Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Stealer Logs: Wenn Ihre Mitarbeiter-Passwörter im Darknet verkauft werden - Cybersicherheit und digitaler Schutz
Threat Intelligence

Stealer Logs: Wenn Ihre Mitarbeiter-Passwörter im Darknet verkauft werden

Stealer-Malware stiehlt täglich Millionen von Zugangsdaten aus Unternehmensumgebungen - und verkauft sie im Darknet. Was sind Stealer Logs, wie funktioniert das Angreiferökosystem, und wie erkennen Unternehmen ob sie betroffen sind?

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
10 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Stealer-Malware entwendet täglich Millionen von Zugangsdaten aus Unternehmensumgebungen und verkauft diese als sogenannte Stealer Logs im Darknet. Eine Analyse von 50 deutschen Mittelstandsunternehmen zeigte, dass 34 davon aktive Stealer-Log-Treffer aufwiesen, was bedeutet, dass Mitarbeiter-Zugangsdaten auf Darknet-Marktplätzen verfügbar waren. Diese Logs enthalten sensible Informationen wie Passwörter für VPNs, Microsoft 365 oder AWS und werden von Initial Access Brokern oder Ransomware-Gruppen für Netzwerkeinbrüche genutzt. Unternehmen können durch Threat Intelligence Monitoring, wie es Dienste wie Recorded Future oder Flare anbieten, erkennen, ob ihre Zugangsdaten betroffen sind.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (7 Abschnitte)

In unserem Tool wurdeichgehackt.de ist der Stealer-Log-Check einer der wichtigsten Checks - und einer der mit den überraschendsten Ergebnissen. Bei einer Analyse von 50 deutschen Unternehmen des Mittelstands: 34 von 50 hatten aktive Stealer-Log-Treffer - also Zugangsdaten ihrer Mitarbeiter in Darknet-Marktplätzen.

Was sind Stealer Logs?

Stealer Logs sind strukturierte Datensätze, die Infostealer-Malware von infizierten Geräten extrahiert und an Angreifer sendet. Ein typischer Stealer Log enthält:

{
  "timestamp": "2024-11-15T03:22:41Z",
  "victim_ip": "185.xxx.xxx.xxx",
  "country": "DE",
  "computer_name": "LAPTOP-HANS-MUELLER",
  "username": "hmüller",
  "os": "Windows 11 Pro",
  "browser_passwords": [
    {
      "url": "https://login.microsoftonline.com",
      "username": "h.müller@company.de",
      "password": "Sommer2023!"
    },
    {
      "url": "https://vpn.company.de",
      "username": "hmüller",
      "password": "Sommer2023!"
    },
    {
      "url": "https://app.aws.amazon.com",
      "username": "hmüller@company.de",
      "password": "Aws_company_2024"
    }
  ],
  "cookies": ["session_id=...", "auth_token=..."],
  "crypto_wallets": [...],
  "credit_cards": [...],
  "screenshots": ["screenshot_20241115_032201.png"]
}

In 2-3 Sekunden auf dem Gerät des Opfers - dann ab in den C2-Server des Angreifers.

Das Infostealer-Ökosystem

Infostealer sind heute ein professionalisiertes kriminelles Geschäftsmodell:

Stealer-as-a-Service

Die bekanntesten Infostealer werden als Malware-as-a-Service (MaaS) vermietet:

StealerMonatliche KostenBesonderheit
Lumma Stealer250-1.000 $Größter Marktanteil 2024, Anti-Sandbox
RedLine Stealer150-200 $Einfach zu deployen, Telegram-C2
Vidar130-200 $Breite Browserunterstützung
Raccoon Stealer200 $/MonatMaaS mit Web-Panel
Stealc200 $/Monat2023 neu, wächst schnell
RisePro150-300 $/MonatEDR-Bypass-Fähigkeiten

Kriminelle “kaufen” oder “mieten” den Stealer, betreiben eigene Spam-Kampagnen oder kaufen Traffic, und verkaufen die gesammelten Logs weiter.

Vertriebskanäle: Log Markets

Gestohlene Logs werden auf spezialisierten Darknet-Marktplätzen verkauft:

  • Russian Market (größter Log-Marktplatz)
  • Genesis Market (2023 von FBI/Europol abgeschaltet, Nachfolger existieren)
  • 2easy Shop
  • Telegram-Kanäle (direkter Verkauf zwischen Angreifern)

Preise: Ein einzelner Log mit Corporate VPN-Zugangsdaten: 5-50 $. Logs mit Finanzinstitut-Zugangsdaten: bis 200 $. Logs mit Admin-Zugangsdaten: 500 $+.

Wer kauft Stealer Logs?

  • Initial Access Brokers (IABs): Kaufen Logs, prüfen ob Zugangsdaten noch gültig, verkaufen “aktiven Zugang” teurer weiter an Ransomware-Gruppen
  • Ransomware-Gruppen: Kaufen Corporate Access (VPN, RDP, Cloud) für Netzwerkeinbruch
  • BEC-Angreifer: Suchen E-Mail-Zugangsdaten für CEO-Fraud
  • Nation-State-Gruppen: Nutzen gestohlene Credentials für Spionage

Der Log von Mitarbeiter Hans Müller kann in 24 Stunden bei einer Ransomware-Gruppe landen.

Wie infiziert sich ein Gerät?

