Im Jahr 2023 sind die gefährlichsten Daten im Dark Web nicht Kreditkarten — es sind Stealer Logs. Stealer Logs sind strukturierte Datenpakete, die von Infostealer-Malware (Redline, Raccoon, Vidar, META, Lumma) von infizierten Geräten gesammelt werden. Jedes Log enthält gespeicherte Passwörter aus allen Browsern, Session-Cookies, Autofill-Daten, Kreditkartennummern, Kryptowallet-Seed-Phrasen und einen Screenshot des Geräts. Das Log von einem infizierten Unternehmens-Laptop kann einem Angreifer die Schlüssel zu Ihrer gesamten Organisation geben.

Im Gegensatz zu traditionellen Datenverletzungen, die Millionen von Datensätzen auf einmal durchsickern lässt, stellt Stealer Logs die unmittelbarste und taktischste Bedrohung für die Unternehmenssicherheit dar. Ein einzelnes kompromittiertes Gerät ist die Angriffsfläche.

Was genau ist in einem Stealer Log enthalten

Stealer Logs sind strukturierte, maschinenlesbare Datenexporte, die für Angreifer konzipiert sind. Hier ist, was ein typisches Log enthält:

Gespeicherte Browser-Passwörter — Alle in Chrome, Firefox, Edge, Safari und anderen Browsern gespeicherten Passwörter. Diese umfassen Anmeldedaten für Unternehmenssysteme, E-Mail, Cloud-Dienste und interne Tools.

Session-Cookies — Die kritischste Komponente. Session-Cookies ermöglichen es Angreifern, direkt auf Webanwendungen zuzugreifen, ohne Passwörter zu benötigen. Ein gestohlenes Cookie aus einer authentifizierten Slack-Sitzung eines Benutzers gewährt vollständigen Zugriff auf Unternehmens-Slack, wobei MFA vollständig umgangen wird.

Gespeicherte Kreditkarten — Vollständige PAN (Primäre Kontonummer), CVV, Verfallsdaten und Karteninhaber-Namen. Nicht verschlüsselt, im Klartext im Browser-Speicher gespeichert.

Autofill-Formulardaten — Name, Adresse, Telefonnummer, Geburtsdatum und gespeicherte Formularantworten. Diese Daten sind wertvoll für Identitätsdiebstahl und Kontowiederherstellungsmanipulation.

E-Mail-Anmeldedaten — Gespeicherte Gmail-, Outlook-, Yahoo- und Unternehmens-E-Mail-Anmeldedaten. E-Mail-Zugriff ist der Master-Key — er gewährt Passwort-Resets über alle verknüpften Dienste.

VPN- und RDP-Anmeldedaten — Falls im Browser-Autofill oder Passwort-Managern gespeichert, ermöglichen VPN- und Remote-Desktop-Protokoll-Anmeldedaten direkten Netzwerkzugriff ohne normale Authentifizierung.

SSH-Schlüssel und Zertifikate — Falls im Browser gespeichert oder in die Zwischenablage kopiert, gewähren diese Serverzugriff. Im Browser gespeicherte Git-Anmeldedaten sind besonders gefährlich.

Kryptowallet-Seed-Phrasen — Falls in Browser-Erweiterungen oder Autofill gespeichert, gewähren diese direkten Zugriff auf Krypto-Vermögen.

Screenshots — Eine visuelle Aufzeichnung des Geräts zum Infektionszeitpunkt, die den Desktop des Benutzers, offene Anwendungen und Browsing-Verlauf zeigt. Screenshots offenbaren, was der Benutzer tat und alle sichtbaren sensiblen Daten.

Systeminformationen — Betriebssystemversion, installierte Software, Antivirenstatus und Hardwarespezifikationen. Diese Informationen helfen Angreifern, den besten Exploitationspfad zu identifizieren.

