Zweifelhafte Datensätze im Dark Web: Warum Combolists und ULP-Dateien oft keine verlässlichen Hinweise auf Sicherheitsvorfälle liefern

Eine aktuelle Untersuchung des Cybersicherheitsunternehmens Group-IB wirft ein kritisches Licht auf die im Dark Web kursierenden Combolists und sogenannten ULP-Dateien (URL-Login-Password). Unter dem Titel „Combolists and ULP Files on the Dark Web: A Secondary and Unreliable Source of Information about Compromises“ kommen die Analysten zu einem klaren Ergebnis: Der Großteil dieser Datensätze besteht aus überholten, wiederverwendeten oder automatisch generierten Informationen, die kaum Aussagekraft über tatsächliche Sicherheitsverletzungen haben.

Trotzdem werden solche Listen häufig als sogenannte Stealer-Logs ausgegeben – also als direkte Ergebnisse von Schadsoftware, die Zugangsdaten aus kompromittierten Systemen ausliest. Dieses Etikett soll den Eindruck von Exklusivität und Aktualität erwecken, doch in den meisten Fällen handelt es sich um ein Täuschungsmanöver. Ziel ist es, sowohl ahnungslose Käufer als auch Forscher zu täuschen und den vermeintlichen Wert der Daten künstlich in die Höhe zu treiben.

Warum das wichtig ist:

Da Cybersicherheitsanalysten und Medien häufig Alarm schlagen, weil angeblich „Milliarden neuer Anmeldedaten” online auftauchen, warnt Group-IB davor, diese Dateien als direkten Beweis für neue Sicherheitsverletzungen zu interpretieren. Der Bericht argumentiert, dass diese Übertreibungen zu einer Alarmmüdigkeit führen können, die Reaktionsfähigkeit der Öffentlichkeit auf echte Bedrohungen verringern und unser Verständnis der Bedrohungslage verzerren können.

Zu den wichtigsten Ergebnissen gehören:

• Über 90 % der Combolist-/ULP-Daten stammen aus früheren Datenlecks und sind keine neuen Kompromittierungen.
• Verkäufer wie „AlienTXT“ verpacken alte oder automatisch generierte Daten neu und präsentieren sie als exklusives Material zu Sicherheitsverletzungen.
• ULP- und Combolist-Dateien weisen nicht die kontextuelle Integrität echter Stealer-Protokolle auf (z. B. IP-Adressen, Browsersitzungen und Systeminformationen).
• Falsche Beschriftungen und künstliche Aufblähung von Behauptungen zu Sicherheitsverletzungen sind in Dark-Web-Ökosystemen, insbesondere auf Telegram, weit verbreitet.

Diese Analyse enthält detaillierte Fallstudien, darunter eine Analyse des „Datenimperiums“ von AlienTXT, die zeigt, wie scheinbar neue Datenlecks oft auf Sicherheitsverletzungen aus dem Jahr 2011 zurückzuführen sind. Sie enthält auch einen überzeugenden Aufruf zum Handeln: Cybersicherheitsteams sollten ihren Fokus von Datenaggregatoren auf die Identifizierung der ursprünglichen Sicherheitslücken verlagern, um Echtzeit-Bedrohungsinformationen mit hoher Genauigkeit zu erhalten.

Was ist eine Combolist?

Eine sogenannte Combolist ist eine Textdatei, die sensible Zugangsdaten enthält – in der Regel Kombinationen aus E-Mail-Adressen, Benutzernamen und Passwörtern. Diese Daten liegen entweder im Klartext oder in verschlüsselter Form (Hash) vor und sind häufig im Format „E-MAIL:PASSWORT“ strukturiert, beispielsweise: example@email[.]com:Password1234.

Solche Listen kursieren vor allem in einschlägigen Darknet-Foren oder werden über Plattformen wie Telegram gehandelt und verbreitet. Sie dienen häufig als Grundlage für sogenannte Credential-Stuffing-Angriffe, bei denen automatisiert versucht wird, mit den gestohlenen Daten auf Nutzerkonten zuzugreifen.

Grafiken / Quelle: Group-IB

Was ist eine ULP-Datei?

ULP ist eine Textdatei mit Benutzeranmeldeinformationen, die combolist sehr ähnlich ist, aber der Hauptunterschied im ULP besteht darin, dass sie auch die URL für seine Verwendung enthält, wie zum Beispiel: Websitename[.]com\login:EXAMPLE@EMAIL[.]COM:PASSWORD1234.

ULP-Dateien werden in der Regel auch über Telegram und Dark-Web-Foren beworben und verteilt, wie in den folgenden Screenshots gezeigt.

Grafiken / Quelle: Group-IB

Was ist ein Infostealer-Log?

Ein Infostealer-Log ist ein Datensatz, der Informationen enthält, die durch Infostealer-Malware von einem infizierten Benutzergerät erfasst wurden. Diese Malware sammelt vertrauliche Daten vom Gerät des Nutzers, darunter Anmeldeversuche auf verschiedenen Webseiten, das Erfassen und Speichern von Webseiten-URLs sowie Zugangsdaten wie Benutzernamen, E-Mail-Adressen und Passwörter. Ein typisches Infostealer-Log sieht beispielsweise so aus:

Warum Combolists und ULP-Dateien nicht mit Infostealer-Protokollen verwechselt werden sollten

Im Dark Web sowie in Artikeln von Cybersicherheitsforschern und -experten kommt es häufig zu Verwirrung, wenn die Inhalte von ULP und Combolist als Infostealer-Protokolle bezeichnet werden oder wenn berichtet wird, dass die Daten aus diesen Quellen stammen. Dies ist nicht immer der Fall.

