Botnetz Pony stiehlt 2 Millionen Login-Daten

Was ist schlimmer: 2 Millionen Passwörter zu finden, die von Bots zusammengetragen wurden, oder festzustellen, dass die Mehrzahl dieser gestohlenen Passwörter unglaublich schwach ist? Die Experten von Trustwave haben kürzlich einen weiteren Pony Botnetz-Kontroller entdeckt, der etwa 2 Millionen gestohlene Registrierungsdaten für Websites, E-Mail-Postfächer und auch FTP-, RDP- und SSH-Accounts managt. Die meisten dieser Login-Daten ermöglichen den Zugriff auf populäre Webdienste, wie etwa Facebook, Google, Twitter, Yahoo und LinkedIn. Die gefundene Datenbank enthält zudem in etwa 8.000 Passwörter zu Konten des Personaladministrations-Unternehmens ADP, das Finanzbuchhaltungs- und HR-Software anbietet.

„Eine solche Domain-Mischung ist durchaus natürlich“, kommentieren Daniel Chechik und Anat Davidi, Experten bei Trustwave SpiderLabs, „erstaunlich ist allerdings, dass diese Domain [adp.com] in der Liste nur den neunten Platz einnimmt. Facebook-Profile sind eine schöne Beute für Cyberkriminelle, doch die Accounts von Lohnbuchungsservices versprechen einen direkten finanziellen Vorteil“.

Pony ist das Interface der Administrationssteuerung des Botnetzes. Er ist mit einem Steuerungspaneel mit Zugriff auf Aktivitätsprotokolle und Infektionsstatistiken ausgestattet und ermöglicht eine Inventarisierung des Gestohlenen sowie die Verwaltung dieser Daten. Da Anfang des laufenden Jahres die Quellcodes des Pony-Kontrollers ins Netz schwappten, sind solche Kontroller und ihre Spielarten online deutlich häufiger anzutreffen.

Nach Angaben von SpiderLabs trägt der neuste Fund des Unternehmens deutlich russische Charakterzüge – unter den gestohlenen Informationen sind viele Anmeldedaten für „Odnoklassniki“ und „Vkontakte“, die russischen Entsprechungen zu „Stay Friends“ und „Facebook“. Laut Statistik bedient dieser Kontroller Verbindungen aus mehr als 100 Ländern. Die meisten dieser Kontaktaufnahmen kommen aus den Niederlanden, doch da ihre Quelle ein und dieselbe IP-Adresse ist, vermuten die Experten, dass er als Gateway zwischen den infizierten Rechnern und dem C&C-Server fungiert, der in eben diesem Land seinen Standort hat.

„Cyberkriminelle verwenden häufig Reverse Proxys, um den C&C-Server vor Entdeckung und Blockierung zu schützen“, erklären Chechik und Davidi. „Der von den infizierten Computern ausgehende Traffic spiegelt lediglich die Verbindung mit dem Proxy-Server wider, der im Falle der Entdeckung problemlos ausgetauscht werden kann. Ein solches Verhalten ist an sich interessant, doch aus diesem Grund waren wir nicht in Lage, genauere Informationen über die Ziele in den angegriffenen Ländern zu erhalten“.

Der massenhafte Diebstahl von Registrierungsdaten (über 318.000 Facebook-Accounts, um die 60.000 von Yahoo und etwa 54.400 Google-Accounts) ist allein schon eine unangenehme Sache, doch nach einer Analyse der gestohlenen Passwörter entdeckten die Spezialisten zudem, dass – was in höchstem Maße vorhersehbar war –die meisten von ihnen äußerst schwach waren. Wie sich herausstellte, werden in hunderttausenden dieser Schlüssel nur zwei Zeichentypen verwendet – Zahlen oder Buchstaben. Am häufigsten anzutreffen ist die Folge 123456; sieben Positionen der Тор 10 der häufigsten Passwörter beginnen mit 123. Ebenfalls unter den ersten Zehn waren „password”, „admin” und 111111.

Der Grad der Komplexität der gestohlenen Passwörter lässt ebenfalls zu wünschen übrig. Spider Labs stufte 34% von ihnen als unbefriedigend ein: Sie sind kurz und verwenden nur einen Zeichentyp oder eine weit verbreitete Kombination. Auf die guten und starken Kennwörter entfielen 22%; das sind die Passwörter, die mindestens drei verschiedene Zeichentypen verwenden. „Leider erwiesen sich solche Kennwörter als am beliebtesten, die dem Chef Ihrer IT-Abteilung keinesfalls gefallen würden“, resümieren die Experten.

Quellen:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.