Am 20. Oktober sagte ein Hacker, der sich Dark X nennt, er habe sich bei einem Server angemeldet und die persönlichen Daten von 350 Millionen Hot Topic-Kunden gestohlen. Am folgenden Tag listete Dark X die Daten, darunter angebliche E-Mails, Adressen, Telefonnummern und teilweise Kreditkartennummern, in einem Untergrundforum zum Verkauf auf. Am Tag danach sagte Dark X, Hot Topic habe sie rausgeschmissen.
Dark Sie haben zufällig Anmeldeinformationen von einem Entwickler erhalten, der Zugriff auf die Kronjuwelen von Hot Topic hatte. Um das zu beweisen, schickte mir Dark Alon Gal vom Cybersicherheitsunternehmen Hudson Rock, der den Link zuerst gefunden hat zwischen Infostealern und der Hot Topic-Verletzung sagte, dass ihm der Hacker dieselben Zugangsdaten geschickt habe.
Der Glücksteil stimmt. Aber der behauptete Hot Topic-Hack ist auch der jüngste Verstoß, der direkt mit einer ausgedehnten Untergrundindustrie zusammenhängt, die das Hacken einiger der wichtigsten Unternehmen der Welt zum Kinderspiel gemacht hat.
AT&T. Ticketmaster. Santander-Bank. Neiman Marcus. Elektronische Künste. Dabei handelte es sich nicht ausschließlich um Einzelfälle. Stattdessen wurden sie alle dank „Infostealern“ gehackt, einer Art Malware, die darauf ausgelegt ist, im Browser des Opfers gespeicherte Passwörter und Cookies zu stehlen. Im Gegenzug haben Infostealer ein komplexes Ökosystem entstehen lassen, das im Verborgenen wachsen konnte und in dem Kriminelle unterschiedliche Rollen übernehmen. Es gibt russische Malware-Programmierer, die ihren Code ständig aktualisieren; Teams von Fachleuten, die mit schillernder Werbung Auftragnehmer beauftragen, die Malware auf YouTube, TikTok oder GitHub zu verbreiten; und englischsprachige Teenager auf der anderen Seite der Welt, die dann die erbeuteten Referenzen nutzen, um in Unternehmen einzubrechen. Ende Oktober kam es zu einer Zusammenarbeit von Strafverfolgungsbehörden kündigte eine Operation an gegen zwei der weltweit am weitesten verbreiteten Diebstähle. Aber der Markt konnte so stark wachsen und reifen, dass es unwahrscheinlich ist, dass strafrechtliche Maßnahmen gegen auch nur einen Teil davon die Verbreitung von Infostealern dauerhaft eindämmen werden.
Basierend auf Interviews mit Malware-Entwicklern, Hackern, die die gestohlenen Zugangsdaten verwenden, und einer Durchsicht von Handbüchern, die neuen Mitarbeitern zeigen, wie sie die Malware verbreiten können, hat 404 Media diese Branche kartiert. Das Endergebnis ist, dass der Download einer harmlos aussehenden Software durch eine einzelne Person zu einem Datenverstoß bei einem milliardenschweren Unternehmen führen kann, wodurch Google und andere Technologiegiganten in ein immer eskalierendes Katz-und-Maus-Spiel geraten die Malware-Entwickler, um Menschen und Unternehmen zu schützen.
„Wir sind Profis auf unserem Gebiet und werden weiterhin daran arbeiten, zukünftige Google-Updates zu umgehen“, sagte mir ein Administrator von LummaC2, einer der beliebtesten Infostealer-Malware, in einem Online-Chat. „Es dauert einige Zeit, aber wir verfügen über alle Ressourcen und das Wissen, um den Kampf gegen Chrome fortzusetzen.“
Die Diebe
Das Infostealer-Ökosystem beginnt mit der Malware selbst. Es gibt Dutzende davon mit Namen wie Nexus, Aurora, META und Raccoon. Laut der Cybersicherheitsfirma Recorded Future ist der derzeit am weitesten verbreitete Infostealer RedLine. Ein vorgefertigtes Malware-Paket senkt auch die Eintrittsbarriere für einen angehenden neuen Hacker erheblich. Der Administrator von LummaC2, das laut Recorded Future zu den Top 10 der Infostealer gehört, sagte, dass es sowohl Anfänger als auch erfahrene Hacker willkommen heißt.
Ursprünglich waren viele dieser Entwickler daran interessiert, Zugangsdaten oder Schlüssel im Zusammenhang mit Kryptowährungs-Wallets zu stehlen. Damit könnten Hacker die digitalen Geldbörsen eines Opfers leeren und schnell Geld verdienen. Viele vermarkten ihre Tools auch heute noch mit der Möglichkeit, Bitcoins zu stehlen und zu besitzen sogar OCR eingeführt um Startphrasen in Bildern zu erkennen. Aber vor kurzem haben dieselben Entwickler und ihre Mitarbeiter herausgefunden, dass alle anderen in einem Browser gespeicherten Daten – zum Beispiel Passwörter für den Arbeitsplatz des Opfers – eine sekundäre Einnahmequelle generieren könnten.