Die Verwirrung zwischen ULP-Dateien, Combo-Listen und Infostealer-Protokollen im Dark Web entsteht durch ein Missverständnis ihrer Herkunft und ihres Inhalts. Im folgenden Abschnitt klären wir, warum Daten aus Combo-Listen häufig fälschlicherweise als Infostealer-Protokolle identifiziert werden.

ULP-Datei ≠ Infostealer-Protokoll

Warum es verwirrend ist:

• ULP ist ein Format, das einige Infostealer tatsächlich verwenden, um Benutzeranmeldeinformationen zu speichern.

Aber:

• Nicht jede ULP-Datei wird aus einem Infostealer-Protokoll erstellt.
• Ein ULP kann einfach ein konvertierter Dump aus einer anderen Quelle sein, anstatt ein „sauberes“ Infostealer-Protokoll.

Wirklichkeit:

Wenn ein „Infostealer-Protokoll“ in Form einer ULP-Datei zum Verkauf angeboten wird, garantiert dies nicht, dass die Daten aktuell sind oder dass sie direkt von einem infizierten Gerät gestohlen wurden.

Warum Combolists und ULP-Dateien unzuverlässige Indikatoren für eine Kompromittierung sind

Combolists und ULP-Dateien gelten als unzuverlässige Hinweise auf tatsächliche Kompromittierungen – vor allem aufgrund ihrer Herkunft und Struktur. Sie stellen in der Regel sekundäre und oft unzuverlässige Quellen kompromittierter Informationen dar.

Problem 1: Sekundärquellen mit geringer Aussagekraft

Combolists und ULP-Dateien basieren meist auf bereits kompromittierten Daten – etwa aus Datenbanklecks oder Infostealer-Protokollen – die anschließend vielfach dupliziert und in verschiedenen Listen weiterverarbeitet wurden. Solche Listen zirkulieren unkontrolliert und werden ständig neu erstellt, oft ohne Kontext oder Überprüfung. Dadurch verlieren die enthaltenen Informationen an Verlässlichkeit und Aussagekraft.

Problem 2: Geringe Datenqualität und künstlich erzeugte Inhalte

Der Inhalt vieler Combolists und ULP-Dateien ist qualitativ minderwertig. Sie können automatisch generierte oder gefälschte Datensätze enthalten, die mit echten Informationen vermischt sind. Häufig werden Zugangsdaten fälschlich als gültig für bestimmte Dienste ausgewiesen – eine Annahme, die sich bei näherer Prüfung oft als falsch erweist.

Schlussfolgerung

Es mangelt nicht an Artikeln, die auf die enorme Menge an Benutzerdaten hinweisen, die in Combolists und ULP-Dateien kursieren. Gleichzeitig haben zahlreiche Berichte berechtigterweise Zweifel an der Qualität, Aktualität und Glaubwürdigkeit dieser Daten geäußert. Der Zyklus aus reißerischen Schlagzeilen und anschließenden Faktenchecks scheint sich endlos zu wiederholen.

Es ist zu erwarten, dass weiterhin Forscher auf minderwertige Quellen wie Telegram-Kanäle oder Darknet-Foren zurückgreifen werden – Plattformen, die regelmäßig mit spektakulären Behauptungen über „Milliarden kompromittierter Datensätze“ Aufmerksamkeit erzeugen. Doch jedes Mal müssen dieselben kritischen Fragen gestellt werden:
Was ist das für eine Sammlung? Sind die Daten aktuell? Sind sie verlässlich?

Die Namen ändern sich ständig – von AlienTXT und Naz.Api hin zu neuen Bezeichnungen wie „Mutter der ComboLists“, „Vater der ULP-Dateien“, „16-Milliarden-Leak aus rekordverdächtigem Datenvorfall“ oder „Threat Actor X Collection“.

Zweifellos kann es tatsächlich vorkommen, dass umfangreiche, bislang nicht öffentlich bekannte Datensätze kompromittiert und veröffentlicht werden. Doch dieses Szenario spiegelt nicht die Realität der Mehrheit jener Telegram-Kanäle und Darknet-Akteure wider, die solche Daten angeblich bereitstellen.

Manche mögen einwenden: „Ihr habt nur schlechte Quellen untersucht – es gibt auch gute.“
Das ist korrekt – es existieren qualitativ hochwertige Quellen, und Group-IB beobachtet sie aufmerksam. Doch wie dieser Bericht zeigt, ändert auch das nichts am grundlegenden Charakter von Combolists und ULP-Dateien: Sie bleiben sekundäre und häufig unzuverlässige Datenquellen. Deshalb ist ein gesunder Zweifel stets angebracht.

Vor diesem Hintergrund appellieren die Analysten von Group-IB an die Cybersicherheits-Community, sich nicht mit dem bloßen Sammeln und Weiterverbreiten dubioser Datensätze zu begnügen. Stattdessen sollte der Fokus stärker auf der Identifikation der tatsächlichen Ursprünge von Datenlecks liegen – den echten Kompromittierungspunkten. Denn aufbereitete Daten allein, so professionell sie auch erscheinen mögen, ersetzen keine fundierte Analyse der Quelle.

Quelle: Group-IB

---