>
Research (Insikt)

Die Ökonomie von Credential-Stuffing-Angriffen [Bericht]

Veröffentlicht: 25. April 2019
Von: Insikt Group

insikt-group-logo-updated.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Dieser Bericht deckt die aktuelle Bedrohungslandschaft im Zusammenhang mit Credential-Stuffing-Angriffen ab. Es untersucht die gängigsten Tools, die von Cyberkriminellen zum Credential Stuffing verwendet werden, und beschreibt einige der beliebtesten Marktplätze, auf denen kompromittierte Anmeldeinformationen verkauft werden. Dieser Bericht enthält Informationen, die mithilfe der Recorded FutureⓇ-Plattform sowie zusätzlicher Recherchen in Open Source, dem Dark Web und Untergrundforen gesammelt wurden. Er dürfte vor allem für Analysten von Interesse sein, die E-Commerce-, Telekommunikations- und Finanzorganisationen vor Credential-Stuffing-Angriffen schützen, sowie für alle, die nach Ermittlungsansätzen zu Bedrohungsakteuren suchen, die solche Angriffe durchführen.

Executive Summary

Die rasante Verbreitung automatisierter Marktplätze im Darknet, die durch die weite Verbreitung unterstützender Infrastruktur wie Software zur Kontoprüfung, kombinierte Listen mit E-Mail-Adressen und Passwörtern sowie Proxy-Dienstanbieter befeuert wird, hat eine perfekte Angriffslandschaft für den Missbrauch Tausender beliebter Webdienste geschaffen, etwa von E-Commerce-Unternehmen, Finanzdienstleistern, Reise-Websites und Telekommunikationsunternehmen. Man kann davon ausgehen, dass die Benutzer nahezu aller großen Unternehmen mit Online-Einzelhandelspräsenz in den vergangenen Jahren Credential-Stuffing-Angriffen ausgesetzt waren. Bei manchen Unternehmen waren zu jedem beliebigen Zeitpunkt Millionen offengelegter Anmeldeinformationen im Darknet zum Kauf verfügbar.

Wichtige Urteile

  • Die ersten großflächigen Credential-Stuffing-Angriffe wurden Ende 2014 beobachtet, zeitgleich mit der Verbreitung automatisierter Untergrund-Marktplätze. Beim Verkauf von Konten boten Angreifer eine schnelle und einfache Monetarisierung der kompromittierten Kontoanmeldeinformationen an. Einige Akteure, die an Credential-Stuffing-Angriffen beteiligt waren, sind noch heute aktiv.

  • Bei einer Investition von nur 550 US-Dollar können Kriminelle mit einem mindestens 20-fachen Gewinn aus dem Verkauf kompromittierter Anmeldeinformationen rechnen.

  • Die Gesamtzahl der kompromittierten Anmeldeinformationen auf mehreren großen Marktplätzen übersteigt mehrere zehn Millionen Konten.

  • Die Insikt Group hat mindestens sechs beliebte Varianten der von Cyberkriminellen verwendeten Kontoprüfungssoftware identifiziert. Im Darknet sind allerdings auch Dutzende weniger bekannte Varianten zu finden.

  • Während sich manche Unternehmen für die Implementierung einer mehrstufigen Authentifizierung (MFA) entscheiden, die den Credential-Stuffing-Angriffsvektor blockiert, sind Organisationen möglicherweise nicht bereit, Sicherheit der Benutzerfreundlichkeit vorzuziehen.

Hintergrund

Gegen Ende 2014 und Anfang 2015 konnten wir eine flächendeckende Einführung neuer Geschäftsmodelle im Dark Web beobachten, die speziell darauf zugeschnitten sind, große Handelsvolumina vollautomatisch abzuwickeln. Diese sogenannten „automatisierten Shops“ sind als Nachahmung legitimer Einzelhandelsplattformen wie eBay und Amazon konzipiert und ermöglichen sogar Kleinkriminellen, als Verkäufer gestohlener Daten wie kompromittierter Anmeldeinformationen aufzutreten, ohne sich um die Aufrechterhaltung ihrer eigenen Infrastruktur oder Marketingkampagnen kümmern zu müssen. Im Großen und Ganzen wurde die Einführung von Konto-Marktplätzen vor allem durch die Verbreitung von Software zur Kontoprüfung (oder einfach „Checkern“) ermöglicht, die als wichtigstes Werkzeug bei Credential-Stuffing-Angriffen eingesetzt wird.

