Spot an: Derzeitige cyberkriminelle Trends
Mehr zu aktuellen Bedrohungen gibt es auch in unserer Webinar-Aufzeichnung
Cyberkriminalität als Untergrundmarkt
Erst die Möglichkeit der Bezahlung erlaubt die Entstehung hochwertiger (teurer) Dienstleistungen. Dies erleben wir derzeit in der Cyberkriminalität. Wurden Dienstleistungen früher mit gestohlenen Kreditkarten über Zwischenhändler oder „Money Mules“ angeboten, erlauben Kryptowährungen wie Monero heutzutage eine akkurate Entlohnung von Spezialisten. Entsprechend werden Teilbereiche von Cyberattacken als Dienstleistungen angeboten. So gibt es Gruppen, die sich auf das Eindringen in IT-Systeme spezialisieren und die Leistung Access as a Service anbieten, oder andere, die für die Entwicklung von Software zur Verschlüsselung oder „Pen-Testing“ angemessen entlohnt werden. Daher können moderne Gruppen wie Conti, REvil oder Emotet in ihrer Entwicklung eher mit Unternehmen verglichen werden. Aus geleakten Diskussionen speziell zur Conti- Gruppe geht hervor, dass der Grad der Professionalität Bonuszahlungen, Urlaubsanträge und Gehaltsgespräche beinhaltet. Das „Unternehmen“ hatte vor seiner Auflösung im Mai dieses Jahres mehr als 150 „Angestellte“ und verfügte zusätzlich über „Fachhandelspartner“ bzw. „Affiliates“.
Digitale Erpressung
Die cyberkriminellen Schwerverbrecher sind heutzutage die Erpresser. Unternehmensdaten werden gestohlen und/oder verschlüsselt und das Opfer je nach Schwere des Schadens erpresst. Die Angreifer verfügen dabei über technische Expertise und Werkzeuge, die mit legalen Pen-Testing-Anbietern vergleichbar sind. Das Ziel der Täter ist es, zunächst die Kontrolle der vorhandenen IT-Security-Infrastruktur entweder durch den Diebstahl von Passwörtern und/oder Erschleichen von Privilegien (z.B. Domain Admin) zu erlangen. Zahlt ein Opfer eines Datendiebstahls nicht, werden diese Infos von den Hackern veröffentlicht. Von November 2019 bis März 2022 wurden durch die 10 gefährlichsten Ransomware-Gruppen Daten von über 3000 Unternehmen veröffentlicht. Trend Micro hat die Opfer der zwei erfolgreichsten Gruppen, Conti und Lockbit, näher untersucht. Beide konzentrieren sich vorwiegend auf Unternehmen in Nordamerika und Europa. Beide greifen Firmen aller Größen an, wobei ein Schwerpunkt im Mittelstand (50 – 5000 Mitarbeiter) liegt.
Die interessantesten neuen Entwicklungen im Ransomware-Bereich gab es auf politischer Ebene. So erklärte Conti im Februar die vollständige Unterstützung für Russland, was eine Ereigniskette in Gang setzte, die letztlich zur Auflösung der Täter im Mai führte.
Schwachstellen
Cyberkriminelle können darauf vertrauen, dass es in den Unternehmen Softwareschwachstellen gibt. Oft sind sie sogar bekannt, werden aber in der Risikobetrachtung als nicht kritisch eingeschätzt. Auch ändert sich die Kritikalität einer bekannten Sicherheitslücke dynamisch mit den technischen Möglichkeiten der Akteure, und selbst jahrelang bekannte als relativ unkritisch eingestufte Lücken können durch das erfolgreiche Einbinden in cyberkriminelle Aktivitäten ein ungeheures Schadenspotenzial entwickeln. Und es hat sich gezeigt, dass Cyberkriminelle solche älteren Schwachstellen durchaus attraktiv finden: Derzeit sind 787 aktiv ausgenutzte bekannt (Stand 08. Juli 22). Betroffen sind alle Softwarehersteller, wobei 2021 wegen der häufigeren Nutzung des Home Offices eine verstärkte Zuwendung zu VPN-Schwachstellen zu beobachten war.
