Florierender Markt für Access-as-a-Service-Cyberkriminalität

Florierender Markt für Access-as-a-Service-Cyberkriminalität
Anzeige

Beitrag teilen

Studie von Trend Micro: Florierender Markt für Access-as-a-Service-Cyberkriminalität befördert Ransomware-Angriffe. Deutschland zählt zu den am stärksten betroffenen Ländern.

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, veröffentlicht eine neue Studie, welche die undurchsichtige Lieferkette der Cyberkriminalität beleuchtet, die für die derzeitige Zunahme von Ransomware-Angriffen maßgeblich ist. Die Nachfrage wuchs über die letzten zwei Jahre stark an, sodass viele cyberkriminelle Märkte inzwischen ihre eigene „Access-as-a-Service“-Sparte aufweisen.

Anzeige

Viele neue cyberkriminelle Märkte mit „Access-as-a-Service

Die Studie basiert auf der Analyse von mehr als 900 Access-Broker-Listings von Januar bis einschließlich August 2021 in verschiedenen englisch- und russischsprachigen Cybercrime-Foren.

Dabei ist weltweit mit 36 Prozent der Inserate das Bildungswesen die am meisten betroffene Branche. Es verzeichnet damit mehr als die dreifache Zahl von Angeboten wie die zweit- und dritthäufigsten Zielbranchen: Auf die Produktion und den Dienstleistungssektor entfallen jeweils 11 Prozent. Zu den am stärksten betroffenen Ländern zählen die Vereinigten Staaten, Spanien, Deutschland, Frankreich und Großbritannien. In Deutschland ist die Fertigungsbranche mit 28 Prozent der Angebote am meisten betroffen, knapp gefolgt vom Bildungswesen mit 26 Prozent.

Anzeige

Incident-Response-Teams müssen Angriffsketten untersuchen

„Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) liegen sollte“, betont Richard Werner, Business Consultant bei Trend Micro. „Incident-Response-Teams müssen oft zwei oder mehr sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren. Das erschwert häufig den gesamten Incident-Response-Prozess. Gelingt es die Aktivitäten von Access Brokern zu überwachen, welche Unternehmensnetzwerkzugänge stehlen und verkaufen, kann den Ransomware-Akteuren den Nährboden entzogen werden. Hierfür müssen alle an der IT-Security beteiligten zusammenarbeiten, denn viele, auch große Unternehmen sind nicht in der Lage, dies aus eigener Kraft zu tun.“

Der Bericht zeigt drei Hauptarten von Access Brokern

  • Opportunistische Verkäufer, welche sich auf den schnellen Profit konzentrieren und noch in anderen Bereichen der Cyberkriminalität aktiv sind.
  • Dedizierte Broker sind fortgeschrittene und versierte Hacker, die Zugang zu einer Vielzahl an Unternehmen anbieten. Ihre Dienste werden häufig von kleineren Ransomware-Akteuren und -Gruppen in Anspruch genommen.
  • Online-Shops, die Remote-Desktop-Protocol (RDP)- und Virtual-Private-Network (VPN)-Zugangsdaten anbieten. Diese spezialisierten Shops gewährleisten nur den Zugang zu einem einzelnen Rechner, nicht aber zu einem umfassenden Netzwerk oder ganzen Unternehmen. Jedoch eröffnen sie dadurch weniger erfahrenen Cyberkriminellen eine einfache und automatisierte Möglichkeit, um sich Zutritt zu verschaffen. Diese können dabei sogar gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.

Die meisten Access-Broker-Angebote beinhalten einen einfachen Datensatz an Zugangsinformationen, welche aus verschiedenen Quellen stammen können. Häufige Ursprünge der Daten sind vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Computer, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe.

Günstige Preise für gestohlene RDP-Zugänge

Schwarzmarktpreise für RDP-Zugänge sind extrem günstig (Bild: Trend Micro).

Die Preise variieren abhängig von der Art des Zugangs (einzelner Rechner oder ein gesamtes Netzwerk oder Unternehmen), des Jahresumsatzes des Unternehmens sowie dem Umfang der vom Käufer zu erbringenden Zusatzarbeit. Während ein RDP-Zugang bereits für zehn Dollar erworben werden kann, liegt der Preis für Administratoren-Zugangsdaten zu einem Unternehmen bei durchschnittlich 8.500 Dollar. Bei besonders attraktiven Opfern können die Preise bis zu 100.000 Dollar betragen.

Zur Abwehr empfiehlt Trend Micro folgende Security-Strategien:

  • Überwachen Sie öffentlich bekannte Sicherheitsvorfälle.
  • Setzen Sie alle Benutzerpasswörter zurück, wenn der Verdacht besteht, dass Unternehmenszugangsdaten gefährdet sein könnten.
  • Nutzen Sie Multi-Faktor-Authentifizierung (MFA).
  • Halten Sie nach Anomalien im Nutzerverhalten Ausschau.
  • Achten Sie auf Ihre Demilitarisierte Zone (DMZ) und berücksichtigen Sie, dass internetgestützte Dienste wie VPN, Webmail und Webserver ständigen Angriffen ausgesetzt sind.
  • Implementieren Sie eine Netzwerk- sowie Mikrosegmentierung.
  • Setzen Sie bewährte Passwortrichtlinien um.
  • Verfahren Sie nach dem Zero-Trust-Prinzip.

Weitere Informationen: Der vollständigen Bericht „Investigating the Emerging Access-as-a-Service Market“ findet sich in englischer Sprache unter auf der Website von Trend Micro.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können. Mit über 6.700 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu schützen. Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.


 

Passende Artikel zum Thema

2022: Trend Micro erwartet positive Entwicklung bei der Abwehr von Cyberangriffen

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, prognostiziert, dass globale Unternehmen im Jahr 2022 bei Cyberangriffen besser vorbereitet ➡ Weiterlesen

92 Prozent der IT-Entscheider gehen bei Cybersecurity Kompromisse ein

Hohe Kompromissbereitschaft steht im Widerspruch dazu, dass Cyberkriminalität von einem Drittel der Befragten als größtes Sicherheitsrisiko erachtet wird. Studie von ➡ Weiterlesen

Log4j-Alarm: das empfiehlt Trend Micro

Unternehmen können als unmittelbare Reaktion auf log4j detaillierten Empfehlungen folgen und vorhandene Patches aufspielen sowie Best Practices anwenden. Doch in ➡ Weiterlesen

Kosten: Ransomware trifft Finanzdienstleister besonders hart

Mehr als 1,7 Millionen Euro Wiederherstellungskosten – wenn Ransomware einen Finanzdienstleister trifft. Die internationale Sophos Ransomware-Studie zeigt: Finanzdienstleister trifft Ransomware ➡ Weiterlesen

Millionenverdiener Emotet ist zurück

Emotet ist zurück und schlägt wieder kräftig zu. Warum erfolgreiche Geschäftsmodelle nicht einfach vom Erdboden verschwinden, denn mit Emotet wurden ➡ Weiterlesen

Trend Micro entlarvt Cyber-Söldnergruppe „Void Balaur“

Durch Spionage und finanzielle Interessen motivierte Auftragshacker haben seit 2015 mehr als 3.500 Unternehmen und Privatpersonen gezielt angegriffen. Trend Micro hat ➡ Weiterlesen