Die Ökonomie von Credential-Stuffing-Angriffen [Bericht]

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

This report covers the current threat landscape of credential stuffing attacks. It reviews the most popular tools used by cybercriminals to initiate credential stuffing and describes some of the most popular marketplaces that sell compromised credentials. This report contains information gathered using the Recorded FutureⓇ Platform, as well as additional open source, dark web, and underground forum research, and will be of most interest to analysts protecting e-commerce, telecommunications, and financial organizations from credential stuffing attacks, as well as those looking for investigative leads on threat actors performing such attacks.

Executive Summary

Die rasante Verbreitung automatisierter Marktplätze im Darknet, die durch die weite Verbreitung unterstützender Infrastruktur wie Software zur Kontoprüfung, kombinierte Listen mit E-Mail-Adressen und Passwörtern sowie Proxy-Dienstanbieter befeuert wird, hat eine perfekte Angriffslandschaft für den Missbrauch Tausender beliebter Webdienste geschaffen, etwa von E-Commerce-Unternehmen, Finanzdienstleistern, Reise-Websites und Telekommunikationsunternehmen. Man kann davon ausgehen, dass die Benutzer nahezu aller großen Unternehmen mit Online-Einzelhandelspräsenz in den vergangenen Jahren Credential-Stuffing-Angriffen ausgesetzt waren. Bei manchen Unternehmen waren zu jedem beliebigen Zeitpunkt Millionen offengelegter Anmeldeinformationen im Darknet zum Kauf verfügbar.

Wichtige Urteile

• Die ersten großflächigen Credential-Stuffing-Angriffe wurden Ende 2014 beobachtet, zeitgleich mit der Verbreitung automatisierter Untergrund-Marktplätze. Beim Verkauf von Konten boten Angreifer eine schnelle und einfache Monetarisierung der kompromittierten Kontoanmeldeinformationen an. Einige Akteure, die an Credential-Stuffing-Angriffen beteiligt waren, sind noch heute aktiv.

• Bei einer Investition von nur 550 US-Dollar können Kriminelle mit einem mindestens 20-fachen Gewinn aus dem Verkauf kompromittierter Anmeldeinformationen rechnen.

• Die Gesamtzahl der kompromittierten Anmeldeinformationen auf mehreren großen Marktplätzen übersteigt mehrere zehn Millionen Konten.

• Die Insikt Group hat mindestens sechs beliebte Varianten der von Cyberkriminellen verwendeten Kontoprüfungssoftware identifiziert. Im Darknet sind allerdings auch Dutzende weniger bekannte Varianten zu finden.

• Während sich manche Unternehmen für die Implementierung einer mehrstufigen Authentifizierung (MFA) entscheiden, die den Credential-Stuffing-Angriffsvektor blockiert, sind Organisationen möglicherweise nicht bereit, Sicherheit der Benutzerfreundlichkeit vorzuziehen.

Hintergrund

Around late 2014 and in the beginning of 2015, we observed the widespread adoption of new dark web business models specifically tailored to facilitate a high volume of trades in a fully automated manner. Designed to emulate legitimate retail platforms such as eBay and Amazon, these so-called “automated shops” allow even low-level criminals to become vendors of stolen data, such as compromised login credentials, without having to worry about maintaining their own infrastructure or marketing campaigns. By and large, the adoption of account marketplaces was made possible primarily by the proliferation of account-checking software, or simply “checkers,” used as the main tool in credential stuffing attacks.

Bedrohungsanalyse

Compromised account credentials were always a valuable commodity in the dark web — the number of transactions was relatively small, and they were primarily conducted either on a peer-to-peer basis or via semi-automated markets such as AlphaBay, Silk Road, and Hansa Market. In older models, buyers received their wares only after the seller manually approved the deal and delivered the purchased data. Moreover, sellers had to maintain the listings and communicate with the buyers personally.

Mit dem Aufkommen automatisierter Shops ist jedoch die manuelle Einbindung nicht mehr erforderlich und das Geschäft mit kompromittierten Konten wandelte sich von Peer-to-Peer-Transaktionen zu einem deutlich demokratischeren, für jedermann offenen Unternehmen.