Bedrohungsanalyse

Kompromittierte Kontoanmeldeinformationen waren im Dark Web schon immer ein wertvolles Gut – die Anzahl der Transaktionen war relativ gering und sie wurden hauptsächlich entweder auf Peer-to-Peer-Basis oder über halbautomatische Märkte wie AlphaBay, Silk Road und Hansa Market durchgeführt. Bei älteren Modellen erhielten Käufer ihre Waren erst, nachdem der Verkäufer den Kauf manuell freigegeben und die Kaufdaten übermittelt hatte. Darüber hinaus mussten die Verkäufer die Angebote pflegen und persönlich mit den Käufern kommunizieren.

Mit dem Aufkommen automatisierter Shops ist jedoch die manuelle Einbindung nicht mehr erforderlich und das Geschäft mit kompromittierten Konten wandelte sich von Peer-to-Peer-Transaktionen zu einem deutlich demokratischeren, für jedermann offenen Unternehmen.

Gegen eine nominelle Provision von 10 bis 15 Prozent, die von jedem Verkauf abgezogen wird, können Mitglieder eine beliebige Anzahl validierter kompromittierter Konten hochladen, die neben E-Mail und Passwort oft auch Daten wie den Wohnsitzort oder -staat des Kontoinhabers, den Transaktionsverlauf und/oder den Kontostand enthalten. Für Betrüger, die auf ihre speziellen Bedürfnisse zugeschnittene Konten kaufen möchten, sind all diese Daten wertvolle Daten. Das Hauptaugenmerk des Verkäufers liegt auf der Auffüllung des Lagerbestands, während der gesamte Kundensupport, alle Überweisungen und die Streitbeilegung vom Supportteam des Shops übernommen werden.

Credential-Stuffing-Angriffe-1-1.png

Automatische Shop-Einträge. Neben dem kompromittierten Firmennamen können Käufer das verfügbare Guthaben oder die Treuepunkte, den Wohnort des Kontoinhabers, zugehörige Zahlungskarten, das Datum der letzten Transaktion und einen Hostnamen der Login-E-Mail des Kontoinhabers sehen.

Zunächst waren es nur einige wenige ausgewählte Anbieter, die die Daten hauptsächlich lieferten. Doch da sich das Verfahren auch in der kriminellen Unterwelt verbreitete, wuchs das Geschäft mit gestohlenen Zugangsdaten exponentiell.

Da normale Internetnutzer dazu neigen, dieselben Passwörter für mehrere Websites gleichzeitig zu verwenden, haben Bedrohungsakteure schnell gelernt, dass sie sich auf das Hacken mehrerer zufällig ausgewählter Konten konzentrieren und so ihren Aufwand verringern sollten, anstatt zu versuchen, Zugriff auf ein einzelnes Konto zu erhalten, was sehr lange dauern kann.

Credential-Stuffing-Angriffe-2-1.png

Eine Kombination mehrerer Elemente machte das Hacken von Konten verschiedener Online-Dienste nicht nur mühelos, sondern auch unglaublich lukrativ. Zum Starten von Brute-Force-Angriffen auf Konten (auch als Credential-Stuffing-Angriffe bekannt) benötigte ein Angreifer lediglich eine Brute-Force-Software, eine Datenbank mit zufälligen E-Mail- und Passwortkombinationen sowie Zugriff auf einen Pool von Proxys.

