser aktueller Report gibt Einblicke in die Risiken durch Infostealer und den Datenhandel auf Schwarzmärkten.
Save to Folio
Beim Thema Datendiebstahl und den damit verbundenen Risiken infolge des Verkaufs in cyberkriminellen Untergrundmärkten sind Infostealer ein wichtiger Teil. Sie stellen die ursprüngliche Quelle der gestohlenen Daten dar.
Infostealer-Malware ist eine Art von Schadsoftware, mit der Cyberkriminelle sensible Informationen vom Computer oder Mobilgerät eines Opfers abgreifen. Sie sind speziell darauf ausgelegt, Daten wie Anmeldeinformationen, Kreditkarten- und Finanzdaten sowie andere wichtige Informationen zu stehlen, die später für andere betrügerische Aktivitäten verwendet werden können. Mit Hilfe dieser Daten, die aus den im Browser gespeicherten Passwörtern oder aus Browser-Cookies gestohlen werden, könnte der Kriminelle die für einen Angreifer sehr wertvolle Multifaktor-Authentifizierung (MFA) aushebeln. Dieser Mehrwert ist jedoch zeitgebunden und nur so lange gültig, wie eine Session mit dem betroffenen Konto offen bleibt.
Aufgrund des steigenden Werts gestohlener Daten auf dem Schwarzmarkt stellen Infostealer eine große Bedrohung dar. Cyberkriminelle bieten die gestohlenen Zugangsdaten zum Verkauf an. Damit können sie sich als das jeweilige Opfer ausgeben, über ein VPN ins Unternehmensnetzwerk eindringen oder andere Arten von Betrug begehen. Da Informationen immer häufiger online gespeichert werden, sind Infostealer zu einem effektiven Werkzeug geworden, insbesondere für Angriffe auf Unternehmen, die große Mengen sensibler Daten speichern und nur mangelhafte Sicherheitsmaßnahmen einsetzen. Der wachsende Trend zu Remote-Arbeit und Cloud-Speicherlösungen hat ebenfalls neue Möglichkeiten für Infostealer-Angriffe geschaffen.
Cyberkriminelle verkaufen gestohlene Daten im Dark Web in unterschiedlicher Form, etwa als komplette Datenbanken oder einzelne Datensätze wie Sozialversicherungs- und Kreditkartennummern.
Der Wert der jeweiligen entwendeten Daten variiert je nach Typ, Qualität und Verfügbarkeit. So sind beispielsweise die Zugangsdaten für ein Bankkonto mit hohem Guthaben viel wertvoller als die für ein Social-Media-Konto. Je mehr Daten über eine Person verfügbar sind, desto wertvoller und anfälliger für Missbrauch und betrügerische Aktivitäten werden sie.
Um das Risiko bei einem möglichen Datendiebstahl besser zu verstehen, haben wir 16 der aktivsten Infostealer der letzten Jahre miteinander verglichen.
Vergleichsmerkmale
Die Diebstahlfähigkeiten der einzelnen Infostealer scheinen recht einheitlich zu sein bezüglich der von ihnen anvisierten Arten von Daten:
- Browserdaten sind mit Abstand das bevorzugte Ziel für Datendiebe, sind sie doch eine Fundgrube sensibler Informationen. Viele der heutigen Browser verfügen über dieselbe Architektur, die entweder auf Chromium (Google Chrome) oder Proton (Firefox, Edge und Opera) basiert, so dass davon auszugehen ist, dass ein Infostealer, der auf einen dieser Browser abzielt, automatisch verschiedene Browser "unterstützt". Abgesehen von Chromium- und Proton-basierten Browsern waren wir überrascht, wie viele obskure oder ältere Browser ebenfalls ins Visier der Angreifer geraten.
- Ein weiteres begehrtes Ziel sind alle in Krypto-Wallets enthaltenen Assets wie NFTs und Münzen, entweder durch direkte Suche nach der Wallet-Datei oder über Browser-Erweiterungen (die durch die Suche nach den Anmeldedaten der Kryptobörsen-Website gefunden werden können).
- Es gibt eine große Auswahl an weiterer anvisierter Software, um die Anmeldedaten von Nutzer zu stehlen, z. B. Mail- oder FTP-Clients, Chat- und Spieleplattformen und VPN-Profile. Jeder einzelne Stealer unterstützt einige, alle oder gar keine dieser Programme.
