Anzeige

Cybercrime

Cyberbedrohungen sind für Unternehmen jeder Größe eine reale Gefahr. Insbesondere eCrime-Aktivitäten nehmen an Volumen und Reichweite immer weiter zu.

Allein im letzten Jahr wurden vier von fünf aufgedeckten Angriffen von Cybercrime-Akteuren verübt, also jenen Hackern, die auf vielfältige Art versuchen, mit kriminellen Aktivitäten Einnahmen zu generieren. Ihr Vorgehen entwickeln sie dabei stetig weiter. Das Intelligence-Team von CrowdStrike beobachtet Veränderungen in der eCrime-Wirtschaft genau und hat angesichts des beispiellosen Wachstums von Cybercrime-Aktivitäten vor Kurzem den eCrime-Index (ECX) vorgestellt. Er spiegelt die Stärke, das Volumen und die Raffinesse des Cybercrime-Marktes wider und wird wöchentlich in Echtzeit auf Basis von 18 einzigartigen Indikatoren für kriminelle Aktivitäten aktualisiert. Ein Trend, den die Experten zunehmend beobachten: Access-Broker erhöhen die Preise für gestohlene Zugangsdaten.

Die Rolle der Access-Broker im Ökosystem der Cyberkriminalität 

Access-Broker, das sind Cyberkriminelle, die Zugangsdaten von Unternehmen unterschiedlicher Größe stehlen und diese in Untergrundforen weiterverkaufen, also eine Art Mittelsmann im Ökosystem. Die Zugangsinformationen erhalten sie hierbei meist über handelsübliche Malware, das Ausprobieren von Passwörtern oder das Ausnutzen ungepatchter Sicherheitslücken. Gekauft werden die feilgebotenen Zugangsdaten unter anderem von Ransomware-Akteuren. Sie nutzen den Zugang zum Netzwerk des Opferunternehmens, um Daten zu sammeln und zu verschlüsseln, um dann hohe Lösegeldsummen für Entschlüsselungsschlüssel von ihren Opfern fordern. Zudem haben einige dieser Tätergruppen verstärkt damit begonnen, Daten zu exfiltrieren, um mit der Veröffentlichung von peinlichen oder vertraulichen Informationen zu drohen. Eine Art Backup-Plan, um den Druck zu erhöhen, falls ein Opfer sich weigert zu zahlen.  

Ein Geschäft, das offenbar gut läuft, denn die Preise für Zugangsdaten zu Opfer-Unternehmen in Untergrundforen steigen stetig. Zwar finden die Preisverhandlungen in privaten Kommunikationskanälen statt und sind daher nur unzureichend sichtbar, dennoch zeichnet sich ein starker Trend ab: Hacker sind mittlerweile bereit, sechsstellige Summen für Zugangsdaten von Access Brokern zu bezahlen! Dafür bekommen sie umfangreiche Informationen für ihre Angriffspläne geliefert. Die Access-Broker-Verkaufsinserate, die in Untergrundforen angeboten werden, sind oft ähnlich aufgebaut und versorgen potentielle Käufer-Hacker mit den wichtigsten Eckdaten zum Opfer-Unternehmen. So wird unter anderem der öffentlich ausgewiesene Umsatz, die geschätzte Mitarbeiterzahl oder auch das Geschäftsfeld der Zielorganisation benannt. Zusätzlichen geben Access-Broker auch oft Informationen über die Zugriffsmethode preis, also ob es sich um einen VPN- oder RDP-Zugriff handelt.  

Der letztendliche Preis für die Zugangsdaten wird durch verschiedene Faktoren beeinflusst und setzt sich meist aus dem ausgewiesenen Umsatz des jeweiligen Unternehmens sowie seiner geografischen Stufe zusammen. Folgende drei Geo-Cluster werden vorgenommen: Stufe 1 umfasst die Vereinigten Staaten, Kanada, Australien, Neuseeland und das Vereinigte Königreich. Stufe 2 deckt Europa und Südostasien ab. Der Nahen Osten, Japan und Südkorea gehören zu Stufe 3. 

Lukrative Deals für Access-Broker 

Je nach Art des Zugangs und dem Wert der anvisierten Opfer-Organisation schwanken die Preise: Während die überwiegende Mehrheit der Zugänge zu niedrigen Preisen verkauft wird, erhöhen höherpreisige Angebote den Durchschnittspreis, und das spiegelt sich im ECX wider. In den letzten Monaten hat CrowdStrike Intelligence Preise für Zugangsdaten beobachten können, die von fünfstelligen Beträgen bin hin zu einem Wert von 10 BTC reichten.  

Ein steigender Kaufpreis für den Zugang deutet darauf hin, dass die Cyberkriminellen, für ihre Investitionen eine ordentliche Rendite erhalten. Lösegeldforderungen in zweistelliger Millionenhöhe verdeutlichen wie lukrativ der Markt ist und es ist stark anzunehmen, dass die Preise für den Zugang zu Zielorganisationen weiter steigen werden. Der Access-Broker-Markt boomt - Ein Grund mehr, sich intensiv mit der sich ständig wandelnden Bedrohungslandschaft und ihren Akteuren auseinanderzusetzen, um wirkungsvolle Methoden gegen ihre Tools, Techniken und Prozeduren (TTPs) zu finden.

 
Jörg Schauff, Strategic Threat Intelligence Advisor
Jörg Schauff
Strategic Threat Intelligence Advisor, CrowdStrike

Artikel zu diesem Thema

Hackerangriff
Jul 05, 2021

Hacker-Angriff über IT-Dienstleister trifft zahlreiche Unternehmen

Update 05.07.21, 08:56 Uhr Die Hackergruppe, die am Wochenende hunderte Unternehmen mit…
Cyber Security
Jul 03, 2021

Hohe Sicherheit und einfache Administration schließen sich nicht aus

Die Arbeitswelt in Unternehmen und Behörden wird immer mobiler. Smartphone oder Tablet…

Weitere Artikel

TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.
Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.