Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner

Neue HP Wolf Security-Studie: Cyberkriminelle setzen auf Dispute Resolution Services, Lieferantenbürgschaften und Treuhandzahlungen, um „faire“ Geschäfte zu gewährleisten

HP Inc. veröffentlicht The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back – an HP Wolf Security Report. Die Studie belegt, dass die Cyber-Kriminalität durch sogenannte „Plug-and-Play“-Malware-Kits aktuell im Aufwind ist – Cyber-Attacken sind damit einfacher durchführbar als jemals zuvor. Cyber-Konsortien setzen dabei bei Angriffen auf die Unterstützung von Amateur-Hackern und gefährden so unsere Online-Welt.

Für die Studie arbeitete das Threat-Team von HP Wolf Security eng mit Forensic Pathways zusammen, einem Zusammenschluss von weltweit führenden Forensik-Experten. Im Zeitraum von drei Monaten untersuchte das Team das Dark Web. Dabei wurden mehr als 35 Millionen cyberkriminelle Marktplätze und Forenbeiträge gescannt und analysiert. Ziel der Untersuchung war es, zu verstehen, wie Cyber-Kriminelle arbeiten, Vertrauen gewinnen und eine Reputation aufbauen.

Zu den wichtigsten Erkenntnissen gehören:

• Malware ist günstig und leicht verfügbar – Mehr als drei Viertel (76 Prozent) der gelisteten Malware-Anzeigen und 91 Prozent der Exploits (darunter versteht sich Code, der Angreifern über Software-Fehler die Kontrolle über Systeme verschafft) werden für weniger als zehn US-Dollar verkauft. Die durchschnittlichen Kosten für kompromittierte Remote Desktop Protocol-Anmeldeinformationen liegen bei gerade einmal fünf US-Dollar. Anbieter verkaufen ihre Produkte in Paketen, mit Plug-and-Play-Malware-Kits, Malware-as-a-Service, Tutorials und Mentorendiensten. Auch mit geringen Kenntnissen und Erfahrungen sind Cyber-Kriminelle so in der Lage, komplexe technische Angriffe durchzuführen – tatsächlich sind aktuell nur zwei bis drei Prozent der Bedrohungsakteure erfahrene Programmierer[1].
• Die Ironie von der „Ehre unter Cyber-Dieben“ – Ähnlich wie im legalen Online-Handel sind Vertrauen und Reputation ironischerweise wesentliche Bestandteile des cyber-kriminellen Handels: 77 Prozent der analysierten cyber-kriminellen Marktplätze verlangen eine Verkäuferbürgschaft – dahinter verbirgt sich eine Art Verkaufslizenz – die bis zu 3.000 US-Dollar kosten kann. Davon nutzen 85 Prozent Treuhandzahlungen und 92 Prozent verfügen über einen externen Dispute Resolution Service. Darüber hinaus bietet jeder Marktplatz Bewertungen von Verkäufern an. Cyber-Kriminelle versuchen zudem, den Strafverfolgungsbehörden einen Schritt voraus zu sein: Sie nehmen ihre Reputation bzw. ihre Bewertung von einer Website mit zur nächsten. Dies ist möglich, da die durchschnittliche Lebensdauer einer Dark Net Tor-Website gerade einmal 55 Tage beträgt.
• Beliebte Software verschafft Cyber-Kriminellen einen Fuß in der Tür – Cyber-Kriminelle konzentrieren sich darauf, Lücken in Software zu finden. Über diese Lücken sind die in der Lage, einen Fuß in die Tür zu bekommen und die Kontrolle über Systeme zu übernehmen. Dabei nehmen sie besonders bekannte Schwachstellen in beliebter Software ins Visier, darunter etwa das Windows-Betriebssystem, Microsoft Office oder Web-Content-Management-Systeme sowie Web- und Mail-Server. Kits, die Schwachstellen in Nischensystemen ausnutzen, erzielen dabei die höchsten Preise (in der Regel zwischen 1.000 und 4.000 US-Dollar). Zero Days (Schwachstellen, die noch nicht öffentlich bekannt sind) werden auf Dark Web-Märkten für Zehntausende von US-Dollar gehandelt.