IT-Risiko Mensch
Menschliche Risiken lassen sich grundsätzlich in zwei Kategorien einordnen. Am bekanntesten sind Aktionen, die mit Hilfe von Social Engineering Menschen dazu verleiten, ohne es zu bemerken, Cyberkriminellen zu helfen. Diese Aktivitäten sind abhängig von der Zielstrebigkeit der Täter. So bot z.B. die Gruppe Lapsus$ an, einem Mitarbeiter Geld für Login-Daten zu zahlen. Diese und ähnlich „ausgeklügelte“ Techniken erlaubten es den Tätern (16-jährigen Schülern) bei Unternehmen wie Microsoft, Ubisoft oder Nividia Schäden zu verursachen.
Fortschrittlichere Angriffsmethoden sind dagegen nicht mehr nur auf eine Mail begrenzt. In einem inzwischen durch Interpol und das nigerianische EFCC aufgedeckten Fall (Operation Killerbee) wurde eine Gruppe verhaftet, die vor dem eigentlichen Angriff eine normale Geschäftskonversation mit dem Opfer führte und hierzu sogar einen Webauftritt gestaltete. Die verschlüsselte Angriffsdatei wurde angekündigt und das Passwort vorab zugesendet. Von einem „menschlichen Fehler“ zu sprechen, verbietet sich an dieser Stelle, denn das Opfer hatte keine Chance.
Zu der zweiten Kategorie gehören Fehlkonfigurationen. Darunter fällt u.a. auch das bewusste Ausschalten von Sicherheitsfunktionalität, um Performance zu sparen, oder der Einsatz schwacher Passwörter. Aus Sicherheitssicht wiegen diese „Fehler“ in der Regel schwerer als alles, was IT-technische Laien in der Lage sein sollten anzurichten. Viel häufiger ist es Unkenntnis oder bewusste Risikokalkulation, die für Schwachstellen sorgen.
Untersuchungen des Security Posture Managements Cloud One Conformity zufolge sind zwei von drei virtuellen Maschinen in der Azure Cloud nicht nach Best Practice Empfehlungen von Microsoft konfiguriert. Derartige Fehlkonfigurationen wirken sich unterschiedlich aus und können der ganzen Welt - inklusive Cyberkriminellen - Zugriff auf Daten erteilen. Natürlich aber kann genau das die Absicht des Kunden sein, weshalb Cloud Provider diese technischen Möglichkeiten anbieten.
Cryptomining
Fehlkonfigurationen vor allem in Cloud- und Container-Umgebungen haben einer im Verhältnis neuen aber wesentlich kleineren cyberkriminellen Branche zum Aufstieg verholfen. Das Schürfen von Kryptowährungen wie Bitcoin ist an sich nicht verboten. Die dafür installierte Software nutzt aber die zur Verfügung stehende Rechenleistung für das Mining. Dadurch entstehen vorwiegend Energiekosten bzw. Verschleißkosten bei der eingesetzten Hardware. Durch den Anstieg der Energiepreise wird das „Schürfen“ von Kryptowährungen zunehmend unattraktiv, zumindest, solange man selbst die Energierechnungen bezahlen muss. Genau deshalb halten zunehmend Gruppen nach ungeschützten Systemen Ausschau, um diese für ihre Zwecke zu missbrauchen.
Der Zugriff beim Cryptomining erfolgt weitestgehend automatisiert. Die Täter suchen Skript-gesteuert nach verwundbaren Systemen, und auch die Installation des Miners sowie dessen Einrichtung erfolgen automatisiert. Bösartige Coinminer arbeiten dabei alles andere als effizient. Nach einer von Trend Micro durchgeführten Hochrechnung wurde für einen Gewinn von 2.500 $ Energie im Wert von knapp 12.000 $ verbraucht (Juni 2021). Dabei sind die Kosten für einzelne Unternehmen meist so gering, dass es selten zu Anklagen/Verhaftungen kommt und die Malware oft sehr lange unbemerkt bleibt. Viele der Cryptomining-Gruppen sehen sich deshalb auch nicht als Cyberkriminelle, da sie „nur“ verbrauchen, was sonst ungenutzt herumliegt. Nicht selten nutzen allerdings die Access as a Service-Spezialisten Cryptominer, um die Funktionalität ihrer Zugänge nachzuweisen bzw. als Verdienstmöglichkeit bevor ihre „Kunden“ den Zugang übernehmen.
Hacktivisten & Cybersöldner
Durch den Krieg in der Ukraine hat eine Gruppe Cyberangreifer mediale Aufmerksamkeit auf sich gezogen, die es schon sehr lange gibt. Hacktivisten hacken für einen politischen oder sonstigen Zweck und nicht wegen finanziellen Gewinns. Sie wollen Aufmerksamkeit und stehlen Daten, die sie direkt veröffentlichen oder für Erpressungen mit nicht monetären Forderungen nutzen. Auch Sabotage, Zerstörung, das Bloßstellen von Unternehmen und Einzelpersonen gehören zu ihrem Repertoire.
