Symbolbild: Cyber-Krimininelle bei der Arbeit (© Trend Micro)

Cyberkriminelle arbeiten heute nicht mehr wie einsame Wölfe, sondern in hohem Masse arbeitsteilig. Dies bestätigen Security-Fachleute einhellig. Während die eine Gruppe etwa Malware programmiert, wie heute vor allem Ransomware, führen andere den Angriff aus und kaufen zu dieem Zweck wiederum von anderen Akteuren nach Bedarf den Zugang zu einem Unternehmensnetzwerk ein. Die Nachfrage nach solchen "Access as a Service"-Angeboten ist gemäss einer neuen Trend-Micro-Studie in den letzten zwei Jahren derart angestiegen, dass viele kriminelle Online-Marktplätze dies inzwischen als eigene Sparte ausweisen.

Trend Micro, der japanischer Anbieter von Software und Dienstleistungen in den Bereichen Server-, Netzwerk- und Endpunktesicherheit, hat für seinen Report von Januar bis August 2021 mehr als 900 Access-Broker-Listings in verschiedenen englisch- und russischsprachigen Cybercrime-Foren ausgewertet. Dieser Untersuchung zufolge ist weltweit das Bildungswesen mit 36 Prozent der Inserate die am meisten betroffene Branche. Auf Platz zwei und drei liegen der Industrie und der Dienstleistungssektor mit jeweils elf Prozent.

Zu den am stärksten betroffenen Ländern zählen die USA, Spanien, Deutschland, Frankreich und Grossbritannien. In Deutschland ist es vor allem die Fertigungsbranche mit 28 Prozent der Angebote, die am häufigsten im Visier der Angreifer steht, gefolgt vom Bildungswesen mit 26 Prozent.

"Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial Access Brokern (Makler für den Erstzugang zu Netzwerken, d.Red.) liegen sollte“, erläutert dazu Richard Werner, Business Consultant bei Trend Micro. "Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren", so Werner weiters. Dies erschwere häufig den gesamten Incident-Response-Prozess. Gelinge es, die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen würden, so könnte den Ransomware-Akteuren der Nährboden entzogen werden. Dazu müssten laut dem Security-Experten alle an der IT-Security Beteiligten zusammenarbeiten. Denn viele Unternehmen, selbst grosse, seien dazu aus eigener Kraft nicht in der Lage.

Insgesamt veranschaulicht der Trend-Micro-Report drei Hauptarten von Access Brokern auf. Nämlich erstens opportunistische Verkäufer, die sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind. Zweitens dedizierte Broker, also versierte Hacker, die den Zugang zu einer Vielzahl an Unternehmen anbieten, was insbesondere kleinere Ransomware-Akteure und -Gruppe gerne in Anspruch nähmen. Und drittens Online-Shops, die RDP- und VPN-Zugangsdaten (Remote Desktop Protocol, Virtual Private Network) anbieten.

Den Trend-Micro-Erkenntnissen zufolge gewährleisten diese spezialisierten Shops nur den Zugang zu einem einzelnen Rechner, nicht aber zu einem umfassenden Netzwerk oder ganzen Unternehmen. Doch die japanische Security-Anbieterin warnt, dass solche Shops weniger erfahrenen Kriminellen eine einfache und automatisierte Möglichkeit eröffneten, um sich Zutritt zu Netzwerken zu verschaffen. Ein Angreifer könne dabei sogar gezielt nach Standort, Internet-Service-Provider (ISP), Betriebssystem, Port-Nummer, Administratorrechten oder Unternehmensnamen suchen.

Wie der Report belegt, beinhalten die meisten Access-Broker-Angebote einen einfachen Datensatz an Zugangsinformationen, die aus verschiedenen Quellen stammen können. Häufige Datenquellen seien vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Rechner, ausgenutzte Schwachstellen in VPN-Gateways oder Web-Servern sowie einzelne opportunistische Angriffe.

Die Preise für die "Access as a Service"-Angebote variieren laut der Trend-Micro-Untersuchung ja nach Art des Zugangs (Einzelrechner oder ein gesamtes Netzwerk oder Unternehmen), nach Jahresumsatz des Unternehmens und nach dem Umfang der Zusatzarbeit, die der Käufer noch leisten muss. Während ein RDP-Zugang bereits für zehn Dollar erhältlich sei, liege der Preis für Administrator-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8.500 Dollar. Im Fall besonders attraktiver Opfer könne der Preis bis zu 100.000 Dollar betragen, heisst es.

Der japanische Security-Konzern empfiehlt folgende Abwehrmassnahmen:
- Überwachung öffentlich bekannter Sicherheitsvorfälle,
- Reset aller Benutzerpasswörter, wenn der Verdacht besteht, dass Zugangsdaten des Unternehmens gefährdet sein könnten,
- Einsatz von Multi-Faktor-Authentifizierung (MFA),
- Analyse des Nutzerverhalten im Hinblick auf Anomalien,
- Überwachung der demilitarisierten Zone (DMZ) vor dem Hintergrund, dass Dienste wie VPN, Web-Mail und Web-Server ständig Angriffen ausgesetzt sind,
- Implementierung von Netzwerk- und Mikrosegmentierung,
- Umsetzung bewährter Passwortrichtlinien sowie
- Etablierung des Zero-Trust-Prinzips.