Geschäft mit gestohlenen Informationen
Lockruf der Logdaten
Nicht nur legitime Unternehmen nutzen die Vorteile der Cloud, sondern auch Cyberkriminelle. Sicherheitsforscher haben neue Geschäftsmodelle im Untergrund entdeckt, die auf Cloud-Technik basieren. Einen wachsenden Markt bildet der Zugang zu gestohlenen Datenmengen im TByte-Bereich („Clouds of Logs“). Dieses neue Geschäftsmodell schadet den Nutzern, deren Daten die Hacker weiterverkaufen. Zudem werden Unternehmen künftig noch weniger Zeit haben, um auf Angriffe zu reagieren.
In den letzten Jahren hat der Diebstahl von Online-Zugangsdaten massiv zugenommen, wobei Cyberkriminelle im großen Stil Zugangsdaten und zugehörige E-Mail-Adressen oder Domainnamen sammeln. Auch gestohlene Web-Browser-Sitzungen können sie effektiv beschaffen und nutzen. Diese Daten ermöglichen es Angreifern, die es auf Unternehmen abgesehen haben, in die IT-Systeme der Arbeitgeber betroffener Personen einzudringen.
Mit dem Umstieg auf Cloud-basierte Dienste sind Kriminelle zudem in der Lage, ihre Angriffe auf Unternehmen erheblich zu beschleunigen. Eine Analogie: Der Kriminelle versucht nicht mehr, seine Einbruchswerkzeuge auf einem Flohmarkt zu erwerben, sondern kauft sie auf einer Online-Shopping-Seite ein. Diese Entwicklung erschwert es den Unternehmen, Angriffe zu erkennen und zu verhindern – vor allem lässt sie ihnen deutlich weniger Zeit zu reagieren.
Dieses Potenzial erhöht auf dem Untergrundmarkt wiederum die Nachfrage nach Daten, die für Angriffe Nutzen bringen. Dazu gehören aufgezeichnete Tastenanschläge, Zugangsdaten für Online-Portale, authentifizierte Sitzungsattribute, personenbezogene Daten, Scans von Dokumenten, Rechnungen, Konto- und Kreditkartendaten etc.
Bei erfolgreichen Angriffen mit Ransomware, Botnets, Keyloggern, Exploit-Kits und anderen bösartigen Komponenten exfiltrieren Kriminelle riesige Datenmengen – nach Einschätzung von Trend Micro im TByte-Bereich. Doch gerade wegen der gigantischen Datenmenge ist es unwahrscheinlich, dass ein einzelner Bedrohungsakteur oder eine einzelne Gruppe in der Lage wäre, diese Daten vollständig zu nutzen. Um weiteren Gewinn aus ihrer digitalen Beute zu schöpfen, vermieten einige Angreifer den Zugriff auf ihre Daten an andere Kriminelle. Diese können die Daten wiederum für eigene illegale Aktivitäten nutzen.
Die Kunden zahlen für den Zugriff auf diese Datensätze unterschiedliche Preise, abhängig von Größe, Aktualität und Exklusivität. Pakete, die nur einen eingeschränkten Zugriff und eine limitierte Zahl an Downloads erlauben, liegen im Bereich von einigen hundert Dollar. Verkäufer bieten auch verschiedene Abonnementtarife an, wobei sie Preise im Bereich von 300 bis 1.000 Dollar verlangen. Bild 1 zeigt den Screenshot des Angebots einer lebenslangen Mitgliedschaft für 900 Dollar.
Blick in die Logdaten
Anbieter geben den Umfang der Datensätze üblicherweise entweder als Dateigröße oder mittels der Anzahl der Log-Einträge an. Dabei ist zu beachten, dass ein Protokolleintrag normalerweise nicht nur eine Kombination aus Anmelde- und Kennwortdaten umfasst: Ein solcher Protokolleintrag kann sehr viel mehr enthalten, darunter Dutzende von Anmeldedaten für Firmenkonten, öffentliche E-Mail-Dienste, soziale Netzwerke, Zahlungsdienstleister sowie Kreditkartendaten. Dazu kommen oft auch detaillierte Informationen über die verwendete Softwareumgebung und sensible Daten, wie Browser sie sammeln. Bild 2 zeigt eine Beispielliste der Informationen, die unsere Forscher in einem einzelnen Protokoll entdeckten.
Die Sicherheitsforscher analysierten mehrere Datenproben aus Foren und Online-Plattformen und prüften auch die beworbenen Funktionen sowie das Feedback der Käufer. So entstand ein detaillierteres Bild davon, was diese Logs tatsächlich enthalten: Viele bieten vorverarbeitete und normalisierte Daten aus einer Vielzahl von Keyloggern, Informationsdiebstahl-Programmen und anderer Malware. Die Informationen sind strukturiert und in Dateien gespeichert, wobei jeder Dateiname und/oder Dateipfad die Kategorieinformationen der Daten enthält.
Fast alle Verkäufer erklären, welche Art von Daten für potenzielle Kunden verfügbar sind: Sie erläutern die Größe der Logs, wie oft sie den Datensatz aktualisieren sowie die Art und Qualität der Daten, die sie auf ihren Plattformen vorhalten. Oft führen sie auch Einschränkungen für die Nutzung von Daten und die Schnittstellen ein. Zum Beispiel verbieten sie strikt das Bulk-Dumping eines ganzen Datensatzes und die gemeinsame Nutzung von Daten mit Dritten oder anderen Akteuren. Verstöße gegen solche Einschränkungen ahnden sie häufig mit der Sperrung des Kontos.
- Lockruf der Logdaten
- Vorteile für Kriminelle
Lesen Sie mehr zum Thema