Der Begriff Cybersöldner ist dabei relativ neu und bezeichnet Menschen, die weniger ihrer eigenen politischen Überzeugung folgen als vielmehr bezahlte Dienstleistungen im Namen einer Regierung oder anderen Gruppierung durchführen. Faktisch kann selten geklärt werden, ob ein solcher Täter im eigenen oder fremden Namen agiert. Im aktuellen Krieg sind derartige Hacker auf beiden Seiten tätig, aber angegriffen werden nicht nur die direkten Kriegsteilnehmer. So gab es u.a. auch Hacktivisten-Attacken auf die Bundesregierung. Die große Gefahr bei diesen Gruppen besteht darin, dass sie selbst nach Kriegsende nicht unbedingt auf ihre erworbenen Fähigkeiten verzichten, sondern weiterhin versuchen diese einzusetzen. Als Cybersöldner im Auftrag eines Landes, einer Firma oder auch privat als Cyberkrimineller. Im Moment werden diese Menschen ausgebildet und im „Fronteinsatz“ trainiert.
Abwehr & Verteidigung
Unternehmen müssen heutzutage damit rechnen, dass sich die Cyberkriminalität weiter professionalisiert und auch quantitativ zulegt. Zudem könnte mit Russland ein bedeutender Staat diese Täter bewusst fördern. In der eigenen Organisation reißen moderne Technik, die Mitarbeiter, sowie die Dynamik der IT immer wieder Sicherheitslöcher auf, und viele davon können nicht mehr wirtschaftlich tragbar verschlossen werden, wenn sich das Anwenderunternehmen ihrer überhaupt bewusst wird.
Dabei wird es zunehmend wichtiger, den Überblick über die eigene Infrastruktur zu behalten, IT-Security-Risiken zu erkennen und zu qualifizieren sowie Reserven für den Notfall bereit zu halten. Dies ist selbst für ein Unternehmen des Mittelstands nur noch schwer mit eigenen Ressourcen zu stemmen. Die Empfehlung ist deshalb mit Security-Herstellern und Fachhandel eine Partnerschaft einzugehen, die neben Technologie auch Serviceleistungen beinhaltet, um sinnvoll die eigenen Fähigkeiten zu ergänzen.
Mit Trend Micro One bieten wir ein Konzept an, mit dem Anwender Cyberrisiken im gesamten Unternehmen besser verstehen, kommunizieren und eindämmen können.
Cyberkriminalität: Im Internet wächst der Trend zur Selbstjustiz
Der Staat versagt offenbar immer mehr bei der Bekämpfung von Computerkriminalität. Viele Opfer nehmen das Heft des Handelns nun selbst in die Hand – obwohl das in Deutschland streng verboten ist.
Anzeige
Das Phänomen Cybercrime entwickelt sich aktuell dynamisch. Sicherheitsmaßnahmen werden sehr schnell durch geeignete Schadsoftware überwunden." Hinter diesen beiden lapidar erscheinenden Sätzen aus dem aktuellen "Bundeslagebild Cybercrime" des Bundeskriminalamtes verbirgt sich die dunkle Seite der informationstechnischen Revolution.
Anzeige
Die Anzahl der Verbrechen im Internet steigt seit Jahren mit zweistelligen Zuwachsraten, die Schadenssummen verdoppeln sich mitunter von Jahr zu Jahr. Ein "industrielles Ausmaß" haben die Cyberangriffe inzwischen erreicht, stellte Ende Juni erst wieder der britische Inlandsgeheimdienst MI5 fest.
Sowohl die Wirtschaft als auch Regierungen stünden einer Flut von Cyber-Attacken gegenüber. Bedroht sei die Integrität von Datenbeständen der Regierung ebenso wie die von Unternehmen und akademischen Einrichtungen. "Das Ausmaß dessen, was da vor sich geht, ist erstaunlich", sagte MI5-Chef Jonathan Evans.
Hohe Dunkelziffer
Anzeige
Und das ist nur das polizeibekannte Geschehen. Die Dunkelziffer wird von den Sicherheitsbehörden als extrem hoch eingeschätzt. Vor allem Wirtschaftsunternehmen scheuen das Licht der Öffentlichkeit fast ebenso wie die Dunkelmänner im Netz – auch aus Imagegründen, wie die Sicherheitsbehörden immer wieder beklagen.