For a nominal 10 to 15 percent commission deducted from the amount of each sale, members can upload any number of validated compromised accounts, which in addition to email and password, often include data such as the account holder’s city or state of residency, transaction history, and/or account balance. All of this is valuable data to fraudsters seeking to buy accounts tailored to their specific needs. The vendor’s main focus is replenishing the stock, while all customer support, remittances, and dispute resolutions are handled by the shop’s support team.

Automatic shop listings. Alongside the compromised company name, buyers can see the available balance or loyalty points, the account holder’s place of residency, associated payment cards, the date of the last transaction, and a hostname of the account holder’s login email.

Zunächst waren es nur einige wenige ausgewählte Anbieter, die die Daten hauptsächlich lieferten. Doch da sich das Verfahren auch in der kriminellen Unterwelt verbreitete, wuchs das Geschäft mit gestohlenen Zugangsdaten exponentiell.

Da normale Internetnutzer dazu neigen, dieselben Passwörter für mehrere Websites gleichzeitig zu verwenden, haben Bedrohungsakteure schnell gelernt, dass sie sich auf das Hacken mehrerer zufällig ausgewählter Konten konzentrieren und so ihren Aufwand verringern sollten, anstatt zu versuchen, Zugriff auf ein einzelnes Konto zu erhalten, was sehr lange dauern kann.

Eine Kombination mehrerer Elemente machte das Hacken von Konten verschiedener Online-Dienste nicht nur mühelos, sondern auch unglaublich lukrativ. Zum Starten von Brute-Force-Angriffen auf Konten (auch als Credential-Stuffing-Angriffe bekannt) benötigte ein Angreifer lediglich eine Brute-Force-Software, eine Datenbank mit zufälligen E-Mail- und Passwortkombinationen sowie Zugriff auf einen Pool von Proxys.

Die Wirtschaft

Early versions of checkers were made to target a single company and were sold for between $50 and $250, depending on the tool’s capabilities. These tools would attempt to log in to a website using an email and password combination obtained from a random database often obtained on the dark web. If a combination worked, it would be marked as valid. If not, the software would simply pick another combination from the list and attempt to log in again. For valid logins, more expensive and complex checkers would also collect additional information from the compromised account, such as linked banking and payment card information, account balances, the owner’s address, and even transaction history. Until this day, the ingenuity of the method truly lies in the economy of scale, allowing criminals to process hundreds of thousands of combinations in a very short period of time.

Eventually, several dominant players such as STORM, Black Bullet, and Sentry MBA entered the market with more robust tools, supporting an unlimited number of custom plugins, also called “configs,” which essentially offered hackers the capability to target almost any company with an online retail presence.

Was zunächst mit einigen Hundert oder Tausend kompromittierten Konten begann, weitete sich schnell auf Hunderttausende oder sogar Millionen von Konten aus. Einige der bekanntesten Account-Shops bieten jederzeit zig Millionen kompromittierte Accounts zum Verkauf an.

Obwohl der Durchschnittspreis eines einzelnen kompromittierten Kontos aufgrund der Konkurrenz schnell von über 10 US-Dollar auf lediglich 1 bis 2 US-Dollar sank, nahm die Gesamtrentabilität von Credential-Stuffing-Angriffen aufgrund der schieren Menge erheblich zu.

Im Laufe der Zeit beobachteten Untergrundgerüchten zufolge liegt die durchschnittliche Erfolgsrate für Credential Stuffing irgendwo zwischen einem und drei Prozent. Pro einer Million zufälliger Kombinationen aus E-Mails und Passwörtern können Angreifer also potenziell zwischen 10.000 und 30.000 Konten kompromittieren. Darüber hinaus könnte dieselbe Datenbank immer wieder verwendet werden, um Dutzende verschiedener Websites zu hacken, was zu noch höheren Gewinnen führen würde.

Basierend auf einer konservativen Erfolgsquote von einem Prozent pro 100.000 kompromittierten E-Mails und Passwörtern ergeben sich aus der Ökonomie von Credential-Stuffing-Angriffen mindestens zwanzigmal höhere Gewinne.