Das Infostealer-Malware-Ökosystem

Infostealer sind einige der am weitesten verbreiteten Malware-Familien in der freien Natur. Das Ökosystem ist Self-Service, kostengünstig und sehr effizient:

Wie Infostealer verbreitet werden — Benutzer werden infiziert durch:

• Malvertising (böswillige Anzeigen auf legitimen Websites)
• Gefälschte Software-Downloads ("gecrackte" Software, Spielhacks, Dienstprogramme)
• Phishing-E-Mails mit bösartigen Anhängen oder Links
• Bösartige Browser-Erweiterungen
• Trojanisierte GitHub-Repositories und npm-Pakete
• Drive-by-Downloads von kompromittierten Websites

Redline Stealer als Dienstleistung — Für 100–150 Dollar pro Monat kann jeder Zugriff auf Redline-Stealer-Infrastruktur mieten. Keine technischen Fähigkeiten erforderlich. Der Angreifer gibt an, welche Passwort-Manager und Browser zu zielen sind, und Redline kümmert sich um den Rest.

Marktplatz-Infrastruktur — Frische Stealer Logs werden täglich auf Telegram-Kanälen, Darknet-Märkten und privaten Hacking-Foren beworben. Logs werden nach Kontowert bewertet:

• Generische Consumer-Logs: 10–50 Dollar
• Business-E-Mail-Logs (@company.com): 200–2.000 Dollar
• Admin-/privilegierte Logs: 5.000–50.000+ Dollar

CloudySky und Russian Market dienen als primäre Verteilungshubs für Stealer Logs. Telegram-Kanäle wie "@stealerlogs" und private Gemeinschaften operieren offen, mit Verkäufern, die mehrmals täglich neue Dumps posten.

Warum Stealer Logs katastrophal für Unternehmen sind

Ein einzelnes kompromittiertes Gerät führt zu einer organisationsweiten Sicherheitskatastrophe:

Ein Mitarbeiter lädt ein gefälschtes Dienstprogramm herunter → gesamte Unternehmensinfrastruktur kompromittiert — Der Mitarbeiter lädt unwissentlich herunter, was wie ein Produktivitäts-Tool oder Spielhack aussieht. Der Infostealer läuft stillschweigend und erntet alle gespeicherten Passwörter. Der Angreifer hat nun Anmeldedaten für:

• Microsoft 365 / Azure AD
• Jira, Confluence, GitHub
• Salesforce, HubSpot
• Slack, Microsoft Teams
• AWS, GCP oder Azure
• VPN, RDP und interne Tools

Session-Cookie-Diebstahl umgeht MFA vollständig — Ein Browser eines Opfers enthält aktive Session-Cookies für Salesforce, Slack und ihre Unternehmens-E-Mail. Diese Cookies sind gültig für Stunden oder Tage. Ein Angreifer kann diese Cookies direkt wiedergeben und erhält sofortigen Zugriff ohne MFA-Herausforderung.

Der 2022er Uber-Bruch begann mit Stealer Logs — Lapsus$ kaufte Stealer-Log-Daten mit den Anmeldedaten eines Uber-Contractors. Mit diesen Anmeldedaten griff Lapsus$ auf Ubers interne Systeme zu, eskalierte Privilegien und setzte Ransomware ein. Die gesamte Angriffskette wurde durch ein einzelnes gestohlenes Stealer Log ermöglicht.

Business-E-Mail-Kompromiss und seitliche Bewegung — Mit E-Mail-Zugriff können Angreifer:

• Passwörter für andere Konten zurücksetzen (E-Mail ist das Master-Konto)
• Auf sensible E-Mails und Anhänge zugreifen
• Den Benutzer in Phishing-Angriffen gegen Kollegen darstellen
• Zugangsanfragen, Zahlungsgenehmigungen oder sensible Systemänderungen genehmigen
• Sich seitwärts über die Vertrauens- und Berechtigungen des gestohlenen Benutzers bewegen

Privilegien-Eskalation — Stealer Logs enthalten oft Anmeldedaten für:

• Admin-Konten und Service-Konten
• Cloud-Konsolen-Zugriff (AWS, Azure, GCP)
• Datenbank-Anmeldedaten
• VPN mit erhöhtem Zugriff

Wie Angreifer Stealer Logs Weaponize

Einmal erhalten, werden Stealer Logs durch mehrere Angriffsvektoren waffengefährt:

Cookie-Replay-Angriffe — Der Angreifer extrahiert Session-Cookies und importiert sie in ihren Browser oder verwendet Tools wie "Cookie Editor" zum Abspielen authentifizierter Sitzungen. Sofortiger Zugriff auf Webanwendungen, kein Passwort erforderlich, keine MFA-Herausforderung.

