Lesezeit
1 Minute
Markt für Access-as-a-Service-Cyberkriminalität floriert
Eine neu erschienene Studie hat sich auf die undurchsichtige Lieferkette
der Cyberkriminalität fokussiert, die für die derzeitige Zunahme
von Ransomware-Angriffen maßgeblich ist: Initial-Access-Broker,
die gerade auch in Deutschland stark vertreten sind. Sie beschaffen den Zugang zur Unternehmens-IT und lassen sich das auch versilbern.
Laut Trend Micro richtet sich im Zusammenhang mit den stark vermehrten Ransomware-Angriffen das öffentliche Hauptaugenmerk vor allem auf den Payload der Attacken –
sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten. Zur effizienten Verteidigung der Unternehmens-IT sollte die Aufmerkssamkeit nach Einschätzung des Security-Anbieters aber vorher einsetzen. Sie sollte sich vor allem auch der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) widmen, die zur Vorbereitung der Erpressungen die Unternehmensnetzwerkzugänge stehlen und verkaufen.
mh
[1] www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/investigating-the-emerging-access-as-a-service-market
Um sich ein umfassendes Bild der IAB-Szene zu verschaffen, analysierte Trend Micro zwischen Januar und August 2021 über 900 Access-Broker-Listings in verschiedenen englisch- und russischsprachigen Cybercrime-Foren. Laut der Studie [1] zählen die Vereinigten Staaten, Spanien, Deutschland, Frankreich und Großbritannien zu den am stärksten betroffenen Ländern. In Deutschland ist die Fertigungsbranche mit 28 Prozent der Angebote am meisten betroffen, knapp gefolgt vom Bildungswesen mit 26 Prozent. Letzteres ist global gesehen mit 36 Prozent der Inserate mit Abstand die am meisten betroffene Branche. Es verzeichnet damit mehr als die dreifache Zahl von Angeboten wie die Produktion und der Dienstleistungssektor als mit jeweils elf Prozent zweit- und dritthäufigste Zielbranchen.
Daneben identifiziert der Bericht drei Hauptarten von Access Brokern: Zum einen die "opportunistischen Verkäufer", die sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind. Daneben soll es sich bei den "dedizierten Brokern" um fortgeschrittene und versierte Hacker handeln, die Zugang zu einer Vielzahl an Unternehmen anbieten. Nicht zuletzt stellen darüber hinaus kriminelle Online-Shops Remote-Desktop-Protocol-(RDP)- und Virtual-Private-Network-(VPN)-Zugangsdaten bereit – zu einzelnen Rechnern.
Dabei sollen die meisten IAB-Angebote einen einfachen Datensatz an Zugangsinformationen beinhalten, die aus verschiedenen Quellen stammen können. Häufige Ursprünge der Daten seien vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.
Die Preise variieren abhängig von der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit. Während ein RDP-Zugang bereits für zehn Dollar erworben werden kann, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar. Bei besonders attraktiven Opfern können die Preise bis zu 100.000 Dollar betragen.
Daneben identifiziert der Bericht drei Hauptarten von Access Brokern: Zum einen die "opportunistischen Verkäufer", die sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind. Daneben soll es sich bei den "dedizierten Brokern" um fortgeschrittene und versierte Hacker handeln, die Zugang zu einer Vielzahl an Unternehmen anbieten. Nicht zuletzt stellen darüber hinaus kriminelle Online-Shops Remote-Desktop-Protocol-(RDP)- und Virtual-Private-Network-(VPN)-Zugangsdaten bereit – zu einzelnen Rechnern.
Dabei sollen die meisten IAB-Angebote einen einfachen Datensatz an Zugangsinformationen beinhalten, die aus verschiedenen Quellen stammen können. Häufige Ursprünge der Daten seien vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.
Die Preise variieren abhängig von der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit. Während ein RDP-Zugang bereits für zehn Dollar erworben werden kann, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar. Bei besonders attraktiven Opfern können die Preise bis zu 100.000 Dollar betragen.
mh
[1] www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/investigating-the-emerging-access-as-a-service-market