Technische Analyse

Nachfolgend sind die bekanntesten Varianten von Kontoprüfungssoftware aufgeführt, die von Cyberkriminellen in Credential-Stuffing-Kampagnen verwendet werden. Wichtig zu beachten ist, dass auch weniger bekannte Lösungen, die oft speziell für ein einzelnes Unternehmen entwickelt wurden, käuflich zu erwerben sind. Allerdings erlangen solche einmaligen Tools selten eine bedeutende Marktpräsenz und neigen dazu, schnell zu verschwinden, da die Entwickler den Produktsupport aufgrund der geringen Akzeptanz einstellen.

STURM

STORM is marketed across several English-speаking forums, and unlike other account-checking tools, is available free of charge. However, users are encouraged to make donations. The exact identity of the developer is unknown; however, according to underground forum chatter, the software was allegedly created by the actor mrviper. STORM was first launched in January 2018, and according to the description found on dark web advertisements, it is characterized as a free “cracking” program designed to perform website security testing. STORM is written in C language and was developed in close cooperation with members of the Cracked forum. The tool has the following technical features:

• Unterstützt FTP-Cracking

• Gleichzeitige FTP- und HTTP-Angriffe

• Gleichzeitige Sitzungen

• Debug-Funktionalität zur Aktivitätsanalyse

• Unterstützt Kombinationslisten mit bis zu 20 Millionen E-Mail:Passwort-Datensätzen

• Unterstützt HTTP/HTTPS

• Unterstützt SOCKS4 und SOCKS5

• Automatisches Proxy-Update mit automatischer Datenerfassung aus öffentlichen Quellen

• Erfassung von Schlüsselwörtern (Erfassung von Premium-Kontodaten)

• JavaScript-Umleitung

Werbung für den STORM-Account-Cracker im Dark Web.

Schwarze Kugel

Black Bullet tauchte erstmals Anfang 2018 im Darknet auf und wurde wahrscheinlich vom Schauspieler Ruri erstellt, der die offizielle Website www.bullet[.]black betreibt. Website; den Angaben auf der Hauptseite zufolge nimmt die Community allerdings keine neuen Mitglieder mehr auf. Es wurde beobachtet, dass mehrere Mitglieder des Dark Web, darunter daltonbean8 und Doberman, das Tool verbreiteten.

Im Gegensatz zu anderen Tools zur Kontoprüfung bietet BlackBullet keine Multithread-Funktionen und erlaubt nur den Angriff auf jeweils ein einzelnes Unternehmen. Das Tool verfügt außerdem über eine Brute-Force-Funktion, die Wörterbuchangriffe ausführen kann, wenn sie auf bestimmte Konten ausgeführt wird.

• Captchas umgehen

• Konfigurationsdateien: ~ 530; Benutzer haben jedoch die Möglichkeit, Konfigurationen selbst zu ändern und neue zu erstellen

• Selenium Webdriver-Unterstützung

• Preis: Zwischen 30 und 50 US-Dollar

BlackBullet V.2.0.2 Bedienfeldschnittstelle.

Privater Torhüter

Private Keeper wurde vom Schauspieler deival909 entwickelt. Das Tool basiert der Beschreibung des Akteurs zufolge auf der Inline-Technologie. Private Keeper ist die mit Abstand beliebteste Software zur Kontoprüfung im russischsprachigen Untergrund.

• Preis: Ab 49 russische Rubel (ca. 0,80 $)

• Gleichzeitige Sitzungen

• Dienstprogrammsoftware zur Unterstützung der automatischen Verbindung mit privaten oder öffentlich verfügbaren Proxy-Diensten

• Offizieller Online-Shop: www.deival909[.]ru

• Neueste Version: 7.9.3.34

Schnittstelle des Private Keeper-Kontrollfelds.

SNIPR

SNIPR wurde verkauft und in mehreren Untergrundforen öffentlich geteilt. Der Bedrohungsakteur PRAGMA ist der Entwickler der Schadsoftware. SNIPR ist eine konfigurierbare, in der Programmiersprache C geschriebene Software zur Kontoprüfung, die sowohl Online-Credential-Stuffing als auch Offline-Brute-Force-Wörterbuchangriffe unterstützt. Obwohl das Tool von mehreren Bedrohungsakteuren beworben wurde, verfügt dieser Account-Checker über eine eigene Website mit einem Forum und einem Marktplatz www.snipr[.]gg. Die Website ermöglicht es externen Entwicklern, benutzerdefinierte Konfigurationsdateien auszutauschen.

