- Cyberkriminelle bieten seit zwei Monaten hunderte Millionen Kundendaten von Unternehmen wie der Santander Bank zum Verkauf an. Alle betroffenen Unternehmen waren Kunden von Snowflake, und die Zugangsdaten wurden durch Infostealer-Malware gestohlen. Infostealer-Malware erlebt einen Aufschwung und stiehlt Benutzerdaten, die dann in kriminellen Foren verkauft werden. Infostealer verbreiten sich opportunistisch und sammeln Daten wahllos von infizierten Computern. Die Zunahme von Remote-Arbeitsplätzen erhöht die Anfälligkeit für Infostealer, die Unternehmenszugangsdaten stehlen.
Seit zwei Monaten bieten Cyberkriminelle hunderte Millionen Kundendaten von großen Unternehmen wie der Santander Bank zum Verkauf an. Bemerkenswert an diesen jüngsten Vorfällen ist, dass alle betroffenen Unternehmen Kunden des Cloud-Datenanbieters Snowflake waren und nicht durch eine ausgeklügelte Hackerattacke kompromittiert wurden. Stattdessen hatten Angreifer Zugang zu den Zugangsdaten der betroffenen Snowflake-Konten. Diese Zugangsdaten wurden nicht durch einen gezielten Angriff auf Snowflake selbst erbeutet, sondern stammten aus einer Vielzahl gestohlener Daten, die von sogenannter “Infostealer”-Malware wahllos eingesammelt wurden.
Der Aufstieg der Infostealer-Malware
Infostealer-Malware ist seit Jahren im Umlauf, erlebt jedoch momentan einen bemerkenswerten Aufschwung. Diese Schadsoftware infiziert oft Computer durch Downloads von Raubkopien und kann Benutzernamen, Passwörter, Cookies, Suchverläufe, Finanzinformationen und mehr aus Webbrowsern stehlen. Gesammelte Daten werden zunehmend von unterschiedlichsten Hackern genutzt, um Unternehmen zu kompromittieren und weitere, noch höhere Datenverluste zu verursachen. Experten warnen vor weiteren hochkarätigen Datenverlusten in naher Zukunft.
„Wir haben Nationen gesehen, die Infostealer einsetzen, ebenso wie kriminelle Gruppen und sogar jugendliche Hackergruppen“, sagt Charles Carmakal, Chief Technology Officer von Google’s Mandiant. Russische Hackergruppen und kriminelle Banden wie „Turla“ setzen Infostealer ein. Kurz nach globalen Ereignissen versuchen Hacker, die Situation für sich zu nutzen.
Wie Infostealer arbeiten
Infostealer sind weniger durch ihre technischen Fähigkeiten definiert als vielmehr durch ihre Rolle im Ökosystem der bösartigen Hacker. Anders als Spionagesoftware oder andere gezielte Malware breiten sich Infostealer opportunistisch und wahllos aus. Sie sammeln Daten von den Browsern infizierter Computer, welche dann auf Marktplätzen oder öffentlichen Foren wie Telegram-Kanälen zusammengestellt und organisiert werden. Erst danach durchsuchen Betreiber oder Kunden diese chaotischen Datensammlungen nach wertvollen Anmeldedaten und Zugriffstokens. Ian Gray, Direktor für Analyse und Forschung bei der Sicherheitsfirma Flashpoint, schätzt, dass es hunderte Varianten von Infostealern im Umlauf gibt.
Höchstwertvolle Zugriffstokens könnten in Datensätzen enthalten sein, wie beispielsweise Login-Daten für Unternehmenskonten eines Mitarbeiters. Ransomware-Banden oder staatlich unterstützte Akteure könnten diese Zugangsdaten als Ausgangspunkt für ihre Angriffe nutzen. Plattformen wie „Genesis Market“ und „Russian Market“ haben Infostealer-Protokolle organisiert und teilweise durchsuchbar gemacht. Kriminelle können so gezielt Nischenorganisationen ansteuern. Russische Märkte bieten oft massive Mengen gestohlener Daten zu niedrigen Festpreisen an.
Die Herausforderung für Unternehmen
Die Module der Infostealer sind besonders effektiv im Zusammenhang mit der Zunahme von Remote- und Hybridarbeitsplätzen, da Mitarbeiter von persönlichen Geräten auf Unternehmensdienste zugreifen. Dies schafft eine Schwachstelle, durch die Infostealer zufällig Personen auf deren Heimcomputern kompromittieren könnten. So gelangen Unternehmenszugangsdaten in die Hände der Cyberkriminellen, wenn Benutzer zeitgleich mit ihren Arbeitssystemen verbunden sind.
Victoria Kivilevich, Direktorin für Bedrohungsforschung bei der Sicherheitsfirma KELA, berichtet von mehr als 7.000 kompromittierten Snowflake-Zugangsdaten, die in Kriminalforen geteilt wurden. Kriminelle bieten Zugang zu Unternehmen aus verschiedensten Bereichen an, oft gegen geringe Gebühren. Laut KELA wurden in den letzten Jahren Millionen von Zugangsdaten durch Infostealer-Malware gesammelt, was eine echte Bedrohung für Unternehmen darstellt.
Da die Nutzung von Infostealern so gut funktioniert, ist es nur eine Frage der Zeit, bis Cyberkriminelle die Erfolgsmuster wie bei Snowflake kopieren und neue Ziele in Unternehmenssoftwarediensten suchen. Unternehmen sollten Maßnahmen wie strikte Durchsetzung von Multi-Faktor-Authentifizierung und die Nutzung von Antiviren- oder EDR-Produkten ergreifen, um sich besser zu schützen. „Bedrohungsakteure werden beginnen, Infostealer-Logs zu jagen und nach anderen SaaS-Anbietern zu suchen, um Daten zu stehlen und diese Unternehmen zu erpressen“, warnt Carmakal.