Anmeldedaten-Tests und Validierung — Passwörter aus Stealer Logs werden gegen mehrere Dienste getestet (interne Portale, Cloud-Plattformen, Konkurrenten-Plattformen). Gültige Anmeldedaten werden getrennt und an andere Angreifer verkauft oder für weitere Kompromisse verwendet.

Business-E-Mail-Kompromiss (BEC) — Mit Postfach-Zugriff führen Angreifer CEO-Betrug, Rechnungsbetrug, Drahtbetrug oder Datenexfiltration per E-Mail durch.

Privilegien-Eskalation mit gefundenen Admin-Anmeldedaten — Admin-Passwörter oder Service-Konto-Anmeldedaten werden sofort verwendet, um auf sensible Systeme zuzugreifen, Benutzerberechtigungen zu ändern, Hintertüren zu installieren oder Daten zu exfiltrieren.

Ransomware-Bereitstellung — RDP-, VPN- oder Cloud-Anmeldedaten von Stealer Logs bieten direkten Eingang zu internen Netzwerken. Angreifer stellen Ransomware, Wiper-Malware ein oder führen Hands-on-Keyboard-Angriffe mit vollständigem Infrastruktur-Zugriff durch.

Anmeldedaten-Kette und Pivoting — Ein Stealer Log gewährt Zugriff auf die E-Mail eines Benutzers. E-Mail-Zugriff setzt das VPN-Passwort zurück. VPN-Zugriff gewährt Netzwerkzugriff. Netzwerkzugriff bietet Zugriff auf den Dateiserver. Ein Log wird zu einer vollständigen Kette-Kompromittierung.

Erkennung Ihrer Unternehmensexposition in Stealer-Log-Märkten

Stealer Logs mit den Daten Ihrer Organisation werden jeden einzelnen Tag aktiv auf dem Dark Web gehandelt.

DarkVault überwacht kontinuierlich Stealer-Log-Märkte durch:

• Überwachung von Stealer-Log-Marktplatz-Feeds — Telegram-Kanäle, Discord-Server und Darknet-Marktplatz-Feeds, die stündlich neue Stealer Logs veröffentlichen.

• Parsing von Log-Metadaten — Stealer Logs sind strukturierte Daten. Jedes Log enthält E-Mail-Adressen, Domänennamen, Softwareversionen und Systeminformationen. DarkVault analysiert diese Felder und gleicht sie gegen Ihre Unternehmens-E-Mail-Domain, Cloud-Provider und bekannte interne Systeme ab.

• Echtzeit-Domain-Matching — Wenn ein Stealer Log @yourdomain.com E-Mail-Adressen enthält, erhalten Sie sofortige Benachrichtigungen.

• Geräte-Fingerabdruck innerhalb von Logs — Logs können anhand von Systemmerkmalen (Hostname, installierte Software, MAC-Adresse) kreuzverwiesen werden, um zu identifizieren, welche bestimmten Mitarbeiter kompromittiert sind und ob mehrere Logs vom gleichen Gerät stammen.

• Tracking der Log-Abstammung — Einmal erkannt, DarkVault verfolgt, ob es weitergegeben, neu geteilt oder in nachfolgenden Angriffen über Dark-Web-Gemeinschaften verwendet wurde.

Response-Playbook, wenn Sie Ihre Daten in Stealer Logs finden

Wenn die Daten Ihres Unternehmens in Stealer Logs erscheinen, ist Geschwindigkeit kritisch. Das Fenster zwischen Entdeckung und Angreifer-Weaponisierung ist typischerweise 24–72 Stunden.

Unmittelbar (0–4 Stunden):

1. Alle Sitzungen für betroffene Benutzer aufheben — Erzwinge Logout aus allen aktiven Sitzungen. Dies macht Session-Cookies, die vom Angreifer gehalten werden, wertlos.

2. Neuauthentifizierung erzwingen — Verlangen Sie, dass sich der betroffene Benutzer erneut mit MFA anmeldet. Alle gestohlenen Session-Cookies sind nun nutzlos.

3. Alle im Log gefundenen Anmeldedaten rotieren — Nicht nur E-Mail-Passwort, sondern auch VPN, RDP, Cloud-Konsolen-Zugriff, Service-Konto-Passwörter und alle anderen im Log sichtbaren Anmeldedaten. Gehen Sie davon aus, dass alle Anmeldedaten von diesem Gerät kompromittiert sind.