„Leider war es noch nie so einfach, ein Cyber-Krimineller zu sein“, kommentiert der Autor des Berichts, Alex Holland, Senior Malware Analyst bei HP Inc. „Komplexe Angriffe erforderten bisher spezielle Fähigkeiten, Kenntnisse und Ressourcen. Jetzt sind die Technologie und die entsprechende Ausbildung günstiger als ein Döner zu haben. Und unabhängig davon, ob es um die Preisgabe von Unternehmens- und Kundendaten, um Lieferverzögerungen oder sogar um die Absage eines Krankenhausaufenthalts geht – die explosionsartige Zunahme der Internetkriminalität betrifft uns alle. Im Mittelpunkt steht Ransomware. Diese hat ein neues Ökosystem von Cyber-Kriminellen geschaffen, das kleinere Akteure mit einem Teil des Gewinns belohnt. So entsteht eine Art Fabrik für Cyber-Kriminalität. Diese produziert Angriffe, die sehr schwer abzuwehren sind, und nimmt genau die Unternehmen ins Fadenkreuz, auf die wir uns alle verlassen.“

Darüber hinaus hat HP sich mit einem Gremium von Experten aus dem Bereich Cybersecurity und Wissenschaft beraten – darunter der ehemalige Black-Hat-Hacker Michael „Mafia Boy“ Calce und der Kriminologe Dr. Mike McGuire. Ziel war es, die Entwicklung der Cyber-Kriminalität zu verstehen und herauszufinden, wie Unternehmen sich besser gegen die Bedrohungen von heute und morgen zu schützen. Die Experten rufen Organisationen dazu auf, sich künftig auf zerstörerische Data Denial Attacks sowie Cyber-Kampagnen und Cyber-Kriminelle einstellen müssen, die bei ihren Angriffen Technologien wie künstliche Intelligenz (KI) einsetzen.

Um sich vor aktuellen und zukünftigen Bedrohungen zu schützen, sollten Firmen folgende Tipps beachten: 

• Die Grundlagen beherrschen und Cyber-Kriminellen damit weniger Chancen zum Angriff bieten: Unternehmen sollten Best Practices wie Multi-Faktor-Authentifizierung und Patch-Management nutzen sowie die Angriffsfläche für die wichtigsten Angriffsvektoren reduzieren. Dazu gehören E-Mail, Web-Browsing und Dateidownloads. Selbstheilende Hardware erhöht darüber hinaus die Widerstandsfähigkeit.
• Konzentration darauf, das Spiel zu gewinnen: Organisationen sollten stets mit dem schlimmstmöglichen Szenario planen. Darüber hinaus sollten Firmen Risiken, die von Mitarbeitern und Partnern ausgehen, begrenzen, etwa mithilfe von Prozessen zur Überprüfung der Sicherheit von Zulieferern und zur Aufklärung der Mitarbeiter zum Thema Social Engineering. Unternehmen müssen prozessorientiert agieren und Reaktionen auf Angriffe trainieren – auf diese Weise erkennen sie Attacken und einhergehende Probleme schneller und sind in der Lage, Verbesserungen vorzunehmen und sich besser vorzubereiten.
• Cyberkriminalität ist ein Mannschaftssport. Das gilt auch für die Cybersecurity: Unternehmen sollten ihre Mitarbeiter zum Austausch über Bedrohungen und Erkenntnisse motivieren. Darüber hinaus empfiehlt es sich, auf Bedrohungsdaten zurückzugreifen und proaktiv offene Diskussionen in Untergrundforen zu beobachten. Die Zusammenarbeit mit Sicherheitsdiensten von Drittanbietern unterstützt dabei, Schwachstellen und kritische Risiken aufzudecken, die behoben werden müssen.