- Erwähnenswert ist der DuckTail Stealer, der sich allein auf Facebook Profildaten konzentriert.
Risikomatrizen
Datenverwertbarkeit
Die erste Metrik, die wir beim Vergleich verschiedener „Infodiebe“ einsetzen können, ist die so genannte „Datenverwertbarkeit“. Sie gibt an, wie leicht ein gestohlener Datensatz zu einem wirtschaftlichen Gewinn für einen Kriminellen und in der Folge zu einem wirtschaftlichen Verlust für das Opfer führen kann.
Anschließend bewerteten wir die Datenverwertbarkeit der 16 Infostealer. Die in Bild 1 aufgeführten Datentypen, wie z. B. Krypto-Wallets und VPN-Anmeldeinformationen, sind diejenigen, die diese Malware-Familien typischerweise von ihren Opfern exfiltrieren. Die Gesamtzahl für jede Malware-Familie zeigt, wie verwertbar die gestohlenen Daten sind. Von bestimmten Infostealern nicht unterstützte Datentypen erhalten einen Null Wert.
Beliebtheit in der Praxis
Um abzuschätzen, wie hoch das Risiko für Daten ist, bevor sie gestohlen werden, haben wir jedem Infostealer eine Wahrscheinlichkeit zugeordnet, die auf einer Messung seiner Beliebtheit in der Öffentlichkeit beruht, was eine unabhängige Interpretation ermöglicht. Dafür nutzten wir Daten von VirusTotal, etwa bezüglich der Häufigkeit der Erwähnung. Nach der Zahl der Erwähnungen jeder Familie ordneten wir jeden Infostealer in sechs Kästen mit einheitlicher Dichte ein. Weitere Einzelheiten dazu liefert der Originalbeitrag.
Die Darstellung kombiniert die Verwertbarkeits-Metrik mit dem soeben berechneten Kasten-Wert und verschiebt die Risikoanalyse von einer Post-Infektion auf die Vor-Infektion. Nach Spalten geordnet, werden Infostealer nach ihrer allgemeinen Gefährlichkeit eingestuft, die nicht nur auf den von ihnen gestohlenen Daten, sondern auch auf ihrer Popularität beruht. Auf dieser Basis ist RedLine aufgrund seiner Popularität an die Spitze der Rangliste aufgestiegen, gefolgt von Vidar, LokiBot und Mars-Infostealern.
Marktverfügbarkeit
Des Weiteren untersuchten wir anhand der beiden beliebten Untergrundmärkte „Russian Market“ und „2easy.shop“, wie die gestohlenen Daten auf den Markt gebracht werden. Die Nutzer können dort suchen und gestohlene Daten-Dumps wie die folgenden kaufen: Webzugangsinfos, Krypto Wallets, Microsoft Outlook Domain-Zugangsinfos und weitere Daten.
Aufgrund der Beobachtungen erstellten wir eine neue Metrik „Marktverfügbarkeit“ (1 – 3), je nach Aufwand für die Suche. Weitere Einzelheiten und eine Grafik dazu liefert der Originalbeitrag.
Damit wurde gemessen, wie hoch das Risiko für gestohlene Daten ist, sobald sie in den Händen eines Kriminellen gelandet sind. Es bestätigte sich, dass Krypto-Wallets und Web-Zugangsdaten nicht nur die am besten verwertbaren Daten sind, sondern auch am leichtesten zu finden und auf Untergrundmarktplätzen am meisten indexiert werden. E-Mail-Anmeldedaten beispielsweise sind genauso verwertbar, aber nach unserer Metrik sind sie auf Untergrundmarktplätzen schwerer zu finden.
Beliebtheit im Markt
Eine weitere Größe, um das Risiko für gestohlene Daten zu bewerten, ist die Anzahl der auf dem Schwarzmarkt verkauften Datensätze für jeden Infostealer. Während 2easy.shop nur Datensätze anbietet, die mit dem RedLine-Infostealer gestohlen wurden, bietet Russian Market eine größere Auswahl, so dass ein potenzieller Kunde zwischen Datensätzen wählen kann, die von Racoon, Vidar, RedLine, Lumma und RisePro gestohlen wurden.
