Flare analysiert Untergrundmarkt für gezielte Suche nach gestohlenen Zugangsdaten

Zusammenfassung

Kriminelle Akteure verwandeln riesige, aus Infostealer-Daten gewonnene Sammlungen von Zugangsdaten zunehmend in durchsuchbare Untergrunddienste. Statt komplette Datenpakete zu kaufen, können Interessenten dort gezielt nach Anmeldedaten für ein bestimmtes Unternehmen, eine Plattform, eine Domain, eine Region oder einen Kontotyp suchen lassen. Das geht aus einer Analyse von Flare hervor. Die Forscher werteten 470 Beiträge aus Untergrundforen aus, die zwischen Januar 2025 und Juni 2026 veröffentlicht wurden. In dem Datensatz fanden sich Anzeigen, Wiederveröffentlichungen, Käuferfeedback, Preisangaben und Streitfälle zur Qualität und Gültigkeit der angebotenen Daten. Nach Einschätzung von Flare hat sich damit eine eigene Diensteschicht zwischen Infostealer-Infektionen, dem Handel mit Rohprotokollen und der späteren Kontoübernahme etabliert. Die Anbieter treten demnach häufig als Zugangsdaten-Broker oder Datenaufbereiter auf: Sie durchsuchen große Bestände gestohlener Daten, filtern, deduplizieren, formatieren und liefern passende Treffer für konkrete Ziele aus. Käufer nutzen die Resultate laut Flare anschließend unter anderem für Kontoübernahmen, Betrug, Spam, Phishing, Krypto-Diebstahl oder das Eindringen in Unternehmen.

Laut Flare zeigt die Auswertung der 470 Forenbeiträge einen klar umrissenen Markt für die gezielte Extraktion aus großen Infostealer-Datenbanken. Das Angebot umfasst demnach die Suche nach bestimmten Datensätzen, deren Filterung, Deduplizierung, Formatierung und eine möglichst hohe Aktualität. Als Alternative zu klassischen Combo-Listen kaufen Interessenten nicht mehr zwingend einen kompletten Massenabzug, sondern stellen eine Anfrage und erhalten nur die Datensätze, die zu ihrem Ziel passen.

Flare verortet diesen Markt in der Mitte der Kette rund um Kontoübernahmen. Zuerst infizieren Infostealer Geräte und sammeln Zugangsdaten, Cookies, Autofill-Daten und Browser-Artefakte. Danach werden die Protokolle in privaten Clouds, ULP-Datenbanken, öffentlichen Datenabzügen oder sammlungsbasierten Tauschplattformen zusammengeführt. Erst anschließend greifen die Anbieter dieser Suchdienste ein und extrahieren auf Wunsch passende Zeilen aus den Beständen. Die Verkäufer seien damit oft weder der erste noch der letzte Schritt, sondern die Verarbeitungsebene, die unübersichtliche Datensammlungen in gezielt nutzbares Angriffsmaterial umwandelt.

Überschneidungen gibt es laut Flare mit dem Markt der Initial Access Broker, identisch seien beide Bereiche aber nicht. Häufige Ausgabeformate waren URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE und MAIL:LOGIN. Wenn Käufer nach Zugängen zu Unternehmens-VPNs, SaaS-Plattformen, E-Mail-Konten, Cloud-Umgebungen, Administrationsoberflächen oder Fernzugriffssystemen suchen, könne das Ergebnis in eine Form von Erstzugang übergehen. Flare beschreibt den IAB-Markt jedoch als teurer und exklusiver, weil dort validierter Zugang verkauft werde, der häufig MFA umgehen könne.

Die Anbieter werben in den Foren mit Größe, Geschwindigkeit und Aufbereitung ihrer Datenbanken. Ein Akteur pries laut Flare eine Datenbank mit „ULP 5kkk+ Zeilen“ an, also 5.000.000.000 Einträgen, mit Zugriff innerhalb von 10 bis 15 Minuten, täglichen Aktualisierungen und angeblichen Quellen aus privaten Protokollen, privaten Clouds, persönlichen Datenströmen und öffentlichen Daten. Ein anderer bewarb eine URL:LOG-Datenbank mit „10kkk+ Zeilen“ und mehr als 1 TB Umfang. Weitere Anbieter behaupteten, Sammlungen mit Hunderten Millionen bis hin zu Zehnmilliarden Datensätzen durchsuchen zu können.

Verkauft wird dabei nicht nur die schiere Datenmenge. Nach Flare stellen die Akteure auch Suchfunktionen, Aktualität, Formatierung und Relevanz als Teil ihres Angebots heraus. Manche beschränken sich auf einfache Domain-Extraktion, andere bieten individuellere Abfragen an, etwa E-Mail-Konten für einen bestimmten Shop, eine Website, eine App oder ein Spiel. Ein Verkäufer bot Anfragen für 20 US-Dollar pro Suche an, mit zusätzlicher Bezahlung abhängig von den gelieferten Treffern.

Der Datensatz zeigte zudem Formen der Anreicherung von Zugangsdaten. Ein Anbieter behauptete Zugriff auf getrennte Sammlungen für E-Mail, Passwort, Login, Telefon und URL:Login zu haben und beschrieb, wie sich diese Bestände kombinieren lassen. So könne ein Käufer mit einer bloßen E-Mail-Liste passende Login-Paare anfordern; wer eine bestimmte Region suche, könne Ergebnisse auf Basis von Ländervorwahlen, Domains, URLs, Städten und Passwortmustern erhalten.

Das Käuferfeedback zeichnet allerdings ein deutlich nüchterneres Bild. Laut Flare klaffen Werbung und tatsächliche Ergebnisse oft auseinander. Käufer berichteten von geringerem Umfang als versprochen, ungültigen Zugangsdaten und zahlreichen Duplikaten. In einem Fall sollen von 3.000 Datensätzen nur 200 einzigartig gewesen sein. Andere bemängelten, es handle sich um dieselben Daten, die in großen, im Untergrund kostenlos veröffentlichten Combo-Listen auftauchen. Verkäufer hätten teils sogar geantwortet, dass sie die Gültigkeit der Zugangsdaten nie überprüft hätten.

Flare ordnet das Modell im Rahmen von Threat-Intelligence-Schemata als praktisches Beispiel für T1589.001 („Informationen zur Opferidentität sammeln: Zugangsdaten“) ein, da Angreifer aktiv nach Zugangsdaten suchen und sie vor einer Ausnutzung beschaffen. Teilweise komme auch T1650 („Zugang beschaffen“) in Betracht, wenn die gelieferten Ergebnisse praktisch nicht mehr von direkt bereitgestelltem Zugang zu unterscheiden seien.

Flare analysiert Untergrundmarkt für gezielte Suche nach gestohlenen Zugangsdaten

Ähnliche Artikel

Neueste Artikel