Cyberkriminalität: Spezialisierung in der Cyber-Kill-Chain

Das Eindringen in Unternehmensnetzwerke ist zu einer begehrten Nische geworden. Doch wer sind die Initial Access Broker und warum verkaufen sie ihre Beute so billig?

Bild: Getty Images / Credits: peshkov

Initial Access Brokers (IABs) gehören zu den wichtigsten Akteuren der Cyberkriminalität. Ransomware-Banden, Spione und Betrüger verlassen sich auf sie; ihre Rolle ist einfach: einen Weg hineinfinden und diesen Zugang anschließend schnell an den nächsten Akteur in der Kette weiterverkaufen.

IABs sind auf die erste Phase eines Cyberangriffs spezialisiert: den unbefugten Zugang zu den Systemen einer Organisation. Anstatt selbst Ransomware-Angriffe, Betrug oder Diebstahl zu begehen, verkaufen sie den Zugang (Anmeldedaten, Konten, Hintertüren oder andere Einstiegspunkte oder Brückenköpfe) und ziehen dann weiter. Manchmal ist der Zugang überraschend günstig, nur wenige Pfund pro Kontakt, doch es wäre ein Fehler, IABs mit Script-Kiddies gleichzusetzen.

„Zugangsvermittler sind nicht unbedingt Anfänger“, sagt Javvad Malik, leitender CISO-Berater bei KnowBe4. „Sie bieten eine spezifische Nischendienstleistung an, indem sie einen Weg in eine Organisation finden, diesen Zugang aufrechterhalten und ihn an jeden verkaufen, der ihn benötigt.“

IABs verdienen ihr Geld damit, den Zugang zu verkaufen, anstatt ihn selbst auszunutzen. Dadurch können sie das Risiko und die Komplexität vermeiden, die mit späteren Phasen eines Angriffs verbunden sind, wie beispielsweise Bewegung, Verschlüsselung, Verhandlungen und Geldwäsche.

„Anstatt den vollständigen Angriff selbst durchzuführen, verkaufen sie diesen Zugang an andere Cyberkriminelle in Dark-Web-Foren und auf Untergrund-Marktplätzen“, erklärt Gordon Brebner, Leiter des technischen Teams bei Orange Cyberdefense.

Man bekommt, wofür man bezahlt

Einige Broker agieren unabhängig und bauen sich in Fachforen und auf Marktplätzen einen Ruf auf, andere konzentrieren sich darauf, große Mengen anzuhäufen und billig zu verkaufen. Es gibt auch solche, die als Lieferanten innerhalb von Ransomware-Gruppen agieren und kompromittierte Konten an Ransomware-as-a-Service- (RaaS-)Operationen weitergeben.

Abgesehen von Betrugsfällen ist es ein funktionierender Markt: Man bekommt, wofür man bezahlt. Kompromittierte Websites oder Benutzerkonten mit geringen Berechtigungen erzielen weit weniger als Administratorkonten oder dauerhafter Zugriff auf ein Unternehmensnetzwerk.

„Die Preise können niedrig sein, weil es oft um das Volumen geht“, sagt Malik. „Mit KI-gestützten automatisierten Phishing-Kits und Infostealern lassen sich viele Zugangsdaten mit geringem Aufwand stehlen.“

Billige Daten können geringe Berechtigungen aufweisen, schlecht validiert und kurzlebig sein und sich mehrfach verkaufen lassen. Im Premium-Segment verkaufen IABs weitaus weniger Angebote, dafür aber zu deutlich höheren Preisen und mit garantierter Exklusivität, wobei der Fokus auf großen Organisationen, sensiblen Branchen und Konten mit hohen Berechtigungen liegt. Es gibt auch einen Mittelweg, bei dem Broker über Infostealer gewonnene Datensätze validieren, um einen Mehrwert zu schaffen, oder sich an der Eskalation von Berechtigungen versuchen, um einen besseren Preis zu erzielen.

„Einfache Benutzeranmeldedaten lassen sich für weniger als 20 Dollar verkaufen, während E-Mail-Anmeldedaten für Standardbenutzer in Unternehmen oder im Geschäftsbereich für 30 bis 50 Dollar zu haben sind“, fügt Brebner hinzu. „Am oberen Ende der Skala können privilegierte Konten wie Domain-Admin-Anmeldedaten Zehntausende kosten.“

Drei Einfallstüren

Während sich die Cyberlandschaft ständig weiterentwickelt, bleiben die Kernmethoden weitgehend unverändert.

IABs konzentrieren sich in erster Linie auf drei Einfallstüren:

Bevorzugte Ziele sind VPNs, RDP-Fernzugriffssoftware, nicht gepatchte Endgeräte, Active Directory, E-Mail-Gateways, Service-Management-Plattformen von Drittanbietern, falsch konfigurierte Firewalls und Cloud-Dienste. Zu den Techniken gehören die Nutzung von Exploits, Brute-Force-Angriffe, Infostealer und die Bestechung kompromittierter Insider.

