Anzeige

Cybercrime

Cyberbedrohungen sind für Unternehmen jeder Größe eine reale Gefahr. Insbesondere eCrime-Aktivitäten nehmen an Volumen und Reichweite immer weiter zu.

Allein im letzten Jahr wurden vier von fünf aufgedeckten Angriffen von Cybercrime-Akteuren verübt, also jenen Hackern, die auf vielfältige Art versuchen, mit kriminellen Aktivitäten Einnahmen zu generieren. Ihr Vorgehen entwickeln sie dabei stetig weiter. Das Intelligence-Team von CrowdStrike beobachtet Veränderungen in der eCrime-Wirtschaft genau und hat angesichts des beispiellosen Wachstums von Cybercrime-Aktivitäten vor Kurzem den eCrime-Index (ECX) vorgestellt. Er spiegelt die Stärke, das Volumen und die Raffinesse des Cybercrime-Marktes wider und wird wöchentlich in Echtzeit auf Basis von 18 einzigartigen Indikatoren für kriminelle Aktivitäten aktualisiert. Ein Trend, den die Experten zunehmend beobachten: Access-Broker erhöhen die Preise für gestohlene Zugangsdaten.

Die Rolle der Access-Broker im Ökosystem der Cyberkriminalität 

Access-Broker, das sind Cyberkriminelle, die Zugangsdaten von Unternehmen unterschiedlicher Größe stehlen und diese in Untergrundforen weiterverkaufen, also eine Art Mittelsmann im Ökosystem. Die Zugangsinformationen erhalten sie hierbei meist über handelsübliche Malware, das Ausprobieren von Passwörtern oder das Ausnutzen ungepatchter Sicherheitslücken. Gekauft werden die feilgebotenen Zugangsdaten unter anderem von Ransomware-Akteuren. Sie nutzen den Zugang zum Netzwerk des Opferunternehmens, um Daten zu sammeln und zu verschlüsseln, um dann hohe Lösegeldsummen für Entschlüsselungsschlüssel von ihren Opfern fordern. Zudem haben einige dieser Tätergruppen verstärkt damit begonnen, Daten zu exfiltrieren, um mit der Veröffentlichung von peinlichen oder vertraulichen Informationen zu drohen. Eine Art Backup-Plan, um den Druck zu erhöhen, falls ein Opfer sich weigert zu zahlen.  

Ein Geschäft, das offenbar gut läuft, denn die Preise für Zugangsdaten zu Opfer-Unternehmen in Untergrundforen steigen stetig. Zwar finden die Preisverhandlungen in privaten Kommunikationskanälen statt und sind daher nur unzureichend sichtbar, dennoch zeichnet sich ein starker Trend ab: Hacker sind mittlerweile bereit, sechsstellige Summen für Zugangsdaten von Access Brokern zu bezahlen! Dafür bekommen sie umfangreiche Informationen für ihre Angriffspläne geliefert. Die Access-Broker-Verkaufsinserate, die in Untergrundforen angeboten werden, sind oft ähnlich aufgebaut und versorgen potentielle Käufer-Hacker mit den wichtigsten Eckdaten zum Opfer-Unternehmen. So wird unter anderem der öffentlich ausgewiesene Umsatz, die geschätzte Mitarbeiterzahl oder auch das Geschäftsfeld der Zielorganisation benannt. Zusätzlichen geben Access-Broker auch oft Informationen über die Zugriffsmethode preis, also ob es sich um einen VPN- oder RDP-Zugriff handelt.  

Der letztendliche Preis für die Zugangsdaten wird durch verschiedene Faktoren beeinflusst und setzt sich meist aus dem ausgewiesenen Umsatz des jeweiligen Unternehmens sowie seiner geografischen Stufe zusammen. Folgende drei Geo-Cluster werden vorgenommen: Stufe 1 umfasst die Vereinigten Staaten, Kanada, Australien, Neuseeland und das Vereinigte Königreich. Stufe 2 deckt Europa und Südostasien ab. Der Nahen Osten, Japan und Südkorea gehören zu Stufe 3. 

Lukrative Deals für Access-Broker 

Je nach Art des Zugangs und dem Wert der anvisierten Opfer-Organisation schwanken die Preise: Während die überwiegende Mehrheit der Zugänge zu niedrigen Preisen verkauft wird, erhöhen höherpreisige Angebote den Durchschnittspreis, und das spiegelt sich im ECX wider. In den letzten Monaten hat CrowdStrike Intelligence Preise für Zugangsdaten beobachten können, die von fünfstelligen Beträgen bin hin zu einem Wert von 10 BTC reichten.  

Ein steigender Kaufpreis für den Zugang deutet darauf hin, dass die Cyberkriminellen, für ihre Investitionen eine ordentliche Rendite erhalten. Lösegeldforderungen in zweistelliger Millionenhöhe verdeutlichen wie lukrativ der Markt ist und es ist stark anzunehmen, dass die Preise für den Zugang zu Zielorganisationen weiter steigen werden. Der Access-Broker-Markt boomt - Ein Grund mehr, sich intensiv mit der sich ständig wandelnden Bedrohungslandschaft und ihren Akteuren auseinanderzusetzen, um wirkungsvolle Methoden gegen ihre Tools, Techniken und Prozeduren (TTPs) zu finden.

 
Jörg Schauff, Strategic Threat Intelligence Advisor
Jörg Schauff
Strategic Threat Intelligence Advisor, CrowdStrike

Artikel zu diesem Thema

Hackerangriff
Jul 05, 2021

Hacker-Angriff über IT-Dienstleister trifft zahlreiche Unternehmen

Update 05.07.21, 08:56 Uhr Die Hackergruppe, die am Wochenende hunderte Unternehmen mit…
Cyber Security
Jul 03, 2021

Hohe Sicherheit und einfache Administration schließen sich nicht aus

Die Arbeitswelt in Unternehmen und Behörden wird immer mobiler. Smartphone oder Tablet…

Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.