Report von Trend Micro zu „Access as a Service“
Handel mit Zugangsdaten floriert
Cyberkriminalität funktioniert inzwischen in hohem Maße arbeitsteilig, wie Security-Fachleute einhellig berichten: Die eine Gruppe schreibt Malware wie heute vor allem Ransomware, die andere führt den Angriff aus und kauft dafür von wieder anderen Akteuren nach Bedarf den Zugang zu einem Unternehmensnetzwerk ein. Die Nachfrage nach solchen „Access as a Service“-Angeboten ist laut einer neuen Untersuchung des Security-Anbieters Trend Micro in den letzten zwei Jahren so stark angestiegen, dass viele kriminelle Online-Marktplätze dies inzwischen als eigene Sparte ausweisen. Häufig im Angebot: Zugänge zu deutschen Unternehmen.
Trend Micro hat für seinen Report von Januar bis August 2021 mehr als 900 Access-Broker-Listings in verschiedenen englisch- und russischsprachigen Cybercrime-Foren ausgewertet. Laut der Untersuchung ist weltweit das Bildungswesen mit 36 Prozent der Inserate die am meisten betroffene Branche. Auf Platz zwei und drei liegen die Industrie und der Dienstleistungssektor mit jeweils elf Prozent.
Zu den am stärksten betroffenen Ländern zählen die USA, Spanien, Deutschland, Frankreich und Großbritannien. In Deutschland ist die Fertigungsbranche mit 28 Prozent der Angebote am häufigsten im Visier der Angreifer, gefolgt vom Bildungswesen mit 26 Prozent.
„Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial Access Brokern (Makler für den Erstzugang zu Netzwerken, d.Red.) liegen sollte“, sagt Richard Werner, Business Consultant bei Trend Micro.
„Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren“, führt Werner aus. Dies erschwere häufig den gesamten Incident-Response-Prozess. „Gelingt es, die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware-Akteuren den Nährboden entzogen werden.“ Dazu müssten laut dem Security-Experten alle an der IT-Security Beteiligten zusammenarbeiten. Denn viele Unternehmen, selbst große, seien dazu aus eigener Kraft nicht in der Lage.
Der Bericht zeigt drei Hauptarten von Access Brokern auf: erstens opportunistische Verkäufer, die sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind; zweitens dedizierte Broker, also versierte Hacker, die den Zugang zu einer Vielzahl an Unternehmen anbieten, was insbesondere kleinere Ransomware-Akteure und -Gruppe gerne in Anspruch nehmen; drittens Online-Shops, die RDP- und VPN-Zugangsdaten (Remote Desktop Protocol, Virtual Private Network) anbieten.
Diese spezialisierten Shops gewährleisten laut Trend Micros Erkenntnissen nur den Zugang zu einem einzelnen Rechner, nicht aber zu einem umfassenden Netzwerk oder ganzen Unternehmen. Doch der Security-Anbieter warnt: Solche Shops eröffnen weniger erfahrenen Kriminellen eine einfache und automatisierte Möglichkeit, um sich Zutritt zu Netzwerken zu verschaffen. Ein Angreifer könne dabei sogar gezielt nach Standort, Internet-Service-Provider (ISP), Betriebssystem, Port-Nummer, Administratorrechten oder Unternehmensnamen suchen.
Die meisten Access-Broker-Angebote beinhalten laut Trend Micro einen einfachen Datensatz an Zugangsinformationen, die aus verschiedenen Quellen stammen können. Häufige Datenquellen seien vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Rechner, ausgenutzte Schwachstellen in VPN-Gateways oder Web-Servern sowie einzelne opportunistische Angriffe.
Die Preise für die „Access as a Service“-Angebote variieren laut dem Report ja nach Art des Zugangs (Einzelrechner oder ein gesamtes Netzwerk oder Unternehmen), nach Jahresumsatz des Unternehmens und nach dem Umfang der Zusatzarbeit, die der Käufer noch leisten muss. Während ein RDP-Zugang bereits für zehn Dollar erhältlich sei, liege der Preis für Administrator-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8.500 Dollar. Im Fall besonders attraktiver Opfer könne der Preis bis zu 100.000 Dollar betragen.
Zur Abwehr empfiehlt Trend Micro folgende Maßnahmen:
- Überwachung öffentlich bekannter Sicherheitsvorfälle,
- Reset aller Benutzerpasswörter, wenn der Verdacht besteht, dass Zugangsdaten des Unternehmens gefährdet sein könnten,
- Einsatz von Multi-Faktor-Authentifizierung (MFA),
- Analyse des Nutzerverhalten im Hinblick auf Anomalien,
- Überwachung der demilitarisierten Zone (DMZ) vor dem Hintergrund, dass Dienste wie VPN, Web-Mail und Web-Server ständig Angriffen ausgesetzt sind,
- Implementierung von Netzwerk- und Mikrosegmentierung,
- Umsetzung bewährter Passwortrichtlinien sowie
- Etablierung des Zero-Trust-Prinzips.
Lesen Sie mehr zum Thema
