Anzeige

Cybercrime

Cyberbedrohungen sind für Unternehmen jeder Größe eine reale Gefahr. Insbesondere eCrime-Aktivitäten nehmen an Volumen und Reichweite immer weiter zu.

Allein im letzten Jahr wurden vier von fünf aufgedeckten Angriffen von Cybercrime-Akteuren verübt, also jenen Hackern, die auf vielfältige Art versuchen, mit kriminellen Aktivitäten Einnahmen zu generieren. Ihr Vorgehen entwickeln sie dabei stetig weiter. Das Intelligence-Team von CrowdStrike beobachtet Veränderungen in der eCrime-Wirtschaft genau und hat angesichts des beispiellosen Wachstums von Cybercrime-Aktivitäten vor Kurzem den eCrime-Index (ECX) vorgestellt. Er spiegelt die Stärke, das Volumen und die Raffinesse des Cybercrime-Marktes wider und wird wöchentlich in Echtzeit auf Basis von 18 einzigartigen Indikatoren für kriminelle Aktivitäten aktualisiert. Ein Trend, den die Experten zunehmend beobachten: Access-Broker erhöhen die Preise für gestohlene Zugangsdaten.

Die Rolle der Access-Broker im Ökosystem der Cyberkriminalität 

Access-Broker, das sind Cyberkriminelle, die Zugangsdaten von Unternehmen unterschiedlicher Größe stehlen und diese in Untergrundforen weiterverkaufen, also eine Art Mittelsmann im Ökosystem. Die Zugangsinformationen erhalten sie hierbei meist über handelsübliche Malware, das Ausprobieren von Passwörtern oder das Ausnutzen ungepatchter Sicherheitslücken. Gekauft werden die feilgebotenen Zugangsdaten unter anderem von Ransomware-Akteuren. Sie nutzen den Zugang zum Netzwerk des Opferunternehmens, um Daten zu sammeln und zu verschlüsseln, um dann hohe Lösegeldsummen für Entschlüsselungsschlüssel von ihren Opfern fordern. Zudem haben einige dieser Tätergruppen verstärkt damit begonnen, Daten zu exfiltrieren, um mit der Veröffentlichung von peinlichen oder vertraulichen Informationen zu drohen. Eine Art Backup-Plan, um den Druck zu erhöhen, falls ein Opfer sich weigert zu zahlen.  

Ein Geschäft, das offenbar gut läuft, denn die Preise für Zugangsdaten zu Opfer-Unternehmen in Untergrundforen steigen stetig. Zwar finden die Preisverhandlungen in privaten Kommunikationskanälen statt und sind daher nur unzureichend sichtbar, dennoch zeichnet sich ein starker Trend ab: Hacker sind mittlerweile bereit, sechsstellige Summen für Zugangsdaten von Access Brokern zu bezahlen! Dafür bekommen sie umfangreiche Informationen für ihre Angriffspläne geliefert. Die Access-Broker-Verkaufsinserate, die in Untergrundforen angeboten werden, sind oft ähnlich aufgebaut und versorgen potentielle Käufer-Hacker mit den wichtigsten Eckdaten zum Opfer-Unternehmen. So wird unter anderem der öffentlich ausgewiesene Umsatz, die geschätzte Mitarbeiterzahl oder auch das Geschäftsfeld der Zielorganisation benannt. Zusätzlichen geben Access-Broker auch oft Informationen über die Zugriffsmethode preis, also ob es sich um einen VPN- oder RDP-Zugriff handelt.  

Der letztendliche Preis für die Zugangsdaten wird durch verschiedene Faktoren beeinflusst und setzt sich meist aus dem ausgewiesenen Umsatz des jeweiligen Unternehmens sowie seiner geografischen Stufe zusammen. Folgende drei Geo-Cluster werden vorgenommen: Stufe 1 umfasst die Vereinigten Staaten, Kanada, Australien, Neuseeland und das Vereinigte Königreich. Stufe 2 deckt Europa und Südostasien ab. Der Nahen Osten, Japan und Südkorea gehören zu Stufe 3. 

Lukrative Deals für Access-Broker 

Je nach Art des Zugangs und dem Wert der anvisierten Opfer-Organisation schwanken die Preise: Während die überwiegende Mehrheit der Zugänge zu niedrigen Preisen verkauft wird, erhöhen höherpreisige Angebote den Durchschnittspreis, und das spiegelt sich im ECX wider. In den letzten Monaten hat CrowdStrike Intelligence Preise für Zugangsdaten beobachten können, die von fünfstelligen Beträgen bin hin zu einem Wert von 10 BTC reichten.  

Ein steigender Kaufpreis für den Zugang deutet darauf hin, dass die Cyberkriminellen, für ihre Investitionen eine ordentliche Rendite erhalten. Lösegeldforderungen in zweistelliger Millionenhöhe verdeutlichen wie lukrativ der Markt ist und es ist stark anzunehmen, dass die Preise für den Zugang zu Zielorganisationen weiter steigen werden. Der Access-Broker-Markt boomt - Ein Grund mehr, sich intensiv mit der sich ständig wandelnden Bedrohungslandschaft und ihren Akteuren auseinanderzusetzen, um wirkungsvolle Methoden gegen ihre Tools, Techniken und Prozeduren (TTPs) zu finden.

 
Jörg Schauff, Strategic Threat Intelligence Advisor
Jörg Schauff
Strategic Threat Intelligence Advisor, CrowdStrike

Artikel zu diesem Thema

Hackerangriff
Jul 05, 2021

Hacker-Angriff über IT-Dienstleister trifft zahlreiche Unternehmen

Update 05.07.21, 08:56 Uhr Die Hackergruppe, die am Wochenende hunderte Unternehmen mit…
Cyber Security
Jul 03, 2021

Hohe Sicherheit und einfache Administration schließen sich nicht aus

Die Arbeitswelt in Unternehmen und Behörden wird immer mobiler. Smartphone oder Tablet…

Weitere Artikel

Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.
Phishing

Spear-Phishing-Kampagnen mit gefälschten Kundenbeschwerden

Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, wie Paul Ducklin von Sophos eigenem IT-Security Blog Naked Security beschreibt.
Weihnachten Hacker

Fröhliche Weihnachten: X-Mas Days are Phishing Days

Weihnachten steht vor der Tür und wie jedes Jahr suchen Millionen Menschen im Internet nach den besten Geschenkangeboten für das große Fest. ThycoticCentrify gibt Tipps, wie sie sich gegen die neuesten Betrugsversuche im Netz wappnen können.
Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.