Eine neue Studie von Trend Micro beleuchtet die undurchsichtige Lieferkette der Cyberkriminalität, die für die derzeitige Zunahme von Ransomware-Angriffen maßgeblich ist. Die Nachfrage wuchs über die letzten zwei Jahre stark an, sodass viele cyberkriminelle Märkte inzwischen ihre eigene „Access-as-a-Service“-Sparte aufweisen.
Die Studie basiert auf der Analyse von mehr als 900 Access-Broker-Listings von Januar bis einschließlich August 2021 in verschiedenen englisch- und russischsprachigen Cybercrime-Foren. Dabei ist weltweit mit 36 Prozent der Inserate das Bildungswesen die am meisten betroffene Branche. Es verzeichnet damit mehr als die dreifache Zahl von Angeboten wie die zweit- und dritthäufigsten Zielbranchen: Auf die Produktion und den Dienstleistungssektor entfallen jeweils 11 Prozent.
Zu den am stärksten betroffenen Ländern zählen die Vereinigten Staaten, Spanien, Deutschland, Frankreich und Großbritannien. In Deutschland ist die Fertigungsbranche mit 28 Prozent der Angebote am meisten betroffen, knapp gefolgt vom Bildungswesen mit 26 Prozent.
Der Bericht zeigt drei Hauptarten von Access Brokern auf:
- Opportunistische Verkäufer, die sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind.
- Dedizierte Broker sind fortgeschrittene und versierte Hacker, die Zugang zu einer Vielzahl an Unternehmen anbieten. Ihre Dienste werden häufig von kleineren Ransomware-Akteuren und -Gruppen in Anspruch genommen.
- Online-Shops, die Remote-Desktop-Protocol (RDP)- und Virtual-Private-Network (VPN)-Zugangsdaten anbieten. Diese spezialisierten Shops gewährleisten nur den Zugang zu einem einzelnen Rechner, nicht aber zu einem umfassenden Netzwerk oder ganzen Unternehmen.
Jedoch eröffnen sie dadurch weniger erfahrenen Cyberkriminellen eine einfache und automatisierte Möglichkeit, um sich Zutritt zu verschaffen. Diese können dabei sogar gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.
Die meisten Access-Broker-Angebote beinhalten einen einfachen Datensatz an Zugangsinformationen, welche aus verschiedenen Quellen stammen können. Häufige Ursprünge der Daten sind vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.
Die Preise variieren abhängig von der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit.
Während ein RDP-Zugang bereits für zehn Dollar erworben werden kann, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8.500 Dollar. Bei besonders attraktiven Opfern können die Preise bis zu 100.000 Dollar betragen.
Zur Abwehr empfiehlt Trend Micro folgende Security-Strategien:
- Überwachen Sie öffentlich bekannte Sicherheitsvorfälle.
- Setzen Sie alle Benutzerpasswörter zurück, wenn der Verdacht besteht, dass Unternehmenszugangsdaten gefährdet sein könnten.
- Nutzen Sie Multi-Faktor-Authentifizierung (MFA).
- Halten Sie nach Anomalien im Nutzerverhalten Ausschau.
- Achten Sie auf Ihre Demilitarisierte Zone (DMZ) und berücksichtigen Sie, dass internetgestützte Dienste wie VPN, Webmail und Webserver ständigen Angriffen ausgesetzt sind.
- Implementieren Sie eine Netzwerk- sowie Mikrosegmentierung.
- Setzen Sie bewährte Passwortrichtlinien um.
- Verfahren Sie nach dem Zero-Trust-Prinzip.
„Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) liegen sollte“, betont Richard Werner, Business Consultant bei Trend Micro.
„Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren. Das erschwert häufig den gesamten Incident-Response-Prozess. Gelingt es die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware-Akteuren den Nährboden entzogen werden.“