Jedes zweite Gerät mit Redline-Infostealer infiziert

2023 waren rund zehn Millionen Geräte betroffen. Dabei war die Malware Redline für die Hälfte der von den Experten für Digital Footprint Intelligence im Untersuchungszeitraum entdeckten Infektionen verantwortlich. Zugleich nimmt ihre Vielfalt zu: Neue Malware-Familien für waren mehr als ein Viertel aller Infostealer-Infektionen verantwortlich.

Infostealer infizieren Geräte, um sensible Anmeldeinformationen zu stehlen und im Darknet zu verbreiten. Die beliebteste Domain für Infostealer-Aktivitäten war 2023 „.com“ mit fast 326 Millionen Accountdaten, gefolgt von Brasilien mit 28 Millionen und Indien mit acht Millionen. Die deutsche Domain belegte mit rund 2,7 Millionen Account-Kompromittierungen den 19. Platz. Weltweit wurden in den vergangenen fünf Jahren Zugangsdaten von 443.000 Webseiten kompromittiert.

Die Malware Redline zeichnete sich für 55 Prozent der Infostealer-Angriffe verantwortlich. Zu den verbreitetsten der insgesamt rund 100 verschiedenen entdeckten Infostealer-Arten im Untersuchungszeitraum zählten Vidar mit 17 Prozent und Raccoon mit knapp 12 Prozent. Bei über sechs Prozent aller datenstehlenden Infektionen handelte es sich um die neue Lumma-Malware.

„Lumma entstand 2022 und wurde 2023 durch die Verbreitung als Malware-as-a-Service (MaaS) populär. Das bedeutet jeder Kriminelle kann auch ohne große technische Fähigkeiten ein Abo für eine vorgefertigte schädliche Lösung kaufen und diesen Stealer für Cyberangriffe benutzen. Lumma wurde hauptsächlich entwickelt, um Zugangsdaten und andere Informationen aus Krypto-Wallets zu stehlen und verbreitet sich meist über E-Mail, Youtube und Spam-Kampagnen auf Discord“, erklärt Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.

Obwohl 2023 im Vergleich zum Vorjahr insgesamt neun Prozent weniger Protokolldateien entdeckt wurden, lässt dies nicht auf eine gesunkene Nachfrage nach Passwörtern und Benutzernamen schließen. Cyberkriminelle könnten Zugänge, die 2023 gestohlen wurden, erst dieses Jahr im Darknet handeln, weshalb die Gesamtanzahl kompromittierter Accountinformationen im Jahr 2023 nach Schätzungen der Kaspersky-Experten ungefähr 16 Millionen betragen dürfte.

„Der Wert von Protokolldateien mit Zugangsdaten im Darknet hängt davon ab, wie attraktiv die Daten sind und wie sie dort verkauft werden. Anmeldeinformationen können über einen Abo-Service mit regelmäßigen Uploads, einen sogenannten ‚Aggregator‘ für spezifische Anfragen oder über einen ‚Shop‘, der kürzlich erworbene Login-Daten exklusiv an ausgewählte Interessenten verkauft, veräußert werden. Die Preise in diesen Shops starten typischerweise bei 10 US-Dollar pro Protokolldatei. Account-Leaks sind eine große Bedrohung, weil Cyberkriminelle hierdurch Angriffsarten wie unbefugten Zugang zum Diebstahl, Social Engineering oder Identitätsdiebstahl ausführen können“, kommentiert Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.