Durch den Vergleich der Anzahl der verkauften Datensätze, die von jedem einzelnen Stealer gestohlen wurden, haben wir eine zusätzliche Kennzahl ermittelt, die mit der Marktverfügbarkeit kombiniert werden kann. Daraus ergab sich eine Verbreitungsmatrix für alle gestohlenen Daten und jeden unterstützten Infostealer:
Die Matrix zeigt dass Vidar und RedLine die im Schwarzmarkt belietesten Diebstahl-Tools sind. Interessant ist auch, dass trotz der Vielzahl der vorhandenen Stealer nur ein paar wenige im Untergrundmarkt tatsächlich wichtig sind. Für die Praxis bedeutet diese Erkenntnis, dass Unternehmen beim Schutz vor Datendiebstahl vor allem diese Tools in den cyberkriminellen Märkten im Auge behalten müssen.
Weitere Statistiken
Darüber hinaus konnten wir auch erkennen, in welchen Ländern das höchste Risiko eines Datendiebstahls besteht. Die Schlüsselgröße hierbei ist die Anzahl der gestohlenen Logs pro Million Internet-Nutzer in dem Land.
Wir stellten fest, dass sich die über Infostealer infizierten Computer in vielen Schwellenländern befinden, darunter Indien, Indonesien und Pakistan. Betrachtet man jedoch die Internetbevölkerung der einzelnen Länder, so tauchen in der Top-10-Liste der Zielländer viele andere Industrieländer auf, wie Portugal, Griechenland, Singapur, Spanien und die Niederlande.
Bei den am häufigsten gestohlenen Website-Anmeldeinformationen finden sich viele beliebte Websites auf Top-Ranks, darunter Google, Live.com, Facebook und Instagram. Überraschenderweise gibt es aber auch weniger beliebte Websites, die sich möglicherweise leichter zu Geld machen lassen, wie Steam, GitHub und Spotify.
Einzelheiten und verschiedene Berechnungen dazu liefert der Originalbeitrag.
Fazit
Es ist nicht nur wichtig zu verstehen, was Infostealer-Malware ist und warum sie weiterhin so verbreitet ist, sondern auch die realen Auswirkungen zu erkennen, die Datendiebstahl auf Einzelpersonen und Unternehmen hat.
Infostealer-Malware ist für den Großteil der gestohlenen Daten verantwortlich, die im kriminellen Untergrund verkauft werden. Secondhand-Marktplätze, auf denen alle gestohlenen Zugangsdaten und andere persönliche Daten landen, sind zu einem florierenden kriminellen Geschäft geworden. Kriminelle nutzen diese Shops, um schnelles Geld zu verdienen. Der Preis für ein gültiges Set Anmeldedaten muss niedriger sein als der Wert, den sie aus diesen Daten herausholen können.
- Die üblichen Methoden zur Verwertung gestohlener Anmeldeinformationen sind
- Leeren von Kryptowährungs-Wallets
- Ausnutzen von Nutzerauthentifizierungsmethoden, um Transaktionen im Namen des Benutzers auf E-Commerce- und Bank-Websites durchzuführen
- Angriff auf die Kontakte der Opfer. So wird beispielsweise das Szenario "gestrandeter Reisender" gespielt, bei dem sich die Kriminellen als Opfer ausgeben, um ihre Freunde zu kontaktieren und sie um Geld zu bitten.
- Eindringen in das Unternehmen des Benutzers über dessen VPN-Anmeldeinformationen und laterale Bewegungen, um in dem Unternehmen Fuß zu fassen.
Die Liste bezieht sich nur auf die Anmeldedaten von Benutzern. Infostealer können jedoch mehr als das exfiltrieren. Die Möglichkeiten, andere Informationen zu Geld zu machen, sind allerdings seltener. Persönliche Daten sind und bleiben ein Hauptziel für Kriminelle, weil sie leicht zu beschaffen sind und sich damit Geld verdienen lässt. Daher werden Datenshops in kriminellen Kreisen weiterhin eine wichtige Rolle spielen, und es gibt keine Anzeichen dafür, dass ihre Beliebtheit in absehbarer Zeit abnimmt.
Eine vollständige Analyse zum Thema liefert der Bericht „Cybercriminal Cloud of Logs: The Emerging Underground Business of Selling Access to Stolen Data“.