Bedrohungsakteur hinter Datendiebstahl bei Collection #1 identifiziert

Bedrohungsakteur hinter Datendiebstahl bei Collection #1 identifiziert

Executive Summary

Am 17. Januar 2019 veröffentlichte der Sicherheitsexperte Troy Hunt „Collection #1“, eine Datenleck-Sammlung mit 1.160.253.228 einzigartigen Kombinationen aus E-Mail-Adressen und entsprechenden Passwörtern. Insgesamt wurden 772.904.991 eindeutige E-Mail-Adressen und 21.222.975 eindeutige Passwörter entdeckt. Am 31. Januar berichtete PCWorld dann, dass Forscher des Hasso-Plattner-Instituts weitere 611 Millionen Anmeldeinformationen entdeckt hätten, die sie dem Datenleck bei Collection #1 zuschrieben.

Recorded Future analysierte den kompletten Dump am 19. Januar 2019 und bestätigte, dass viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks stammen, von denen einige zwei bis drei Jahre alt sind und möglicherweise keine neu kompromittierten Konten enthalten.

Mehrere Bedrohungsakteure behaupteten, die Quelle der Daten zu sein, und verbreiteten diese Datenbanken im gesamten Dark Web, darunter auch der Bedrohungsakteur „Clorox“. Recorded Future geht jedoch mit mäßiger Sicherheit davon aus, dass der ursprüngliche Schöpfer und Verkäufer der Kollektion Nr. 1 der Schauspieler „C0rpz“ war. Bei einem anderen Akteur eines bekannten russischen Hackerforums wurde ebenfalls beobachtet, dass er eine große Datenbank mit 100 Milliarden Benutzerkonten teilte, die möglicherweise einige der gleichen Datensätze enthält wie die Sammlung Nr. 1.

Bedrohungsanalyse

Die Insikt Group entdeckte einen am 17. Januar 2019 erstellten Forenbeitrag von Clorox, in dem sieben URLs zu verschiedenen Datenbanken gepostet wurden, die auf dem Filesharing-Dienst MEGA gehostet werden. Insgesamt enthielten die unten aufgeführten sieben Datenbanken 993,53 GB an Daten mit drei verschiedenen Varianten von Benutzeranmeldeinformationen: E-Mail-Adressen und Passwörter, Benutzernamen und Passwörter sowie Handynummern und Passwörter.

In dem Forenbeitrag verlinkte Clorox auf den Troy Hunt-Artikel "The 773 Million Record 'Collection #1' Data Breach" und behauptete, dass die Datenbank von Troy Hunt unvollständig ist und nur einen Bruchteil des ursprünglichen Dumps ausmacht, der im Dark Web als Collection #1 bekannt ist. Darüber hinaus gab Clorox an, dass der ursprüngliche Datendump in einem anderen Forum von einer anderen Partei verkauft wurde, die dann die Originaldateien entfernte, die auf verschiedenen URLs auf MEGA gehostet wurden. Troy Hunt war laut Clorox in der Lage, eine dieser Datenbanken herunterzuladen, die die Person vergessen hatte, zu entfernen, obwohl die Person sie kurz darauf entfernte.

Weitere Analysen zeigten, dass eine weitere Person bereits am 7. Januar 2019 den Spitznamen C0rpz verwendete, die behauptete, der ursprüngliche Ersteller und Verkäufer von Collection #1 zu sein. C0rpz gab auch an, dass ein anderes Forenmitglied, "Sanix", die Sammlung #1 von ihnen gekauft und dann versucht habe, sie an andere Forenmitglieder weiterzuverkaufen. Sanix war die Person, die von Brian Krebs in seinem Artikel "773M Password 'Megabreach' is Years Old" identifiziert wurde, und unsere Analyse bestätigte, dass es sich um dieselbe Person handelt, die versucht hat, die ursprünglich von C0rpz erstellte Datenbank zu verkaufen. Sanix wurde inzwischen aus dem Forum verbannt, und C0rpz hat Links zu MEGA gepostet, die Collection #1 kostenlos an die Community weitergeben.

Recorded Future hat eine weitere mögliche Quelle für Sammlung Nr. 1 entdeckt. Am 10. Januar 2019 veröffentlichte ein Akteur in einem bekannten russischsprachigen Hackerforum sowohl einen Magnet-Link als auch einen direkten Download-Link zu einer Datenbank mit 100 Milliarden Benutzerkonten, die auf einer persönlichen Website gehostet wurden. In der darauffolgenden Woche stellte der Akteur klar, dass der Datendump, auf den sich Troy Hunts Artikel bezog, auch in seinem Dump enthalten war.

Ausblick

Recorded Future geht davon aus, dass die Datenbanksammlung Nr. 1 und ihre Variationen auch weiterhin in Darknet-Communitys geteilt und in Credential-Stuffing-Angriffen verschiedener Bedrohungsakteure integriert werden. Allerdings stammen viele der in Sammlung Nr. 1 enthaltenen Kontoanmeldeinformationen aus einer Vielzahl früherer Datenlecks, von denen einige zwei bis drei Jahre alt sind. Es ist sehr wahrscheinlich, dass viele der betroffenen Personen bereits aufgefordert wurden, ihre Passwörter zu ändern, die andernfalls durch dieses Leck kompromittiert worden wären.

Einzelpersonen sollten auf Phishing-Angriffe vorbereitet sein, die auf offengelegte E-Mail-Adressen oder Mobiltelefonnummern abzielen könnten. Aktuelle Kunden können sich an ihre Berater von Recorded Future Intelligence Services wenden, wenn sie mehr erfahren möchten.