„Wir alle müssen mehr tun, um die wachsende Cyber-Kriminalität zu bekämpfen“, sagt Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc. „Für den Einzelnen bedeutet dies, dass er sich des Themas bewusst werden muss. Die meisten Angriffe beginnen mit einem einzigen Mausklick. Daher ist es immer wichtig, dass man erst nachdenkt, bevor man klickt. Noch besser ist es natürlich, sich ein Sicherheitsnetz zuzulegen, indem man Technologien implementiert, die die Auswirkungen ebensolcher Klicks reduzieren und wiederherstellen.“

„Für Unternehmen ist es wichtig, ihre Widerstandsfähigkeit zu verbessern und so viele gängige Angriffswege wie möglich auszuschalten“, so Pratt weiter. „Cyber-Kriminelle studieren zum Beispiel Patches, sobald sie veröffentlicht werden, und nutzen sie aus, bevor Unternehmen sie gepatcht haben. Daher ist eine schnellere Patch-Verwaltung von entscheidender Bedeutung. Viele der häufigsten Bedrohungskategorien – etwa solche, die über E-Mail und das Internet übertragen werden – können durch Techniken wie die Eindämmung und Isolierung von Bedrohungen vollständig neutralisiert werden. Dadurch lässt sich die Angriffsfläche eines Unternehmens erheblich reduzieren – und dies unabhängig davon, ob die Schwachstellen gepatcht sind oder nicht.“

Den vollständigen Report finden Sie hier.

Über die Studie

The Evolution of Cybercrime – How the Dark Web Supercharged the Cybercrime Economy: A report by HP Wolf Security basiert auf folgenden Quellen:

1. Eine unabhängige Studie, die von der Dark Web-Untersuchungsfirma Forensic Pathways im Auftrag von HP Wolf Security durchgeführt wurde. Das Unternehmen sammelte Dark Web-Marktplatzlisten mit Hilfe automatisierter Crawler, die Inhalte im Tor-Netzwerk überwachen. Das Dark Search Engine-Tool verfügt über einen Index, der aus mehr als 35 Millionen URLs mit gesammelten Daten besteht. Die gesammelten Daten wurden von den Analysten von Forensic Pathway untersucht und validiert. In diesem Bericht wurden etwa 33.000 aktive Websites im Dark Web analysiert, darunter 5.502 Foren und 6.529 Marktplätze. Zwischen Februar und April 2022 identifizierte Forensic Pathways 17 kürzlich aktive Marktplätze für Cyber-Kriminalität im Tor-Netzwerk und 16 Hacker-Foren im Tor-Netzwerk und im Internet, die relevante Einträge enthalten, aus denen sich der Datensatz zusammensetzt.
2. Der Bericht enthält zudem die Bedrohungs-Telemetrie von HP Wolf Security und Untersuchungen der durchgesickerten Kommunikation der Conti-Ransomware-Gruppe.
3. Interviews mit und Beiträge von Cybersecurity-Experten, darunter:
   • Alex Holland, Report Author, Senior Malware Analyst, HP Inc.
   • Joanna Burkey, Chief Information Security Officer, HP Inc.
   • Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc.
   • Boris Balacheff, Chief Technologist for Security Research and Innovation, HP Labs, HP Inc.
   • Patrick Schlapfer, Malware Analyst, HP Inc.
   • Michael Calce, Former Black Hat „MafiaBoy”, HP Security Advisory Board Member, CEO Decentraweb & President, Optimal Secure.
   • Dr. Mike McGuire, Senior Lecturer of Criminology at the University of Surrey, UK & Cybersecurity-Experte.
   • Robert Masse, HP Security Advisory Board member and Partner, Deloitte.
   • Justine Bone, HP Security Advisory Board member and CEO, Medsec.