Bedrohungsakteur hinter Datendiebstahl bei Collection #1 identifiziert

Executive Summary

Am 17. Januar 2019 veröffentlichte der Sicherheitsexperte Troy Hunt „Collection #1“, eine aus einem Datenleck stammende Sammlung von 1.160.253.228 einzigartigen Kombinationen aus E-Mail-Adressen und den dazugehörigen Passwörtern. Insgesamt wurden 772.904.991 einzigartige E-Mail-Adressen und 21.222.975 einzigartige Passwörter entdeckt. Am 31. Januar berichtete PCWorld dann, dass Forscher des Hasso-Plattner-Instituts weitere 611 Millionen Zugangsdaten entdeckt hätten, die sie dem Datenleck bei Collection #1 zuschrieben.

Recorded Future analysierte den kompletten Dump am 19. Januar 2019 und bestätigte, dass viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks stammen, von denen einige zwei bis drei Jahre alt sind und möglicherweise keine neu kompromittierten Konten enthalten.

Mehrere Bedrohungsakteure behaupteten, die Quelle der Daten zu sein, und verbreiteten diese Datenbanken im gesamten Dark Web, darunter auch der Bedrohungsakteur „Clorox“. Recorded Future geht jedoch mit mäßiger Sicherheit davon aus, dass der ursprüngliche Schöpfer und Verkäufer der Kollektion Nr. 1 der Schauspieler „C0rpz“ war. Bei einem anderen Akteur eines bekannten russischen Hackerforums wurde ebenfalls beobachtet, dass er eine große Datenbank mit 100 Milliarden Benutzerkonten teilte, die möglicherweise einige der gleichen Datensätze enthält wie die Sammlung Nr. 1.

Bedrohungsanalyse

Die Insikt Group entdeckte einen am 17. Januar 2019 erstellten Forenbeitrag von Clorox, in dem sieben URLs zu verschiedenen Datenbanken gepostet wurden, die auf dem Filesharing-Dienst MEGA gehostet werden. Insgesamt enthielten die unten aufgeführten sieben Datenbanken 993,53 GB an Daten mit drei verschiedenen Varianten von Benutzeranmeldeinformationen: E-Mail-Adressen und Passwörter, Benutzernamen und Passwörter sowie Handynummern und Passwörter.

• „ANTIPUBLIC #1“ (102,04 GB)
• „AP MYR & ZABUGOR #2“ (19,49 GB)
• „Sammlung Nr. 1“ (87,18 GB)
• „Sammlung #2“ (528,50 GB)
• „Sammlung #3“ (37,18 GB)
• „Sammlung #4“ (178,58 GB)
• „Sammlung #5“ (40,56 GB)

In dem Forumsbeitrag verlinkte Clorox auf den Artikel „ The 773 Million Record 'Collection #1' Data Breach“ von Troy Hunt und behauptete, dass die Datenbank, über die Troy Hunt verfügt, unvollständig sei und nur einen Bruchteil des ursprünglichen Dumps darstelle, der im Dark Web als „Collection #1“ bekannt sei. Darüber hinaus erklärte Clorox, dass der ursprüngliche Datendump von einer anderen Partei in einem anderen Forum verkauft wurde, die dann die Originaldateien entfernte, die unter anderen URLs auf MEGA gehostet wurden. Laut Clorox konnte Troy Hunt eine dieser Datenbanken herunterladen, die der Täter vergessen hatte zu löschen. Der Täter entfernte sie jedoch kurze Zeit später.

Weitere Analysen ergaben, dass es eine weitere Person mit dem Spitznamen C0rpz gab, die bereits am 7. Januar 2019 behauptete, der ursprüngliche Ersteller und Verkäufer der Kollektion Nr. 1 zu sein. C0rpz gab außerdem an, dass ein anderes Forumsmitglied, „Sanix“, die Kollektion Nr. 1 von ihnen gekauft und dann versucht habe, sie an andere Forumsmitglieder weiterzuverkaufen. Sanix war die Person, die von Brian Krebs in seinem Artikel „ 773M-Passwort ‚Megabreach‘ ist Jahre alt“ identifiziert wurde, und unsere Analyse bestätigte, dass dies dieselbe Person ist, die versucht hat, die ursprünglich von C0rpz erstellte Datenbank zu verkaufen. Sanix wurde inzwischen aus dem Forum verbannt und C0rpz hat Links zur MEGA-Sharing-Kollektion Nr. 1 gepostet, die der Community kostenlos zur Verfügung stehen.

Recorded Future hat eine weitere mögliche Quelle für Sammlung Nr. 1 entdeckt. Am 10. Januar 2019 veröffentlichte ein Akteur in einem bekannten russischsprachigen Hackerforum sowohl einen Magnet-Link als auch einen direkten Download-Link zu einer Datenbank mit 100 Milliarden Benutzerkonten, die auf einer persönlichen Website gehostet wurden. In der darauffolgenden Woche stellte der Akteur klar, dass der Datendump, auf den sich Troy Hunts Artikel bezog, auch in seinem Dump enthalten war.

Ausblick

Recorded Future geht davon aus, dass die Datenbanksammlung Nr. 1 und ihre Variationen auch weiterhin in Darknet-Communitys geteilt und in Credential-Stuffing-Angriffen verschiedener Bedrohungsakteure integriert werden. Allerdings stammen viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks, von denen einige zwei bis drei Jahre alt sind. Es ist sehr wahrscheinlich, dass viele der betroffenen Personen bereits aufgefordert wurden, ihre Passwörter zu ändern, die andernfalls durch dieses Leck kompromittiert worden wären.

Einzelpersonen sollten auf Phishing-Angriffe vorbereitet sein, die auf offengelegte E-Mail-Adressen oder Mobiltelefonnummern abzielen könnten. Aktuelle Kunden können sich an ihre Berater von Recorded Future Intelligence Services wenden, wenn sie mehr erfahren möchten.