Die Wirtschaft

Frühe Versionen der Checker waren auf ein einzelnes Unternehmen ausgerichtet und wurden, je nach Leistungsfähigkeit des Tools, für 50 bis 250 US-Dollar verkauft. Diese Tools versuchen, sich mit einer E-Mail-Adresse und einem Passwort aus einer zufälligen Datenbank, die oft im Darknet zu finden ist, bei einer Website anzumelden. Wenn eine Kombination funktioniert, wird sie als gültig markiert. Andernfalls wählt die Software einfach eine andere Kombination aus der Liste aus und versucht erneut, sich anzumelden. Um gültige Logins zu erhalten, würden teurere und komplexere Prüfprogramme zudem zusätzliche Informationen vom kompromittierten Konto erfassen, etwa verknüpfte Bank- und Zahlungskarteninformationen, Kontostände, die Adresse des Inhabers und sogar den Transaktionsverlauf. Bis heute liegt die Genialität dieser Methode in den Skaleneffekten, die es Kriminellen ermöglichen, Hunderttausende von Kombinationen in kürzester Zeit zu verarbeiten.

Mit der Zeit kamen mehrere marktbeherrschende Akteure wie STORM, Black Bullet und Sentry MBA mit robusteren Tools auf den Markt, die eine unbegrenzte Zahl benutzerdefinierter Plug-ins (auch „Konfigurationen“ genannt) unterstützten und es Hackern im Prinzip ermöglichten, nahezu jedes Unternehmen mit einer Online-Präsenz anzugreifen.

Was zunächst mit einigen Hundert oder Tausend kompromittierten Konten begann, weitete sich schnell auf Hunderttausende oder sogar Millionen von Konten aus. Einige der bekanntesten Account-Shops bieten jederzeit zig Millionen kompromittierte Accounts zum Verkauf an.

Obwohl der Durchschnittspreis eines einzelnen kompromittierten Kontos aufgrund der Konkurrenz schnell von über 10 US-Dollar auf lediglich 1 bis 2 US-Dollar sank, nahm die Gesamtrentabilität von Credential-Stuffing-Angriffen aufgrund der schieren Menge erheblich zu.

Im Laufe der Zeit beobachteten Untergrundgerüchten zufolge liegt die durchschnittliche Erfolgsrate für Credential Stuffing irgendwo zwischen einem und drei Prozent. Pro einer Million zufälliger Kombinationen aus E-Mails und Passwörtern können Angreifer also potenziell zwischen 10.000 und 30.000 Konten kompromittieren. Darüber hinaus könnte dieselbe Datenbank immer wieder verwendet werden, um Dutzende verschiedener Websites zu hacken, was zu noch höheren Gewinnen führen würde.

Credential-Stuffing-Angriffe-3-2.png

Basierend auf einer konservativen Erfolgsquote von einem Prozent pro 100.000 kompromittierten E-Mails und Passwörtern ergeben sich aus der Ökonomie von Credential-Stuffing-Angriffen mindestens zwanzigmal höhere Gewinne.

Technische Analyse

Nachfolgend sind die bekanntesten Varianten von Kontoprüfungssoftware aufgeführt, die von Cyberkriminellen in Credential-Stuffing-Kampagnen verwendet werden. Wichtig zu beachten ist, dass auch weniger bekannte Lösungen, die oft speziell für ein einzelnes Unternehmen entwickelt wurden, käuflich zu erwerben sind. Allerdings erlangen solche einmaligen Tools selten eine bedeutende Marktpräsenz und neigen dazu, schnell zu verschwinden, da die Entwickler den Produktsupport aufgrund der geringen Akzeptanz einstellen.

STURM

STORM wird in mehreren englischsprachigen Foren vermarktet und ist im Gegensatz zu anderen Tools zur Kontoprüfung kostenlos erhältlich. Allerdings werden die Benutzer dazu angehalten, Spenden zu leisten. Die genaue Identität des Entwicklers ist unbekannt; Gerüchten in Untergrundforen zufolge soll die Software jedoch vom Schauspieler mrviper erstellt worden sein. STORM wurde erstmals im Januar 2018 eingeführt und ist der Beschreibung in Darknet-Anzeigen zufolge ein kostenloses „Cracking“-Programm zum Durchführen von Website-Sicherheitstests. STORM ist in der Sprache C geschrieben und wurde in enger Zusammenarbeit mit Mitgliedern des Cracked-Forums entwickelt. Das Tool verfügt über folgende technische Features:

