Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Stealer Logs: Wenn Ihre Mitarbeiter-Passwörter im Darknet verkauft werden - Cybersicherheit und digitaler Schutz
Threat Intelligence

Stealer Logs: Wenn Ihre Mitarbeiter-Passwörter im Darknet verkauft werden

Stealer-Malware stiehlt täglich Millionen von Zugangsdaten aus Unternehmensumgebungen - und verkauft sie im Darknet. Was sind Stealer Logs, wie funktioniert das Angreiferökosystem, und wie erkennen Unternehmen ob sie betroffen sind?

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
Aktualisiert: 19. März 2026 10 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Stealer-Malware entwendet täglich Millionen von Zugangsdaten aus Unternehmensumgebungen und verkauft diese als sogenannte Stealer Logs im Darknet. Eine Analyse von 50 deutschen Mittelstandsunternehmen zeigte, dass 34 davon aktive Stealer-Log-Treffer aufwiesen, was bedeutet, dass Mitarbeiter-Zugangsdaten auf Darknet-Marktplätzen verfügbar waren. Diese Logs enthalten sensible Informationen wie Passwörter für VPNs, Microsoft 365 oder AWS und werden von Initial Access Brokern oder Ransomware-Gruppen für Netzwerkeinbrüche genutzt. Unternehmen können durch Threat Intelligence Monitoring, wie es Dienste wie Recorded Future oder Flare anbieten, erkennen, ob ihre Zugangsdaten betroffen sind.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).

Inhaltsverzeichnis (7 Abschnitte)

In unserem Tool wurdeichgehackt.de ist der Stealer-Log-Check einer der wichtigsten Checks - und einer der mit den überraschendsten Ergebnissen. Bei einer Analyse von 50 deutschen Unternehmen des Mittelstands: 34 von 50 hatten aktive Stealer-Log-Treffer - also Zugangsdaten ihrer Mitarbeiter in Darknet-Marktplätzen.

Was sind Stealer Logs?

Stealer Logs sind strukturierte Datensätze, die Infostealer-Malware von infizierten Geräten extrahiert und an Angreifer sendet. Ein typischer Stealer Log enthält:

{
  "timestamp": "2024-11-15T03:22:41Z",
  "victim_ip": "185.xxx.xxx.xxx",
  "country": "DE",
  "computer_name": "LAPTOP-HANS-MUELLER",
  "username": "hmüller",
  "os": "Windows 11 Pro",
  "browser_passwords": [
    {
      "url": "https://login.microsoftonline.com",
      "username": "h.müller@company.de",
      "password": "Sommer2023!"
    },
    {
      "url": "https://vpn.company.de",
      "username": "hmüller",
      "password": "Sommer2023!"
    },
    {
      "url": "https://app.aws.amazon.com",
      "username": "hmüller@company.de",
      "password": "Aws_company_2024"
    }
  ],
  "cookies": ["session_id=...", "auth_token=..."],
  "crypto_wallets": [...],
  "credit_cards": [...],
  "screenshots": ["screenshot_20241115_032201.png"]
}

In 2-3 Sekunden auf dem Gerät des Opfers - dann ab in den C2-Server des Angreifers.

Das Infostealer-Ökosystem

Infostealer sind heute ein professionalisiertes kriminelles Geschäftsmodell:

Stealer-as-a-Service

Die bekanntesten Infostealer werden als Malware-as-a-Service (MaaS) vermietet:

StealerMonatliche KostenBesonderheit
Lumma Stealer250-1.000 $Größter Marktanteil 2024, Anti-Sandbox
RedLine Stealer150-200 $Einfach zu deployen, Telegram-C2
Vidar130-200 $Breite Browserunterstützung
Raccoon Stealer200 $/MonatMaaS mit Web-Panel
Stealc200 $/Monat2023 neu, wächst schnell
RisePro150-300 $/MonatEDR-Bypass-Fähigkeiten

Kriminelle "kaufen" oder "mieten" den Stealer, betreiben eigene Spam-Kampagnen oder kaufen Traffic, und verkaufen die gesammelten Logs weiter.

Vertriebskanäle: Log Markets

Gestohlene Logs werden auf spezialisierten Darknet-Marktplätzen verkauft:

  • Russian Market (größter Log-Marktplatz)
  • Genesis Market (2023 von FBI/Europol abgeschaltet, Nachfolger existieren)
  • 2easy Shop
  • Telegram-Kanäle (direkter Verkauf zwischen Angreifern)

Preise: Ein einzelner Log mit Corporate VPN-Zugangsdaten: 5-50 $. Logs mit Finanzinstitut-Zugangsdaten: bis 200 $. Logs mit Admin-Zugangsdaten: 500 $+.

Wer kauft Stealer Logs?

  • Initial Access Brokers (IABs): Kaufen Logs, prüfen ob Zugangsdaten noch gültig, verkaufen "aktiven Zugang" teurer weiter an Ransomware-Gruppen
  • Ransomware-Gruppen: Kaufen Corporate Access (VPN, RDP, Cloud) für Netzwerkeinbruch
  • BEC-Angreifer: Suchen E-Mail-Zugangsdaten für CEO-Fraud
  • Nation-State-Gruppen: Nutzen gestohlene Credentials für Spionage

Der Log von Mitarbeiter Hans Müller kann in 24 Stunden bei einer Ransomware-Gruppe landen.

Wie infiziert sich ein Gerät?

