Anzeige

Cybersecurity

Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR).

In den letzten Jahren hat sich die Cyber-Kriminalität weiter organisiert und orientiert sich dabei verstärkt am Vorbild der Geschäftswelt. Fast ein Jahrzehnt lang bot zunächst Malware-as-a-Service den schnellen Einstieg in die Welt des Cybercrime und schon immer waren die verschiedensten Werkzeuge auf dem illegalen Markt: Remote Access Trojaner (RAT), Bot-Netze für den Spam-Versand oder sogar anspruchsvolle Ransomware-Angriffe. Derart ausgestattet können mittlerweile Täter mit geringer technischer Kompetenz selbst komplexe Malware bedienen. Die erzielten Einnahmen werden wie im normalen Wirtschaftsleben unter den verschiedenen Mitwirkenden geteilt: Dann erhält zum Beispiel der Hersteller 40 Prozent und der Rest geht an die Betreiber, welche die Attacke durchführen.

Das vorhandene Ökosystem aus Dienstleistungen und Schadsoftware hat Cyber-Kriminelle dazu angeregt, ihre Arbeitsteilung im industriellen Stil weiterzuführen: Entwickler schreiben den Code, Produktmanager entwerfen die umfassenden Roadmaps und berücksichtigen dabei die Gegenmaßnahmen der Abwehr. Ein technischer Support unterstützt die Anwender in ihrem Tagesgeschäft. Finanziert wird das ganze Geschäftsmodell von den Opfern. In eigener Sache werben die Akteure dann in sozialen Medien oder unter einem Forum-Alias mit den erzielten finanziellen Ergebnissen vergangener Kampagnen, um neue Partner zu rekrutieren.

Kommerzielle Malware-as-a-Service hat leider ihre Leistungsfähigkeit bewiesen. Analysen zeigen, dass der Trend zu Kommerzialisierung im negativen Sinne nachhaltiger und weitreichender ist, als man vermutet: Entwickler und Partner erzielen Einnahmen in Milliardenhöhe. Die Urheber der GandCrab-Ransomware-Attacke gaben zum Beispiel 2019 in Untergrundforen an, mehr als zwei Milliarden US-Dollar von den angegriffenen Unternehmen erpresst zu haben.

Von der kriminellen Malware zum APT-Dienstleister

Vor zwei Jahren haben APT-Söldnergruppen begonnen, ihre Dienste anzubieten. Sie wenden sich an Akteure in wichtigen Positionen, die an anspruchsvollen Angriffsmethoden interessiert sind und möglicherweise mit Regierungen zusammenarbeiten. Diese Gruppen haben IT-Systeme in weiten Teilen Europas sowie in Deutschland im Fokus und nutzen fortschrittliche Taktiken, Techniken und Prozesse (TTPs) für die Spionage sowie den Diebstahl sensibler Informationen.

Die bis dahin unbekannte APT-Gruppe RedCurl attackierte 2018 mehrere Unternehmen aus den Bereichen Banken, Versicherungen, Recht, Bauwesen, Finanzen, Beratung, Einzelhandel und Tourismus. Laut der Analyse der IT-Sicherheitsexperten von Group-IB nutzten die Urheber ein leistungsfähiges Malware-Framework für die Datenexfiltration. Im Sommer 2020 legte Bitdefender die Aktivitäten einer weiteren, professionell agierenden APT-Angreifergruppe offen: Ihr Geschäftsmodell beruhte auf Cyber-Spionage in der Immobilienbranche. Dafür nutzte sie eine bösartige Payload, die sich als Plugin für die beliebte 3D-Computergrafiksoftware Autodesk 3ds Max tarnte. Professionelle Tests des Codes gegen Abwehrlösungen stellten sicher, dass die Malware beim Ausspielen nicht entdeckt wurde.

Die Expertise der hinter solchen Angriffen stehenden Organisationen hebt Cyber-Kriminalität auf ein neues Niveau. APT-Tools zur Spionage sind die Produkte erfahrener Entwickler-Teams, die über hochspezialisierte Kenntnisse verfügen. Diese nutzen für das jeweilige Vorhaben zugeschnittene Toolkits. Sie verhindern zudem, dass sich die Schadsoftware über das eigentliche Angriffsziel hinaus weiter ausbreitet. In der Folge gelangen Anbieter von Abwehrlösungen seltener an eine Kopie der Malware, um diese in Zukunft zu erkennen. Das stellt die Abwehrteams gerade kleinerer und mittlerer Unternehmen vor große Herausforderungen. Herkömmliche Ansätze, Malware dateibasiert zu erkennen, übersehen zum Beispiel polymorphe Malware-Samples und sogenannte Fileless Malware. Living-off-the-Land Taktiken, die zum Beispiel das Remote Desktop Protocol (RDP) oder andere legitime Tools missbrauchen, sind nur schwer festzustellen. Dies macht es kleinen und mittleren Unternehmen und Organisationen sehr schwer, auf diese Gefahren mit der notwendigen Schnelligkeit zu reagieren.

Die meisten Unternehmen verfügen zwar über grundlegende Technologien zum Schutz vor verschiedenen Malware-Arten. Aber die hochentwickelten Werkzeuge der APT-Profis können sich nach Eindringen in das Unternehmensnetzwerk unter dem Radar der Abwehr bewegen und deren Maßnahmen zumindest für eine Weile ausweichen.

Bogdan Botezatu, Director of Threat Research and Reporting
Bogdan Botezatu
Director of Threat Research and Reporting, Bitdefender

Artikel zu diesem Thema

Cyber Security
Nov 20, 2020

Zukunftssicherer Schutz vor Cyberangriffen vom Endgerät bis überall

Im letzten Jahr hat sich die Dynamik eines typischen Unternehmensnetzwerks vermutlich…
Cyber Attack Warning
Sep 19, 2020

Deception halbiert Kosten von Datendiebstahl

Unternehmen, die Deception-Technologien zur Früherkennung von Cyberangriffen einsetzen,…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.
Cyber Security

Cyber-Sicherheit 2021 bis 2025 – „Große Chance verpasst!”

CyberDirekt, eine digitale Vertriebsplattform für Cyber-Versicherungen, zieht anlässlich der Vorstellung des Koalitionsvertrags der zukünftigen Regierungsparteien SPD, Bündnis90/Die Grünen und FDP ein ernüchterndes Fazit. Die deutsche Wirtschaft, Garant für…
Cyber Security

US-Regierung sollte bei Privatwirtschafts-Schutz größere Rolle spielen

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner aktuellen Umfrage vor. Darin wurden die Maßnahmen der US-Bundesregierung zur Verbesserung der Cybersicherheit im Jahr 2021 evaluiert.
Zero Trust

Du kommst hier nicht rein! Das Prinzip ZERO Trust für größtmögliche IT-Sicherheit

Mit dem Prinzip von Zero Trust erreichen Unternehmen ein Sicherheitslevel, das mit klassischen Berechtigungen und Policies in zunehmend verteilten IT-Umgebungen kaum zu erreichen ist.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.