  • Unterstützt FTP-Cracking

  • Gleichzeitige FTP- und HTTP-Angriffe

  • Gleichzeitige Sitzungen

  • Debug-Funktionalität zur Aktivitätsanalyse

  • Unterstützt Kombinationslisten mit bis zu 20 Millionen E-Mail:Passwort-Datensätzen

  • Unterstützt HTTP/HTTPS

  • Unterstützt SOCKS4 und SOCKS5

  • Automatisches Proxy-Update mit automatischer Datenerfassung aus öffentlichen Quellen

  • Erfassung von Schlüsselwörtern (Erfassung von Premium-Kontodaten)

  • JavaScript-Umleitung

Credential-Stuffing-Angriffe-4-1.png

Werbung für den STORM-Account-Cracker im Dark Web.

Schwarze Kugel

Black Bullet tauchte erstmals Anfang 2018 im Darknet auf und wurde wahrscheinlich vom Schauspieler Ruri erstellt, der die offizielle Website www.bullet[.]black betreibt. Website; den Angaben auf der Hauptseite zufolge nimmt die Community allerdings keine neuen Mitglieder mehr auf. Es wurde beobachtet, dass mehrere Mitglieder des Dark Web, darunter daltonbean8 und Doberman, das Tool verbreiteten.

Im Gegensatz zu anderen Tools zur Kontoprüfung bietet BlackBullet keine Multithread-Funktionen und erlaubt nur den Angriff auf jeweils ein einzelnes Unternehmen. Das Tool verfügt außerdem über eine Brute-Force-Funktion, die Wörterbuchangriffe ausführen kann, wenn sie auf bestimmte Konten ausgeführt wird.

  • Captchas umgehen

  • Konfigurationsdateien: ~ 530; Benutzer haben jedoch die Möglichkeit, Konfigurationen selbst zu ändern und neue zu erstellen

  • Selenium Webdriver-Unterstützung

  • Preis: Zwischen 30 und 50 US-Dollar

Credential-Stuffing-Angriffe-5-1.png

BlackBullet V.2.0.2 Bedienfeldschnittstelle.

Privater Torhüter

Private Keeper wurde vom Schauspieler deival909 entwickelt. Das Tool basiert der Beschreibung des Akteurs zufolge auf der Inline-Technologie. Private Keeper ist die mit Abstand beliebteste Software zur Kontoprüfung im russischsprachigen Untergrund.

  • Preis: Ab 49 russische Rubel (ca. 0,80 $)

  • Gleichzeitige Sitzungen

  • Dienstprogrammsoftware zur Unterstützung der automatischen Verbindung mit privaten oder öffentlich verfügbaren Proxy-Diensten

  • Offizieller Online-Shop: www.deival909[.]ru

  • Neueste Version: 7.9.3.34

Credential-Stuffing-Angriffe-6-1.png

Schnittstelle des Private Keeper-Kontrollfelds.

SNIPR

SNIPR wurde verkauft und in mehreren Untergrundforen öffentlich geteilt. Der Bedrohungsakteur PRAGMA ist der Entwickler der Schadsoftware. SNIPR ist eine konfigurierbare, in der Programmiersprache C geschriebene Software zur Kontoprüfung, die sowohl Online-Credential-Stuffing als auch Offline-Brute-Force-Wörterbuchangriffe unterstützt. Obwohl das Tool von mehreren Bedrohungsakteuren beworben wurde, verfügt dieser Account-Checker über eine eigene Website mit einem Forum und einem Marktplatz www.snipr[.]gg. Die Website ermöglicht es externen Entwicklern, benutzerdefinierte Konfigurationsdateien auszutauschen.

  • Konfigurationsdateien: Mehr als 100 sind Teil des offiziellen Pakets

  • Gleichzeitige Angriffe: Bis zu vier Ziele

  • Preis: $20

Credential-Stuffing-Angriffe-7-1.png

Der SNIPR-Kontoprüfer enthält standardmäßig über 100 Konfigurationsdateien.

