See Recorded Future’s Threat Intelligence Solutions in Action

Sehen Sie sich unsere Threat Intelligence-Lösungen in Aktion an

Reduzieren Sie Risiken und wehren Sie Cyberangriffe ab, unabhängig von Ihrem IT- und Sicherheits-Stack, Ihrer Wachstumsstufe oder Ihrer Branche

Kostenlose Demo buchen

Lösungen zur Risikominderung anzeigen

See Recorded Future’s Intelligence in Action

Erleben Sie die Intelligence von Recorded Future in Aktion

Reduzieren Sie das Betriebsrisiko durch zeitnahe, präzise und umsetzbare Informationen.

Kostenlose Demo buchen

Übersicht über Intelligence Cloud

Sehen Sie sich die Übersicht über Services und Support an

Research-Überblick anzeigen

Research (Insikt)

Bedrohungsakteur hinter Datendiebstahl bei Collection #1 identifiziert

Veröffentlicht: 1. Februar 2019

Von: Insikt Group

Threat Actor Behind Collection #1 Data Breach Identified

Executive Summary

On January 17, 2019, security professional Troy Hunt disclosed “Collection #1,” a data breach collection of 1,160,253,228 unique combinations of email addresses and corresponding passwords. A total of 772,904,991 unique email addresses and 21,222,975 unique passwords were discovered. Then, on January 31, PCWorld reported that researchers at the Hasso Plattner Institute discovered an additional 611 million credentials they attributed to the Collection #1 data breach.

Recorded Future analysierte den kompletten Dump am 19. Januar 2019 und bestätigte, dass viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks stammen, von denen einige zwei bis drei Jahre alt sind und möglicherweise keine neu kompromittierten Konten enthalten.

Mehrere Bedrohungsakteure behaupteten, die Quelle der Daten zu sein, und verbreiteten diese Datenbanken im gesamten Dark Web, darunter auch der Bedrohungsakteur „Clorox“. Recorded Future geht jedoch mit mäßiger Sicherheit davon aus, dass der ursprüngliche Schöpfer und Verkäufer der Kollektion Nr. 1 der Schauspieler „C0rpz“ war. Bei einem anderen Akteur eines bekannten russischen Hackerforums wurde ebenfalls beobachtet, dass er eine große Datenbank mit 100 Milliarden Benutzerkonten teilte, die möglicherweise einige der gleichen Datensätze enthält wie die Sammlung Nr. 1.

Bedrohungsanalyse

Insikt Group discovered a forum post created on January 17, 2019 by Clorox, who posted seven URLs to separate databases hosted on the file sharing service MEGA. In total, the seven databases listed below contained 993.53 GB of data containing three different variations of user credentials: email addresses and passwords, usernames and passwords, and cell phone numbers and passwords.

„ANTIPUBLIC #1“ (102,04 GB)
„AP MYR & ZABUGOR #2“ (19,49 GB)
„Sammlung Nr. 1“ (87,18 GB)
„Sammlung #2“ (528,50 GB)
„Sammlung #3“ (37,18 GB)
„Sammlung #4“ (178,58 GB)
„Sammlung #5“ (40,56 GB)

In dem Forumsbeitrag verlinkte Clorox auf den Artikel „ The 773 Million Record 'Collection #1' Data Breach“ von Troy Hunt und behauptete, dass die Datenbank, über die Troy Hunt verfügt, unvollständig sei und nur einen Bruchteil des ursprünglichen Dumps darstelle, der im Dark Web als „Collection #1“ bekannt sei. Darüber hinaus erklärte Clorox, dass der ursprüngliche Datendump von einer anderen Partei in einem anderen Forum verkauft wurde, die dann die Originaldateien entfernte, die unter anderen URLs auf MEGA gehostet wurden. Laut Clorox konnte Troy Hunt eine dieser Datenbanken herunterladen, die der Täter vergessen hatte zu löschen. Der Täter entfernte sie jedoch kurze Zeit später.

Weitere Analysen ergaben, dass es eine weitere Person mit dem Spitznamen C0rpz gab, die bereits am 7. Januar 2019 behauptete, der ursprüngliche Ersteller und Verkäufer der Kollektion Nr. 1 zu sein. C0rpz gab außerdem an, dass ein anderes Forumsmitglied, „Sanix“, die Kollektion Nr. 1 von ihnen gekauft und dann versucht habe, sie an andere Forumsmitglieder weiterzuverkaufen. Sanix war die Person, die von Brian Krebs in seinem Artikel „ 773M-Passwort ‚Megabreach‘ ist Jahre alt“ identifiziert wurde, und unsere Analyse bestätigte, dass dies dieselbe Person ist, die versucht hat, die ursprünglich von C0rpz erstellte Datenbank zu verkaufen. Sanix wurde inzwischen aus dem Forum verbannt und C0rpz hat Links zur MEGA-Sharing-Kollektion Nr. 1 gepostet, die der Community kostenlos zur Verfügung stehen.

Recorded Future hat eine weitere mögliche Quelle für Sammlung Nr. 1 entdeckt. Am 10. Januar 2019 veröffentlichte ein Akteur in einem bekannten russischsprachigen Hackerforum sowohl einen Magnet-Link als auch einen direkten Download-Link zu einer Datenbank mit 100 Milliarden Benutzerkonten, die auf einer persönlichen Website gehostet wurden. In der darauffolgenden Woche stellte der Akteur klar, dass der Datendump, auf den sich Troy Hunts Artikel bezog, auch in seinem Dump enthalten war.

Ausblick

Recorded Future geht davon aus, dass die Datenbanksammlung Nr. 1 und ihre Variationen auch weiterhin in Darknet-Communitys geteilt und in Credential-Stuffing-Angriffen verschiedener Bedrohungsakteure integriert werden. Allerdings stammen viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks, von denen einige zwei bis drei Jahre alt sind. Es ist sehr wahrscheinlich, dass viele der betroffenen Personen bereits aufgefordert wurden, ihre Passwörter zu ändern, die andernfalls durch dieses Leck kompromittiert worden wären.

Einzelpersonen sollten auf Phishing-Angriffe vorbereitet sein, die auf offengelegte E-Mail-Adressen oder Mobiltelefonnummern abzielen könnten. Aktuelle Kunden können sich an ihre Berater von Recorded Future Intelligence Services wenden, wenn sie mehr erfahren möchten.

Verwandte Nachrichten & Forschung