Trotz des typischerweise niedrigen Preises pro abgegriffenem Datensatz können automatisierte Phishing-Kits Browser-Passwörter, Authentifizierungs-Cookies und Cloud-Anmeldedaten in großem Umfang sammeln und so mit minimalem Aufwand riesige Mengen an nutzbaren Zugangsdaten generieren. Dies ist der Grund, warum dies einer der wichtigsten Wachstumsbereiche ist – und warum (sofern wir nicht als Administrator oder Führungskraft auf C-Level tätig sind) unsere Informationen so billig erhältlich sind.

Strukturiert und skalierbar

Zugänge werden in der Regel über Foren, Marktplätze und verschlüsselte Messaging-Plattformen gehandelt. Zu den Käufern zählen Ransomware-Banden und RaaS-Partner ebenso wie Betrügergruppen, staatlich unterstützte Spionageakteure, Betrüger und Datendiebe.

„Marktplätze fungieren eher wie eine spezialisierte Lieferkette als nach dem Modell ‚eine Gruppe macht alles‘“, sagt Rebecca Taylor, Threat Intelligence Knowledge Managerin und Forscherin bei der Counter Threat Unit von Sophos

„Cyberkriminalitätsmärkte funktionieren schon lange auf diese Weise – zum Beispiel Forum-Ökosysteme und Marktplätze, die sich dem Verkauf von Zugangsdaten widmen –, doch dieses Modell ist in den letzten Jahren durch Websites wie Russian Market und 2easy strukturierter und skalierbarer geworden.“

Auf diesen Märkten und in Telegram-Kanälen, die nur auf Einladung zugänglich sind, ist der Ruf eines Vermittlers ein entscheidender Vorteil. Ein Vermittler mit einem guten Ruf liefert mit größerer Wahrscheinlichkeit funktionierende Zugangsdaten, stellt genaue Details bereit und vermeidet es, Käufer zu betrügen.

Weniger wertvolle Logs von Infostealern werden oft in großen Mengen im Dark Web abgelegt, möglicherweise von IABs, die sich noch keinen Ruf aufgebaut haben, während das Premiumprodukt privat oder direkt an Ransomware-Betreiber verkauft wird. Für Ransomware-Banden ist der Kauf von Zugangsdaten oft billiger und schneller als die Entwicklung eigener Einbruchsmöglichkeiten.

Die Entwicklung der Cyberkriminalität

Die Aufteilung der Cyberkriminalität in unterschiedliche Rollen verdeutlicht, wie sehr sie sich zu einem professionalisierten, industriellen System mit Kontrollmechanismen und Arbeitsteilung entwickelt hat.

„Dies zeigt uns, wie ausgereift die Cyberkriminalität geworden ist“, sagt Malik. „Ähnlich wie in einem legitimen Unternehmen sehen wir die Entstehung von Spezialisierungen wie Erstzugang, Privilegieneskalation, Betrug, Ransomware [und] Geldwäsche.“
Es ist ein System, das darauf ausgelegt ist, den maximalen Wert aus den Opfern herauszuholen, fügt Taylor hinzu. „Der Erstzugang ist zur Ware geworden, Treuhand- und Reputationssysteme verringern ‚Marktfriktionen‘, und Ransomware-Gruppen können sich den Weg durch die schwierigste Anfangsphase erkaufen, um sich auf das zu konzentrieren, wo das Geld liegt – Erpressung.“

Brebner hat keinen Zweifel daran, dass das Geschäftsmodell erfolgreich ist und vor allem aufgrund perverser Anreize rund um Lösegeldzahlungen wächst.

„Es gibt ein ausgereiftes, bewährtes Geschäftsmodell, das Cyberkriminelle täglich ausnutzen und verfeinern. Und solange Unternehmen weiterhin Lösegeld zahlen, wird diese Schattenwirtschaft weiter florieren.“

Er fährt fort: „Für mich wirft dies Fragen hinsichtlich der spezialisierten Cybersicherheits-Verhandlungsfirmen auf, die als Vermittler fungieren, um ‚Zeit zu gewinnen‘, den Ransomware-Preis zu senken und Fachwissen auf der Grundlage früherer Verhandlungen mit bestimmten Gruppen anzubieten.

„Zwar bieten diese Firmen den betroffenen Opfern zweifellos Unterstützung, doch lässt sich argumentieren, dass sie zu den Zahlungen beitragen, die weiterhin an die Angreifer fließen. Dies wiederum befeuert eine sich selbst tragende Branche, die sowohl von illegalen Akteuren als auch von den legitimen professionellen Dienstleistern gestützt wird, die sich um sie herum entwickelt haben.“

--

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.