Access-Broker auf dem Vormarsch

Cyberbedrohungen sind für Unternehmen jeder Größe eine reale Gefahr. Insbesondere eCrime-Aktivitäten nehmen an Volumen und Reichweite immer weiter zu.

Allein im letzten Jahr wurden vier von fünf aufgedeckten Angriffen von Cybercrime-Akteuren verübt, also jenen Hackern, die auf vielfältige Art versuchen, mit kriminellen Aktivitäten Einnahmen zu generieren. Ihr Vorgehen entwickeln sie dabei stetig weiter. Das Intelligence-Team von CrowdStrike beobachtet Veränderungen in der eCrime-Wirtschaft genau und hat angesichts des beispiellosen Wachstums von Cybercrime-Aktivitäten vor Kurzem den eCrime-Index (ECX) vorgestellt. Er spiegelt die Stärke, das Volumen und die Raffinesse des Cybercrime-Marktes wider und wird wöchentlich in Echtzeit auf Basis von 18 einzigartigen Indikatoren für kriminelle Aktivitäten aktualisiert. Ein Trend, den die Experten zunehmend beobachten: Access-Broker erhöhen die Preise für gestohlene Zugangsdaten.

Anzeige

Die Rolle der Access-Broker im Ökosystem der Cyberkriminalität 

Access-Broker, das sind Cyberkriminelle, die Zugangsdaten von Unternehmen unterschiedlicher Größe stehlen und diese in Untergrundforen weiterverkaufen, also eine Art Mittelsmann im Ökosystem. Die Zugangsinformationen erhalten sie hierbei meist über handelsübliche Malware, das Ausprobieren von Passwörtern oder das Ausnutzen ungepatchter Sicherheitslücken. Gekauft werden die feilgebotenen Zugangsdaten unter anderem von Ransomware-Akteuren. Sie nutzen den Zugang zum Netzwerk des Opferunternehmens, um Daten zu sammeln und zu verschlüsseln, um dann hohe Lösegeldsummen für Entschlüsselungsschlüssel von ihren Opfern fordern. Zudem haben einige dieser Tätergruppen verstärkt damit begonnen, Daten zu exfiltrieren, um mit der Veröffentlichung von peinlichen oder vertraulichen Informationen zu drohen. Eine Art Backup-Plan, um den Druck zu erhöhen, falls ein Opfer sich weigert zu zahlen.  

Ein Geschäft, das offenbar gut läuft, denn die Preise für Zugangsdaten zu Opfer-Unternehmen in Untergrundforen steigen stetig. Zwar finden die Preisverhandlungen in privaten Kommunikationskanälen statt und sind daher nur unzureichend sichtbar, dennoch zeichnet sich ein starker Trend ab: Hacker sind mittlerweile bereit, sechsstellige Summen für Zugangsdaten von Access Brokern zu bezahlen! Dafür bekommen sie umfangreiche Informationen für ihre Angriffspläne geliefert. Die Access-Broker-Verkaufsinserate, die in Untergrundforen angeboten werden, sind oft ähnlich aufgebaut und versorgen potentielle Käufer-Hacker mit den wichtigsten Eckdaten zum Opfer-Unternehmen. So wird unter anderem der öffentlich ausgewiesene Umsatz, die geschätzte Mitarbeiterzahl oder auch das Geschäftsfeld der Zielorganisation benannt. Zusätzlichen geben Access-Broker auch oft Informationen über die Zugriffsmethode preis, also ob es sich um einen VPN- oder RDP-Zugriff handelt.  

Der letztendliche Preis für die Zugangsdaten wird durch verschiedene Faktoren beeinflusst und setzt sich meist aus dem ausgewiesenen Umsatz des jeweiligen Unternehmens sowie seiner geografischen Stufe zusammen. Folgende drei Geo-Cluster werden vorgenommen: Stufe 1 umfasst die Vereinigten Staaten, Kanada, Australien, Neuseeland und das Vereinigte Königreich. Stufe 2 deckt Europa und Südostasien ab. Der Nahen Osten, Japan und Südkorea gehören zu Stufe 3. 

Lukrative Deals für Access-Broker 

Je nach Art des Zugangs und dem Wert der anvisierten Opfer-Organisation schwanken die Preise: Während die überwiegende Mehrheit der Zugänge zu niedrigen Preisen verkauft wird, erhöhen höherpreisige Angebote den Durchschnittspreis, und das spiegelt sich im ECX wider. In den letzten Monaten hat CrowdStrike Intelligence Preise für Zugangsdaten beobachten können, die von fünfstelligen Beträgen bin hin zu einem Wert von 10 BTC reichten.  

Ein steigender Kaufpreis für den Zugang deutet darauf hin, dass die Cyberkriminellen, für ihre Investitionen eine ordentliche Rendite erhalten. Lösegeldforderungen in zweistelliger Millionenhöhe verdeutlichen wie lukrativ der Markt ist und es ist stark anzunehmen, dass die Preise für den Zugang zu Zielorganisationen weiter steigen werden. Der Access-Broker-Markt boomt – Ein Grund mehr, sich intensiv mit der sich ständig wandelnden Bedrohungslandschaft und ihren Akteuren auseinanderzusetzen, um wirkungsvolle Methoden gegen ihre Tools, Techniken und Prozeduren (TTPs) zu finden.

 

Jörg Schauff

CrowdStrike -

Strategic Threat Intelligence Advisor

Artikel zu diesem Thema

.

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.