4. Überprüfe SIEM auf Indikatoren für Kompromiss — Suche nach:

   • Fehlgeschlagene Login-Versuche von ungewöhnlichen IP-Adressen
   • Erfolgreiche Anmeldungen von geografisch unmöglichen Orten
   • Zugriff auf sensible Systeme oder Datenbanken
   • Große Datenübertragungen oder ungewöhnliche Dateizugriffsmuster
   • Berechtigungsänderungen oder neue Benutzererstellung

5. Gehen Sie davon aus, dass alle von diesem Gerät gespeicherten Anmeldedaten kompromittiert sind — Das Stealer Log ist nicht das einzige Angriffs-Artefakt. Das Gerät selbst kann noch infiziert sein. Gehen Sie davon aus, dass der Angreifer seit Tagen oder Wochen Zugriff hatte, bevor das Log erfasst wurde.

Nachverfolgung (4–24 Stunden):

1. Inspizieren Sie das infizierte Gerät — Scannen Sie mit mehreren Antivirus-Engines, überprüfen Sie Browser-Erweiterungen, überprüfen Sie, dass keine Persistenzmechanismen bleiben, erwägen Sie eine vollständige Neuabbildung.

2. Überwachen Sie das E-Mail-Postfach auf ungewöhnliche Zugriffe — Überprüfen Sie auf E-Mail-Weiterleitungsregeln, App-Autorisierungen, Berechtigungsänderungen oder ungewöhnliche Login-Aktivität.

3. Überprüfen Sie Cloud-Konsolen-Audit-Logs — AWS CloudTrail, Azure-Audit-Logs oder GCP Cloud Audit Logs auf API-Aufrufe von ungewöhnlichen IPs oder Kontexten.

4. Benachrichtigen Sie alle verknüpften Benutzer — Falls das kompromittierte Konto Zugriff auf freigegebene Ressourcen (Slack-Arbeitsbereiche, GitHub-Repos, Cloud-Projekte) gewährt wurde, benachrichtigen Sie diese Teams.

Erfahren Sie, ob die Stealer-Log-Daten Ihrer Mitarbeiter bereits zum Verkauf stehen — Dark-Web-Stealer-Log-Märkte sind 24/7 aktiv. Entdecken Sie innerhalb von Stunden, ob Ihre Unternehmensdomäne in frischen Logs auftaucht.

Häufig gestellte Fragen

Wie unterscheiden sich Stealer Logs von regulären Datenverletzungen?

Reguläre Datenverletzungen setzen Millionen von Datensätzen aus der Datenbank eines Unternehmens in einem einzigen Ereignis frei (z.B. "10 Millionen Benutzer-Datensätze durchgesickert"). Stealer Logs setzen Daten von einzelnen Geräten frei und werden kontinuierlich in kleinen Chargen verkauft. Stealer Logs enthalten aktive Session-Cookies und Browser-Anmeldedaten, was sie sofort bewaffnungsbar macht. Ein einzelnes Stealer Log kann wertvoller sein als eine gesamte Datenbankbruch, weil es sofortigen authentifizierten Zugriff gewährt.

Kann Antivirus Infostealer-Malware erkennen?

Die meisten großen Antivirus-Anbieter erkennen häufige Infostealer wie Redline und Raccoon. Erkennung ist jedoch nicht garantiert, und viele Benutzer führen Antivirus nicht aus. Zusätzlich sind einige Malware-Familien polymorph (ständig ihr Aussehen verändernd) oder werden als neue Varianten verkauft, bevor Antivirus-Signaturen veröffentlicht werden. Anzunehmen, dass Antivirus allein Infektion verhindert, ist ein kritischer Fehler.

Wie oft werden neue Stealer Logs veröffentlicht?

Neue Stealer Logs werden mehrmals pro Stunde, 24/7, auf Dark-Web-Märkten und Telegram-Kanälen veröffentlicht. Tausende von frischen Logs erscheinen täglich. Falls Ihr Unternehmen ein mittleres Ziel ist, ist es statistisch wahrscheinlich, dass die Anmeldedaten Ihrer Mitarbeiter bereits in Stealer Logs sind und jetzt zum Verkauf stehen.