Cyberkriminelle zahlen bis zu 15.000 Dollar für Insider-Zugang zu Unternehmenssystemen

Neue Angriffsvektoren durch Mitarbeiter-Rekrutierung

Angreifer setzen verstärkt auf die Zusammenarbeit mit internen Mitarbeitern, anstatt ausschließlich technische Schwachstellen auszunutzen. Die Rekrutierung erfolgt über spezialisierte Darknet-Plattformen, auf denen gezielt Beschäftigte aus bestimmten Branchen und Unternehmen gesucht werden.

Check Point-Forscher dokumentieren dabei Vergütungen zwischen 10.000 und 15.000 Dollar für Insider im Telekommunikationssektor. Die Bandbreite der angebotenen Summen reicht von 3.000 bis 15.000 Dollar, abhängig von der Art des Zugangs und der Sensibilität der Daten.

Die Strategie erweist sich als effektiv: Mitarbeiter mit legitimen Zugriffsrechten können Sicherheitsmaßnahmen umgehen, ohne technische Barrieren überwinden zu müssen. Monitoring-Systeme schlagen oft nicht an, da die Aktivitäten von autorisierten Accounts ausgehen.

Psychologische Taktiken und finanzielle Anreize

Die Ansprache potenzieller Insider erfolgt teilweise über emotionale Appelle. Eine Darknet-Anzeige aus dem Juli richtete sich an frustrierte Angestellte und versprach einen Ausweg aus dem „endlosen Arbeitszyklus“ durch Kooperation – mit Auszahlungen im fünf- bis sechsstelligen Bereich.

Weitere Inserate zielen auf langjährige Mitarbeiter mit umfassenden Zugriffsrechten ab. Die Zusammenarbeit wird als Möglichkeit zum schnellen Vermögensaufbau dargestellt. Die Standardvergütung liegt zwischen 3.000 und 15.000 Dollar für einmalige Zugriffe oder spezifische Datensätze.

Finanzsektor und Krypto-Börsen im Fokus

Kryptowährungsunternehmen stehen im Zentrum zahlreicher Rekrutierungsversuche. Aktuelle Stellenangebote richteten sich an Mitarbeiter von Coinbase, Binance, Kraken und Gemini. Auch große Beratungsunternehmen wie Accenture und Genpact sowie Verbraucherplattformen wie Spotify und Netflix wurden in Inseraten genannt.

Ein konkretes Angebot umfasste einen Datensatz mit 37 Millionen Nutzereinträgen einer Kryptobörse für 25.000 Dollar. Solche umfangreichen Datensammlungen ermöglichen präzise zugeschnittene Angriffskampagnen.

Banken als prioritäre Ziele

Mitarbeiter von Finanzinstituten besitzen hohen Wert für Angreifer. Ein Darknet-Posting bot Bezahlung für Zugriff auf Systeme der US-Notenbank oder ihrer Partnerinstitute. Ein weiteres Inserat suchte vollständige Transaktionsverläufe einer großen europäischen Bank.

Manche Angebote sehen langfristige Kooperationen vor. Insider in russischen Steuerbehörden wurde eine wöchentliche Vergütung von 1.000 Dollar in Aussicht gestellt.

Technologiebranche unter Druck

Technologieunternehmen mit großen Kundendatenbeständen und Positionen in Lieferketten werden intensiv ins Visier genommen. Dokumentierte Aktivitäten umfassen:

• Gesuche nach Insidern bei Apple, Samsung und Xiaomi
• Anfragen an Cox Communications-Mitarbeiter für E-Mail-Konto-Resets
• Angebote von bis zu 10.000 Dollar für Insider bei Cloud-Anbietern

In Belgien wurden Beschäftigtendaten eines großen Unternehmenssoftware-Herstellers angeboten – inklusive Namen, Passwörtern, Telefonnummern und Funktionsbezeichnungen – für 25.000 Dollar.

Telekom-Insider und SIM-Swapping

Telekommunikationsmitarbeiter, vorrangig in den USA, werden häufig für SIM-Swapping-Operationen angeworben. Diese Technik erlaubt das Abfangen von SMS-Nachrichten und das Aushebeln der Zwei-Faktor-Authentifizierung. Die Vergütung für solche Dienste erreicht mittlerweile 10.000 bis 15.000 Dollar.

Im Logistikbereich suchen Kriminelle nach Insidern für Dienstleistungen wie die Manipulation von Zollkontrollen oder Versandprozessen. Die Zahlungen bewegen sich hier zwischen 500 und 5.000 Dollar.

Ransomware-Gruppen nutzen Telegram

Die Rekrutierung beschränkt sich nicht auf Darknet-Foren. Ransomware-Gruppen werben aktiv über verschlüsselte Messenger wie Telegram. Eine Gruppe mit 400 Mitgliedern bewarb im Juli den Zugang zu einem Ransomware-Portal und ermutigte Insider, Penetrationstester und Access Broker zur Teilnahme – mit Gewinnbeteiligung an jedem verschlüsselten System.

Komplexe Sicherheitsherausforderung

Die Zunahme dieser Rekrutierungsaktivitäten stellt eine vielschichtige Herausforderung dar. Regelmäßig erscheinen neue Inserate – teils von Angreifern, die Personal suchen, teils von Mitarbeitern, die aus finanziellen, persönlichen oder ideologischen Motiven handeln.

Die breite Verfügbarkeit anonymer Kryptowährungszahlungen beschleunigt diese Entwicklung. Für Organisationen gehen die Konsequenzen über finanzielle Einbußen hinaus: Reputationsverlust, operative Störungen und regulatorische Sanktionen können folgen.

Schutzmaßnahmen für Unternehmen

Die Abwehr von Insider-Bedrohungen erfordert technologische und organisatorische Ansätze:

• Kontinuierliche Sicherheitsschulungen mit Fokus auf ethische Verantwortung
• Monitoring abweichender Verhaltensweisen und restriktive Zugriffsverwaltung
• Aktives Durchsuchen von Darknet-Plattformen nach unternehmensrelevanten Bedrohungen
• Implementierung fortschrittlicher Cybersicherheitssysteme zur Angriffsprävention

Die Überwachung des Deep Web und Darknets auf Erwähnungen des eigenen Unternehmens oder exfiltrierte Daten hat dabei denselben Stellenwert wie technische Präventionsmaßnahmen.