Lesen Sie auch Streaming-Dienst Was der neue Streaming-Dienst Paramount+ zu bieten hat
Aber nicht nur deshalb. In kaum einem Deliktbereich erscheinen die staatlichen Strafverfolger so hilflos wie beim Cybercrime, nirgendwo sonst ist nach übereinstimmender Einschätzung der meisten Experten das Gefälle beim technischen Knowhow und bei der Ausrüstung zwischen Jägern und Gejagten so groß.
"Im ‚Cyberwar‘ – besser sollte man eigentlich von ‚Cybercrime‘ sprechen – sind die Verteidiger im Schnitt deutlich schlechter gerüstet als die Angreifer. Die steigende Professionalisierung der Angreifer führt zu sehr dringendem Handlungsbedarf", stellt etwa IT-Experte Max Mühlhäuser, Chef des Telecooperation Lab an der Technischen Universität Darmstadt fest.
Anzeige
Und seitdem bekannt wurde, dass die Polizei ohne die Mithilfe privater Dienstleister noch nicht einmal Computerwanzen wie den "Bundestrojaner" zu Wege bringt, dürften die Hemmungen, sich ebenfalls in großem Stil und Umfang privater Unterstützung zu bedienen, weiter gefallen sein.
Effiziente Cyberkriminelle
"Das ist jetzt der neue Hype", bestätigt der Cyberkrieg-Forscher Sandro Gaycken vom Institut für Computerwissenschaft an der Freien Universität Berlin zur digitalen Selbstjustiz "insbesondere in solchen Bereichen, die stark von effizienten Cyberkriminellen betroffen sind wie die Finanzindustrie und forschende und entwickelnde Unternehmen". Dort werde auch in Deutschland erschreckend viel manipuliert und spioniert.
"Und absolut niemand will mit solchen Vorfällen in die Öffentlichkeit. Man verliert dort ja jedes Mal viel Geld, das die Gesellschaft zum Teil mitfinanziert hat." Also tendiere man dazu, das hausintern abzuwickeln, weiß Gaycken. "Man schaltet nicht die Polizei ein, sondern baut sich eigene Einheiten auf oder engagiert Dienstleister. Und bei denen ist der neue Hype eben der Rückschlag. Man greift die Angreifer an."
Anzeige
Anzeige
Einer dieser "Dienstleister", die als Waffenlieferanten das Rückschlagpotenzial von IT-Unternehmen aufrüsten, ist die Firma Crowdstrike. "The Enterprise Strikes Back" (Das Unternehmen schlägt zurück), so werden die "aktiven Verteidigungslösungen" des kalifornischen Start-Up-Unternehmens für den Privatkrieg im Netz betitelt. Das Unternehmen selbst lässt kaum ein gutes Haar an den bisherigen Sicherheitsstrategien zur Abwehr von Cyberangriffen.
Mann gegen Mann
"Der Fehler der Industrie war, sich auf die Werkzeuge der Angreifer zu konzentrieren", argumentiert Dmitri Alperovitch, Mitgründer und Chief Technical Officer von Crowdstrike und wirbt für den Netzkrieg Mann gegen Mann. "Wir müssen uns auf den Angreifer selbst konzentrieren, nicht auf seine Waffe, sondern auf seine Taktik", sagt Alperovitch.
Shawn Henry, früher als Spezialist für Cybercrime beim FBI tätig und heute in der Unternehmensleitung von Crowdstrike formuliert es so: "Wir löschen nicht nur den Brand, wir sehen uns auch den Brandstifter an." Das Spektrum solcher "aktiven Verteidigungslösungen" (engl. Hack Back) ist sehr breit und reicht von Verzögerungstaktiken über die gezielte Vernichtung von zu Angriffen benutzter Computertechnologie bis hin zum finanziellen Ruin des Angreifer.
CrowdStrike bietet beispielsweise Hilfestellung dazu an, dem Angreifer vorzugaukeln, er hätte Zugriff auf interessante Daten erhalten. Tatsächlich aber lassen sich die ohnehin wertlosen Daten gar nicht kopieren, beschäftigen jedoch die Angreifer lange Zeit mit sinnlosen Aktionen. Außerdem gibt es raffinierte Methoden, die Identität eines Angreifers festzustellen und an dessen System Desinformationen oder sogar Schadprogramme zu schicken.