Vektor 1: Fake Software-Downloads

Suchanzeigen bei Google für "Free Photoshop", "KMSPico Windows Aktivierung", "Crack AutoCAD" - die Links führen zu infizierten Downloadern. Der Nutzer installiert "die Software", aber gleichzeitig läuft der Stealer.

Vektor 2: Malvertising

Bösartige Werbeanzeigen in normalen Nachrichtenwebseiten. Beim Besuch ohne Ad-Blocker: Drive-by-Download. Kein Klick nötig (bei ungepatchten Browsern).

Vektor 3: Phishing-Anhänge

Klassisch: E-Mail mit PDF-Anhang → PDF öffnet sich → Makro lädt Stealer nach.

Vektor 4: Gefälschte Browser-Erweiterungen

Chrome Extension "Kostenloser VPN" aus inoffiziellem Store → extrahiert gespeicherte Passwörter direkt aus Browser-Datenbank.

Vektor 5: Piraterie und Cracked Software

Auf BYOD-Geräten (eigene Geräte die auch für Arbeit genutzt werden): Private Nutzung mit Raubkopien → Stealer auf Gerät → Corporate-Credentials kompromittiert.

Was Angreifer mit den Logs machen

Zeitplan nach Kompromittierung:

Tag 0:   Stealer-Log verkauft/weitergegeben
Tag 1-3: IAB prüft Credentials: VPN noch aktiv? MFA vorhanden?
Tag 3-7: Wenn kein MFA: direkter Login in VPN, M365, AWS
         Lateral Movement im Netzwerk (3-14 Tage)
Tag 7-21: Persistenz installiert, Daten exfiltriert
Tag 21+: Ransomware-Deployment ODER leiser Verbleib für Spionage

Oder: Credentials werden für Monate "gelagert" und zu einem günstigen Zeitpunkt genutzt (z.B. wenn Sicherheits-Team abgelenkt ist).

Wie erkennen Sie ob Ihr Unternehmen betroffen ist?

1. Threat Intelligence Monitoring

Professionelle Dienste monitoren Darknet-Marktplätze und benachrichtigen Unternehmen bei Treffern:

  • Recorded Future (Enterprise)
  • Flare (Mid-Market)
  • SpyCloud (Corporate Account Takeover Prevention)
  • KELA (Darknet Intelligence)
  • Have I Been Pwned Enterprise (HIBP für Domains)

2. Eigene Analyse via wurdeichgehackt.de

Unser kostenloser Domain-Check analysiert bekannte Stealer-Log-Datenbanken auf Ihre Unternehmens-Domain - und zeigt Ihnen sofort ob und wie viele Ihrer Mitarbeiter-E-Mails in bekannten Logs auftauchen.

3. Interne Indicators of Compromise (IoCs)

Hinweise auf aktiven Stealer:

  • Antivirus-Alarm der ignoriert oder als FP abgetan wurde
  • Unbekannte Prozesse (PowerShell, Wscript.exe) in Autostart
  • Ungewöhnliche Netzwerkverbindungen in Stunden der Nacht
  • Neue Browsererweiterungen die niemand installiert hat

Sofortmaßnahmen bei Stealer-Log-Treffern

1. SOFORT: Alle Passwörter der betroffenen Accounts ändern
   Besonders: VPN, M365/Google Workspace, Cloud-Portale, GitHub/GitLab

2. SOFORT: MFA für alle Accounts prüfen und aktivieren
   (TOTP-basiert oder FIDO2 - nicht SMS)

3. INNERHALB 24h: EDR-Scan des Mitarbeiter-Geräts
   → Stealer noch aktiv? Persistence vorhanden?

4. INNERHALB 24h: Session-Tokens invalidieren
   → Alle aktiven Sitzungen beenden (auch die des Angreifers)

5. INNERHALB 48h: Log-Analyse
   → Gibt es Hinweise auf Logins mit gestohlenen Credentials?
   → Anomale Zugriffszeiten, Geo-Anomalien?

6. INNERHALB 1 Woche: Interne Kommunikation
   → Betroffenen Mitarbeiter informieren (nicht beschuldigen)
   → Gerät neu aufsetzen

Prävention: Was dauerhaft schützt

Technisch:

  • MFA überall - Stealer Logs sind wertlos wenn MFA den Zugang blockiert
  • Conditional Access - Login nur von verwalteten, compliant-Geräten
  • Browser-Isolierung - Passwörter im Enterprise-Passwortmanager, nicht im Browser
  • EDR auf allen Endgeräten - Stealer wird erkannt bevor er Daten sendet
  • DNS-Filterung - Verbindungen zu bekannten Stealer-C2-Infrastrukturen blockieren

Organisatorisch:

  • BYOD-Richtlinie - klare Regeln welche Geräte auf Corporate-Ressourcen zugreifen dürfen
  • Security Awareness Training - Fake-Downloads, Phishing, "kostenlose" Software
  • Passwort-Manager - kein Browser-basierter Passwort-Speicher für Corporate Accounts

Die unbequeme Wahrheit: Solange Mitarbeiter Corporate-Credentials in ihren Browsern speichern und BYOD-Geräte ohne MDM nutzen, sind Stealer Logs unvermeidlich. MFA ist die einzige Maßnahme die den Schaden trotzdem begrenzt.

Erfahren Sie jetzt ob Ihre Domain in aktuellen Stealer-Log-Datenbanken auftaucht. Unser kostenloser Check analysiert Ihre Unternehmens-Domain in Sekunden - kein Account nötig.

Domain-Check starten

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

E-Mail
PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAV