Studie von Trend Micro

Markt für Cyberkriminalität floriert und befördert Ransomware-Angriffe

Uhr
von Nadja Baumgartner und lha

Trend Micro hat eine Studie zur undurchsichtigen Lieferkette der Cyberkriminalität veröffentlicht. Sie zeigt, dass viele cyberkriminelle Märkte unterdessen ihre eigene "Access-as-a-Service"-Sparte aufweisen.

(Source: Towfiqu Barbhuiya / Unsplash)
(Source: Towfiqu Barbhuiya / Unsplash)

Der Anbieter von Cybersicherheitslösungen Trend Micro hat eine neue Studie zur "undurchsichtigen Lieferkette der Cyberkriminalität" publiziert. Die Studie basiere auf der Analyse von mehr als 900 Access-Broker-Listings von Januar bis August 2021 in verschiedenen Cybercrime-Foren. Die Nachfrage in solchen Foren wuchs über die vergangenen zwei Jahre so stark an, dass viele cyberkriminellen Märkte inzwischen ihre eigene "Access-as-a-Service"-Sparte nachweisen und so auch mehr Ransomware-Angriffe befördern.

Das Bildungswesen ist gemäss Analyse mit 36 Prozent der Inserate die am meisten betroffene Branche. Auch die Produktions- und der Dienstleistungssektoren sind beliebt: Auf diese entfallen 11 Prozent der Inserate. Länder wie die USA, Spanien, Deutschland, Frankreich und Grossbritannien kommen ausserdem am häufigsten ins Visier einer geplanten Cyberattacke.

"Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) liegen sollte", sagt Richard Werner, Business Consultant bei Trend Micro. "Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren. Das erschwert häufig den gesamten Incident-Response-Prozess. Gelingt es die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware- Akteuren der Nährboden entzogen werden. Hierfür müssen alle an der IT-Security Beteiligten zusammenarbeiten, denn viele, auch grosse Unternehmen, sind nicht in der Lage, dies aus eigener Kraft zu tun."

Verschiedene Arten von Access Brokern

Die Analyse weist drei Hauptarten von Access Brokern auf:

  • Opportunistische Verkäufer: Diese konzentrieren sich auf den schnellen Profit und sind noch in anderen Bereichen der Cyberkriminalität aktiv, wie Trend Micro schreibt.

  • Dedizierte Broker: Diese Broker seien fortgeschrittene und versierte kriminelle Hacker, die Zugang zu einer Vielzahl an Unternehmen anbieten.

  • Onlineshops: Hier handelt es sich um Onlineshops, die Remote-Desktop-Protocol- (RDP) und Virtual-Private-Network- (VPN) Zugangsdaten anbieten. Sie bieten nur Zugang zu einem einzelnen Rechner, aber nicht zu einem umfassenden Netzwerk oder ganzen Unternehmen. Dafür sind sie besonders für weniger erfahrene Cyberkriminelle geeignet und geben ihnen eine einfache und automatisierte Möglichkeit, um sich Zutritt zu verschaffen. Diese können dabei sogar gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.

Laut Trend Micro enthalten die meisten Access-Broker-Angebote einen einfachen Datensatz an Zugangsinformationen, welche aus verschiedenen Quellen sein könnten. Häufige Herkünfte der Daten seien Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.

Die Preise variieren hinsichtlich der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit. Ein RDP-Zugang könne beispielsweise schon für 10 US-Dollar gekauft werden, während die Preise für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar liegen.

Trend Micro empfiehlt folgende Security-Strategien zur Abwehr von Cyberattacken:

  • Öffentlich bekannte Sicherheitsvorfälle überwachen;

  • Alle Benutzerpasswörter zurücksetzen, wenn der Verdacht besteht, dass Unternehmenszugangsdaten gefährdet sein könnten;

  • Multi-Faktor-Authentifizierung (MFA) nutzen;

  • Nach Anomalien im Nutzerverhalten Ausschau halten;

  • Auf die Demilitarisierte Zone (DMZ) achten und berücksichtigen, dass internetgestützte Dienste wie VPN, Webmail und Webserver ständigen Angriffen ausgesetzt sind;

  • Eine Netzwerk- sowie Mikrosegmentierung implementieren;

  • Bewährte Passwortrichtlinien umsetzen;

  • Und zu guter letzt sollten mögliche Betroffene nach dem Zero-Trust-Prinzip verfahren.

Die vollständigen Ergebnisse zur Studie sind online einsehbar.

Eine weitere Befragung von Trend Micro zeigt übrigens, dass das Risiko für Cyberangriffe im vergangenen Jahr gestiegen ist. Hier können Sie mehr darüber lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_240441