Gegenangriffe sind verboten
Dass sich bislang kein Unternehmen zu solchen und anderen "aktiven Verteidigungsmaßnahmen" offen bekennt, kann nicht verwundern. Schließlich sind Angriffe auf IT-Systeme – auch wenn es "Gegenangriffe" sind – in den meisten westlichen Ländern verboten. Hierzulande zum Beispiel stellt Paragraf 202 des Strafgesetzbuches Herstellung, Verkauf, Beschaffung und Anwendung von Computerprogrammen zur Ausspähung von Passwörtern oder Sicherungscodes unter Strafe.
Das hindert allerdings laut Branchenkennern viele Unternehmen nicht, mit eben solchen Methoden gegen Angreifer im Cyberwar vorzugehen. Denn der Frust wächst. Die Ursache dafür ist die Erfahrung vieler Unternehmen, dass sie ihre Systeme praktisch nicht schützen können und auch juristische Methoden oft nicht verfangen.
"Viele greifen zu diesen Maßnahmen, weil der Staat nicht effizient genug ist. Einmal sind die behördlichen Strafverfolger nicht gut genug, weil die Politik sich auf ineffektive, aber billige Mittel wie die Vorratsdatenspeicherung verlegt hatte, statt den Ermittlern mehr Mittel und mehr qualifiziertes Personal für gezieltere Aktivitäten zur Verfügung zu stellen", sagt der Informatiker Gaycken.
Anzeige
Anzeige
Zum anderen seien Staaten gehalten, sich ihrerseits an Gesetze und die Territorialität zu halten, was ihren Aktionsradius entscheidend begrenze. "Aus dieser Perspektive mag es gerechtfertigt scheinen, zur Selbstjustiz zu greifen. Das gilt ja etwa auch bei Selbstverteidigung. Ist der Staat nicht da, und ich werde angegriffen, darf ich zurückschlagen." Das sei aber nur die eine Seite des Problems, meint Gaycken. Wenn Datenschutz und Ländergrenzen Ermittlungen behinderten, würde das den Unternehmen lästig und unnötig erscheinen.
Neue Computerwürmer
Jüngste Entwicklungen im Cyberwar haben den Trend zur aggressiven Selbsthilfe in der Wirtschaft weiter verstärkt. Die Entdeckung von Computerwürmern wie Flame, Stuxnet und Duqu, mit denen zum Teil über viele Jahre unentdeckt Industrieanlagen, darunter die Urananreichungszentrifugen des iranischen Atomprogramms, angegriffen worden waren, kam für die Fachwelt der Virenschützen einem Offenbarungseid gleich.
Für Mikko Hypponen, Gründer der Sicherheitsfirma F-Secure, markiert namentlich die Schadsoftware Flame gar das "Versagen der Antivirus-Industrie" – und eine Zeitenwende in der IT-Sicherheit. Die Botschaft ist eindeutig: Die Sicherheitsindustrie ist, was defensive Schutzmaßnahmen für IT-Systeme angeht, mit ihrem Latein am Ende. Ein Grund mehr für angegriffene Wirtschaftsunternehmen, zu anderen, weniger defensiven Maßnahmen zu greifen.
Das Gewaltmonopol des Staates
Vom deutschen Innenminister und dem Bundesamt für Sicherheit in der Informationstechnik, das im Auftrag des Bundesinnenministeriums für die Netzsicherheit in Deutschland – vor allem für Behördennetze – zuständig ist, ist zu dieser Entwicklung kein Kommentar zu bekommen. So bleiben Fragen offen, die sich angesichts der Entwicklung zur Selbstjustiz nicht nur für Bürgerrechtsbewegte und Staatsrechtler stellen müssen. Schließlich geht es hier auch um das Gewaltmonopol des Staates.
Der Handlungsbedarf ist jedenfalls für viele mit Händen zu greifen. IT-Experte Max Mühlhäuser formuliert das Problem so: "Die Bundesregierung sieht – so mein Eindruck aus vielen Indizien – die Verteidigung der Deutschen Wirtschaft gegen Cybercrime und Cyber-Intelligence (Spionage) weit weniger vordringlich als hoheitliche Aufgabe an als etwa die USA und Frankreich, wo traditionell staatlich organisierte Wirtschaftsspionage zum "Wohl" der eigenen Wirtschaft durchaus politisch und gesellschaftlich (verdeckt) legitimiert ist.