Vektor 1: Fake Software-Downloads

Suchanzeigen bei Google für “Free Photoshop”, “KMSPico Windows Aktivierung”, “Crack AutoCAD” - die Links führen zu infizierten Downloadern. Der Nutzer installiert “die Software”, aber gleichzeitig läuft der Stealer.

Vektor 2: Malvertising

Bösartige Werbeanzeigen in normalen Nachrichtenwebseiten. Beim Besuch ohne Ad-Blocker: Drive-by-Download. Kein Klick nötig (bei ungepatchten Browsern).

Vektor 3: Phishing-Anhänge

Klassisch: E-Mail mit PDF-Anhang → PDF öffnet sich → Makro lädt Stealer nach.

Vektor 4: Gefälschte Browser-Erweiterungen

Chrome Extension “Kostenloser VPN” aus inoffiziellem Store → extrahiert gespeicherte Passwörter direkt aus Browser-Datenbank.

Vektor 5: Piraterie und Cracked Software

Auf BYOD-Geräten (eigene Geräte die auch für Arbeit genutzt werden): Private Nutzung mit Raubkopien → Stealer auf Gerät → Corporate-Credentials kompromittiert.

Was Angreifer mit den Logs machen

Zeitplan nach Kompromittierung:

Tag 0:   Stealer-Log verkauft/weitergegeben
Tag 1-3: IAB prüft Credentials: VPN noch aktiv? MFA vorhanden?
Tag 3-7: Wenn kein MFA: direkter Login in VPN, M365, AWS
         Lateral Movement im Netzwerk (3-14 Tage)
Tag 7-21: Persistenz installiert, Daten exfiltriert
Tag 21+: Ransomware-Deployment ODER leiser Verbleib für Spionage

Oder: Credentials werden für Monate “gelagert” und zu einem günstigen Zeitpunkt genutzt (z.B. wenn Sicherheits-Team abgelenkt ist).

Wie erkennen Sie ob Ihr Unternehmen betroffen ist?

1. Threat Intelligence Monitoring

Professionelle Dienste monitoren Darknet-Marktplätze und benachrichtigen Unternehmen bei Treffern:

  • Recorded Future (Enterprise)
  • Flare (Mid-Market)
  • SpyCloud (Corporate Account Takeover Prevention)
  • KELA (Darknet Intelligence)
  • Have I Been Pwned Enterprise (HIBP für Domains)

2. Eigene Analyse via wurdeichgehackt.de

Unser kostenloser Domain-Check analysiert bekannte Stealer-Log-Datenbanken auf Ihre Unternehmens-Domain - und zeigt Ihnen sofort ob und wie viele Ihrer Mitarbeiter-E-Mails in bekannten Logs auftauchen.

3. Interne Indicators of Compromise (IoCs)

Hinweise auf aktiven Stealer:

  • Antivirus-Alarm der ignoriert oder als FP abgetan wurde
  • Unbekannte Prozesse (PowerShell, Wscript.exe) in Autostart
  • Ungewöhnliche Netzwerkverbindungen in Stunden der Nacht
  • Neue Browsererweiterungen die niemand installiert hat

Sofortmaßnahmen bei Stealer-Log-Treffern

1. SOFORT: Alle Passwörter der betroffenen Accounts ändern
   Besonders: VPN, M365/Google Workspace, Cloud-Portale, GitHub/GitLab

2. SOFORT: MFA für alle Accounts prüfen und aktivieren
   (TOTP-basiert oder FIDO2 - nicht SMS)

3. INNERHALB 24h: EDR-Scan des Mitarbeiter-Geräts
   → Stealer noch aktiv? Persistence vorhanden?

4. INNERHALB 24h: Session-Tokens invalidieren
   → Alle aktiven Sitzungen beenden (auch die des Angreifers)

5. INNERHALB 48h: Log-Analyse
   → Gibt es Hinweise auf Logins mit gestohlenen Credentials?
   → Anomale Zugriffszeiten, Geo-Anomalien?

6. INNERHALB 1 Woche: Interne Kommunikation
   → Betroffenen Mitarbeiter informieren (nicht beschuldigen)
   → Gerät neu aufsetzen

Prävention: Was dauerhaft schützt

Technisch:

  • MFA überall - Stealer Logs sind wertlos wenn MFA den Zugang blockiert
  • Conditional Access - Login nur von verwalteten, compliant-Geräten
  • Browser-Isolierung - Passwörter im Enterprise-Passwortmanager, nicht im Browser
  • EDR auf allen Endgeräten - Stealer wird erkannt bevor er Daten sendet
  • DNS-Filterung - Verbindungen zu bekannten Stealer-C2-Infrastrukturen blockieren

Organisatorisch:

  • BYOD-Richtlinie - klare Regeln welche Geräte auf Corporate-Ressourcen zugreifen dürfen
  • Security Awareness Training - Fake-Downloads, Phishing, “kostenlose” Software
  • Passwort-Manager - kein Browser-basierter Passwort-Speicher für Corporate Accounts

Die unbequeme Wahrheit: Solange Mitarbeiter Corporate-Credentials in ihren Browsern speichern und BYOD-Geräte ohne MDM nutzen, sind Stealer Logs unvermeidlich. MFA ist die einzige Maßnahme die den Schaden trotzdem begrenzt.

Erfahren Sie jetzt ob Ihre Domain in aktuellen Stealer-Log-Datenbanken auftaucht. Unser kostenloser Check analysiert Ihre Unternehmens-Domain in Sekunden - kein Account nötig.

Domain-Check starten

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung