Eine neue Art von Einbruch: Verkauf von Zugangsdaten im Darknet

Zugang zu verkaufen! Diese Art von Anzeige ist im Darknet zu finden – als würde jemand den Schlüssel zu seinem Haus verkaufen. Mit dem Zugang werden technologische Mittel zum Einbruch in Unternehmensnetzwerke verkauft. Ein krimineller Markt, der von Jahr zu Jahr beliebter wird. Dies führt dazu, dass die Unterscheidung zwischen erfahrenen und weniger erfahrenen Hackern immer unschärfer wird. Und auch die Bedrohungen, die an die Tür von Unternehmen klopfen, werden immer häufiger und gefährlicher.

Positive Technologies hat die Entwicklung dieses Marktes von 2020 bis Anfang 2021 und die Auswirkungen des Wachstums bewertet. Es wurden die zehn beliebtesten russischen und englischen Foren im Darknet analysiert, die Zugang zu Unternehmensnetzwerken anbieten. Insgesamt gibt es in diesen Communities mehr als acht Millionen registrierte Nutzer, mehr als sieben Millionen Threads und mehr als 80 Millionen gepostete Nachrichten.

Wir stellten fest, dass die Zahl der Anzeigen von Quartal zu Quartal zunahm. Dabei verkauften die meisten Anzeigen den Zugang zu Unternehmensnetzwerken, die bereits gehackt worden waren. Es wurden 707 neue Anzeigen gefunden, siebenmal so viele wie 2019. Allein im ersten Quartal 2021 wurden 590 neue Anzeigen entdeckt. Das Volumen der Anzeigen, in denen Partner und Hacker zum Anheuern gesucht werden, ist ebenfalls gestiegen. Das ist wahrscheinlich auf die Ausweitung von Ransomware-Programmen zurückzuführen.

Eine weitere Erkenntnis der Studie ist, dass sich im ersten Quartal 2021 die Zahl der Nutzer, die Anzeigen für den Kauf oder Verkauf von Zugängen oder Zusammenarbeit aufgeben, im Vergleich zum Vorjahreszeitraum verdreifacht hat.

Der Gesamtwert der Verkäufe von Netzwerkzugängen für Unternehmen im Darknet erreichte vierteljährlich 600.000 US-Dollar. Da die Zahl der Angebote steigt und sich der kumulative Wert der Verkäufe leicht verändert, folgt daraus, dass der Durchschnittspreis für den Zugang sinkt. Aufgeschlüsselt nach Anteilen und Werten zeigt die Studie, dass zwischen 2017 und dem ersten Quartal 2020 der Anteil der Anzeigen, die für weniger als 1.000 US-Dollar angeboten wurden, 15 % betrug. Im Zeitraum zwischen dem zweiten Quartal 2020 und dem ersten Quartal 2021 erreichte er 45 %. Der Anteil der teureren Anzeigen mit einem Preis von mehr als 5.000 US-Dollar ist im gleichen Zeitraum um fast die Hälfte gesunken.

Positive Technologies zufolge bieten billigere Zugänge in der Regel nicht viele Privilegien. Sie würden von unerfahrenen Cyberkriminellen oder solchen, die Angst haben, Angriffe durchzuführen, angeboten. Abgesehen von den Privilegien variieren die Kosten für den Zugang in der Regel in Abhängigkeit von der Anzahl der gefährdeten Computer, der Größe und des Umsatzes des Unternehmens, das zum Opfer wird sowie seiner Branche.

Der Markt für den Verkauf von Zugangsdaten hat auch eine neue Berufskategorie für Kriminelle eröffnet: die der Access Miner. Durchschnittliche oder unerfahrene Hacker, die nicht in der Lage sind, Angriffe auszuführen und aus ihren Aktivitäten wirtschaftlichen Nutzen zu ziehen, können nun ein regelmäßiges Einkommen erzielen. Dafür verschaffen sie sich Zugang zu Unternehmensnetzwerken, bieten diesen dann im Darknet an und verkaufen ihn.

Wie Sie sehen, ändert sich das Modell für den Einbruch in Unternehmen. In Bezug auf die technische Kompetenz nehmen die Kriminellen eine Rangfolge ein und vermarkten ihre Taktiken über Anzeigen im Darknet. Gering qualifizierte Hacker können nun ein Auge auf die Netzwerke großer Unternehmen mit Sicherheitslücken, ungeschützten Anwendungen, ungepatchter Software oder schwachen Administratorpasswörtern werfen. Dabei sind sie auf der Suche nach einer einfachen Geldquelle und denken bereits darüber nach, anfällige Zugänge im Darknet zu bewerben. Dies ist in Zeiten der Pandemie besonders attraktiv, da viele Berufstätige aus der Ferne arbeiten und auf Unternehmensnetzwerke zugreifen.

Es bleibt den Unternehmen überlassen, für einen umfassenderen Schutz der Netzwerke zu sorgen, einschließlich ihrer Perimeter, die ordnungsgemäß überwacht werden müssen. Nur so können Angreifer aufgespürt werden, bevor sie ihre Eroberungen ankündigen.