Die Wirtschaft kommt gar nicht umhin, "die Sache selbst in die Hand zu nehmen" – ein Satz, den man sowohl nüchtern-entspannt als auch in Wild-West-Manier interpretieren kann."
Markt für Cyberkriminalität floriert und befördert Ransomware-Angriffe
Der Anbieter von Cybersicherheitslösungen Trend Micro hat eine neue Studie zur "undurchsichtigen Lieferkette der Cyberkriminalität" publiziert. Die Studie basiere auf der Analyse von mehr als 900 Access-Broker-Listings von Januar bis August 2021 in verschiedenen Cybercrime-Foren. Die Nachfrage in solchen Foren wuchs über die vergangenen zwei Jahre so stark an, dass viele cyberkriminellen Märkte inzwischen ihre eigene "Access-as-a-Service"-Sparte nachweisen und so auch mehr Ransomware-Angriffe befördern.
Das Bildungswesen ist gemäss Analyse mit 36 Prozent der Inserate die am meisten betroffene Branche. Auch die Produktions- und der Dienstleistungssektoren sind beliebt: Auf diese entfallen 11 Prozent der Inserate. Länder wie die USA, Spanien, Deutschland, Frankreich und Grossbritannien kommen ausserdem am häufigsten ins Visier einer geplanten Cyberattacke.
"Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) liegen sollte", sagt Richard Werner, Business Consultant bei Trend Micro. "Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren. Das erschwert häufig den gesamten Incident-Response-Prozess. Gelingt es die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware- Akteuren der Nährboden entzogen werden. Hierfür müssen alle an der IT-Security Beteiligten zusammenarbeiten, denn viele, auch grosse Unternehmen, sind nicht in der Lage, dies aus eigener Kraft zu tun."
Verschiedene Arten von Access Brokern
Die Analyse weist drei Hauptarten von Access Brokern auf:
Opportunistische Verkäufer: Diese konzentrieren sich auf den schnellen Profit und sind noch in anderen Bereichen der Cyberkriminalität aktiv, wie Trend Micro schreibt.
Dedizierte Broker: Diese Broker seien fortgeschrittene und versierte kriminelle Hacker, die Zugang zu einer Vielzahl an Unternehmen anbieten.
Onlineshops: Hier handelt es sich um Onlineshops, die Remote-Desktop-Protocol- (RDP) und Virtual-Private-Network- (VPN) Zugangsdaten anbieten. Sie bieten nur Zugang zu einem einzelnen Rechner, aber nicht zu einem umfassenden Netzwerk oder ganzen Unternehmen. Dafür sind sie besonders für weniger erfahrene Cyberkriminelle geeignet und geben ihnen eine einfache und automatisierte Möglichkeit, um sich Zutritt zu verschaffen. Diese können dabei sogar gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.
Laut Trend Micro enthalten die meisten Access-Broker-Angebote einen einfachen Datensatz an Zugangsinformationen, welche aus verschiedenen Quellen sein könnten. Häufige Herkünfte der Daten seien Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.
Die Preise variieren hinsichtlich der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit. Ein RDP-Zugang könne beispielsweise schon für 10 US-Dollar gekauft werden, während die Preise für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8500 Dollar liegen.
Trend Micro empfiehlt folgende Security-Strategien zur Abwehr von Cyberattacken:
Öffentlich bekannte Sicherheitsvorfälle überwachen;
Alle Benutzerpasswörter zurücksetzen, wenn der Verdacht besteht, dass Unternehmenszugangsdaten gefährdet sein könnten;
Multi-Faktor-Authentifizierung (MFA) nutzen;
Nach Anomalien im Nutzerverhalten Ausschau halten;
Auf die Demilitarisierte Zone (DMZ) achten und berücksichtigen, dass internetgestützte Dienste wie VPN, Webmail und Webserver ständigen Angriffen ausgesetzt sind;
Eine Netzwerk- sowie Mikrosegmentierung implementieren;
Bewährte Passwortrichtlinien umsetzen;
Und zu guter letzt sollten mögliche Betroffene nach dem Zero-Trust-Prinzip verfahren.
Die vollständigen Ergebnisse zur Studie sind online einsehbar.
Eine weitere Befragung von Trend Micro zeigt übrigens, dass das Risiko für Cyberangriffe im vergangenen Jahr gestiegen ist. Hier können Sie mehr darüber lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.