MBA im Sentry-Programm

Sentry MBA ist mit über 1.000 verfügbaren Konfigurationsdateien eines der bekanntesten und am leichtesten verfügbaren Beispiele für Kontoprüfungssoftware im Dark Web. In mehreren kriminellen Foren gibt es fortlaufende Diskussionsthreads, die dem Sentry MBA gewidmet sind. Seit Dezember 2018 ist die Registrierung unter https://sentry[.]mba, dem offiziellen Sentry MBA-Marktplatz und Diskussionsforum, geschlossen und nur noch auf Einladung möglich. Die Insikt Group hat festgestellt, dass das Tool seit Ende 2014 aktiv im Dark Web beworben wird. Der offizielle Twitter- Account wurde jedoch erst im Juli 2013 eingerichtet. Das Tool wurde angeblich von einem Akteur mit dem Pseudonym „Sentinel“ entwickelt und später von einem anderen Akteur, „Astaris“, modifiziert. Sentry MBA verwendet die OCR-Funktion (optische Zeichenerkennung), um Captchas zu umgehen. Sentry MBA unterstützt jedoch keine Javascript-Anti-Bot-Herausforderungen. Sentry MBA kann so konfiguriert werden, dass es bestimmte Schlüsselwörter erkennt, die mit den Antworten einer Website auf erfolgreiche und erfolglose Anmeldeversuche verknüpft sind.

  • Verfügbare Konfigurationen: Mehr als 1000

  • Offizielle Website: https://sentry[.]mba

  • Preis: Zwischen 5 und 20 US-Dollar pro Konfigurationsdatei

  • Unterstützt HTTP/HTTPS

  • Unterstützt SOCKS4 und SOCKS5

Credential-Stuffing-Angriffe-8-1.png

Sentry MBA-Bedienfeld.

WOXY

Anders als eine typische Software zur Kontoprüfung ermöglicht der E-Mail-Checker von WOXY Kriminellen, die Gültigkeit von E-Mail-Konten zu verifizieren, E-Mail-Inhalte nach wertvollen Informationen (wie Geschenkgutscheincodes oder Online-Abonnements für Streaming-Dienste, Reise-Websites und Finanzinstitute) zu durchsuchen und gültige Konten zu kapern, indem sie Anmeldekennwörter automatisch zurücksetzen. Der durchgeführten Analyse zufolge wurde WOXY von den Schauspielern Dreamzje und Deos entwickelt, die die derzeit nicht mehr existierende Website www.keepit[.]online betrieben. Der ursprüngliche Preis des WOXY-Checkers betrug 40 US-Dollar. Im September 2018 veröffentlichten die Schauspieler Crank und Yuki jedoch die geknackte Version von WOXY im Dark Web, die nun problemlos kostenlos erhältlich ist.

Credential-Stuffing-Angriffe-9-1.png

Informationen zum WOXY-E-Mail-Checker V3.4.

Milderung

  1. Um ihre Angriffe noch weiter zu verschleiern, nutzen Kriminelle neben öffentlich verfügbaren kostenlosen Proxys häufig auch kostenpflichtige Proxy-Dienste. Unsere Analyse zeigt jedoch, dass solche Dienste häufig Geo-Spoofing-Techniken verwenden, um einen großen IP-Pool zu erstellen. Solche Domänen haben dieselben IP-Adressen, verwenden aber unterschiedliche Subnetze. Die Überwachung der Webverkehrsaktivität von solchen IPs bietet zusätzliche Möglichkeiten zur Risikominderung.

  2. Die Einführung der Multi-Faktor-Authentifizierung hat sich für viele Organisationen, die in der Vergangenheit häufig Opfer von Credential-Stuffing-Angriffen wurden, als äußerst effektive Abwehrmaßnahme erwiesen.

  3. Überwachung krimineller Untergrund-Communitys auf die Verfügbarkeit neuer Konfigurationsdateien, die auf Ihre Organisation abzielen, Erwerbung und gründliche Analyse solcher Dateien auf zusätzliche Angriffsindikatoren.

  4. Endbenutzer können das Risiko, Opfer eines Credential-Stuffing-Angriffs zu werden, verringern, indem sie einen Passwort-Manager verwenden und für jedes Online-Konto ein individuelles, sicheres Passwort festlegen.

Verwandt