• Konfigurationsdateien: Mehr als 100 sind Teil des offiziellen Pakets

• Gleichzeitige Angriffe: Bis zu vier Ziele

• Preis: $20

Der SNIPR-Kontoprüfer enthält standardmäßig über 100 Konfigurationsdateien.

MBA im Sentry-Programm

Sentry MBA, with over 1,000 configuration files available, is one of the most prominent and readily available examples of account-checking software on the dark web. Several criminal forums maintain ongoing discussion threads dedicated to Sentry MBA. As of December 2018, the registration at https://sentry[.]mba, the official Sentry MBA marketplace and discussion board, is closed and available by invitation only. Insikt Group identified that the tool has been actively advertised on the dark web since late 2014. However, the official Twitter account was launched in July 2013. The tool was allegedly developed by an actor using the alias “Sentinel” and later modified by another actor, “Astaris.” Sentry MBA uses OCR (optical character recognition) functionality to bypass captcha. However, Sentry MBA doesn’t support Javascript anti-bot challenges. Sentry MBA can be configured to recognize specific keywords associated with a website’s responses to successful and unsuccessful login attempts.

• Verfügbare Konfigurationen: Mehr als 1000

• Offizielle Website: https://sentry[.]mba

• Preis: Zwischen 5 und 20 US-Dollar pro Konfigurationsdatei

• Unterstützt HTTP/HTTPS

• Unterstützt SOCKS4 und SOCKS5

Sentry MBA-Bedienfeld.

WOXY

Anders als eine typische Software zur Kontoprüfung ermöglicht der E-Mail-Checker von WOXY Kriminellen, die Gültigkeit von E-Mail-Konten zu verifizieren, E-Mail-Inhalte nach wertvollen Informationen (wie Geschenkgutscheincodes oder Online-Abonnements für Streaming-Dienste, Reise-Websites und Finanzinstitute) zu durchsuchen und gültige Konten zu kapern, indem sie Anmeldekennwörter automatisch zurücksetzen. Der durchgeführten Analyse zufolge wurde WOXY von den Schauspielern Dreamzje und Deos entwickelt, die die derzeit nicht mehr existierende Website www.keepit[.]online betrieben. Der ursprüngliche Preis des WOXY-Checkers betrug 40 US-Dollar. Im September 2018 veröffentlichten die Schauspieler Crank und Yuki jedoch die geknackte Version von WOXY im Dark Web, die nun problemlos kostenlos erhältlich ist.

Informationen zum WOXY-E-Mail-Checker V3.4.

Milderung

1. Um ihre Angriffe noch weiter zu verschleiern, nutzen Kriminelle neben öffentlich verfügbaren kostenlosen Proxys häufig auch kostenpflichtige Proxy-Dienste. Unsere Analyse zeigt jedoch, dass solche Dienste häufig Geo-Spoofing-Techniken verwenden, um einen großen IP-Pool zu erstellen. Solche Domänen haben dieselben IP-Adressen, verwenden aber unterschiedliche Subnetze. Die Überwachung der Webverkehrsaktivität von solchen IPs bietet zusätzliche Möglichkeiten zur Risikominderung.

2. Die Einführung der Multi-Faktor-Authentifizierung hat sich für viele Organisationen, die in der Vergangenheit häufig Opfer von Credential-Stuffing-Angriffen wurden, als äußerst effektive Abwehrmaßnahme erwiesen.

3. Überwachung krimineller Untergrund-Communitys auf die Verfügbarkeit neuer Konfigurationsdateien, die auf Ihre Organisation abzielen, Erwerbung und gründliche Analyse solcher Dateien auf zusätzliche Angriffsindikatoren.

4. Endbenutzer können das Risiko, Opfer eines Credential-Stuffing-Angriffs zu werden, verringern, indem sie einen Passwort-Manager verwenden und für jedes Online-Konto ein individuelles, sicheres Passwort festlegen.