58 Prozent aller von Initial-Access-Broker gestohlenen Zugangsdaten zu Firmennetzwerken werden für unter 1000 US-Dollar im Dark-Net verkauft. Check Point Software Technologies geht auf diese stetig beliebter werdende Masche Cyber-Krimineller in einem eigenen Bericht der kürzlich zugekauften Experten-Firma Cyberint genauer ein. Initial-Access-Brokers (IAB) sind Hacker, die Netzwerke, Systeme oder Organisationen infiltrieren und diesen geknackten Zugang an andere Hacker verkaufen. Anstatt also den gesamten Cyberangriff auszuführen, konzentrieren sich IAB auf den ersten Einbruch und monetarisieren ihn, indem sie den Zugang zu den Systemen im Dark-Net feilbieten. Sie unterstützen auf diese Weise Ransomware-Operationen, insbesondere RaaS-Systeme, indem sie solche Angriffe optimieren und die Einstiegshürden reduzieren.
Der Bericht basiert auf Daten von Cyberint – das Forschungs-Team eines Unternehmens von Check Point – die über die letzten zweieinhalb Jahre in führenden Dark-Web-Foren (nämlich Ramp, Breach, XSS und Exploit-Forums) gesammelt wurden. Er hebt hervor, dass die USA im Jahr 2024 das Hauptziel von IAB waren (31 Prozent), während Frankreich und Brasilien stark ins Visier gerieten. In den Top-10-Ländern stieg die Zahl der zum Verkauf stehenden Zugänge um 90 Prozent, was darauf hindeutet, dass sich die Hacker auf bestimmte Länder konzentrieren, anstatt ihre geografischen Ziele zu streuen. Dies könnte verschiedene Gründe haben, von der gezielten Auswahl von Ländern mit höherem Wirtschaftspotenzial bis hin zu Ländern mit wertvolleren Daten. Deutschland blieb bislang etwas verschont und rangiert auf Rang 10 der am meisten betroffenen Länder.
(Quelle: Check Point).
Marco Eggerling, Global CISO bei Check Point Software Technologies, schätzt die Lage für Deutschland ein: „Angesichts der zunehmenden Berichterstattung über erfolgreiche Cyber-Angriffe in Deutschland im vergangenen Jahr ist es nur eine Frage der Zeit, bis auch Industrieländer mit einer Vielzahl wertvoller Mittelstandsunternehmen und Großkonzerne zunehmend im Fokus solcher Angreifer stehen. Die Bedrohung durch Identitäts- und Account-Betrug wird in Zukunft zweifellos an Bedeutung gewinnen. Aus diesem Grund bleibt die oberste Priorität weiterhin, eine robuste Passwortpolitik strikt aufrechtzuerhalten und durchzusetzen. Darüber hinaus muss die Einführung von Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) für sämtliche Identity-Services eine Pflichtmaßnahme sein – und zwar sowohl für Cloud-Umgebungen als auch für hybride sowie Onpremise-Systeme, die kontinuierlich gepflegt und geprüft werden müssen. Darüber hinaus empfiehlt es sich, fortlaufend mit leistungsfähigen Technologien und Tools, wie von Check Points Cyberint, die Hacker-Foren im Dark-Net nach gestohlenen Zugangsdaten des eigenen Unternehmens zu durchsuchen. Nur durch vorrausschauende, umfassende und mehrschichtige Sicherheitsmaßnahmen kann langfristig gewährleistet werden, dass Unternehmen nicht nur in der Gegenwart, sondern auch in der Zukunft gegen die jeweils aktuellen Bedrohungen gewappnet sind.“
IAB zielen auf verschiedene Branchen, wobei der Sektor der Unternehmensdienstleistungen am häufigsten betroffen ist, ähnlich wie bei Ransomware-Trends. Der Einzelhandel ist 2023 und 2024 durchgehend unter den Top 3 geblieben, aber die Fertigungsindustrie hat sich 2024 als wachsender Schwerpunkt erwiesen und ist in die Top 3 aufgestiegen. Die Streuung der anvisierten Unternehmen hat ebenfalls zugenommen.
Im Jahr 2024 hat sich der Fokus auf kleinere Organisationen verlagert, möglicherweise aufgrund der oft schwächeren IT-Abwehr. Die meisten Organisationen liegen im Bereich von 5 bis 50 Millionen US-Dollar, was 60,5 Prozent aller zum Verkauf stehenden Zugangslisten entspricht.
Dazu passt, dass 53 Prozent der erfolgreich attackierten Endpunkte auf den Windows-Defender allein als Verteidigung setzten.
Die Konzentration auf die kleinen und mittleren Unternehmen (KMU) aber hat den durchschnittlichen Umsatz der Cyber-Kriminellen von 1,38 Milliarden US-Dollar im Jahr 2023 auf 1,28 Milliarden US-Dollar im Jahr 2024 gesenkt.
Es gibt drei Haupttypen von IAB, welche die meisten Ransomware-Angriffe derzeit antreiben. Im Jahr 2023 waren Initial-Access-Broker, die Zugänge zu Servern anboten, welche wegen eines ungesicherten Remote Desktop Protocol (RDP) anfällig waren, am häufigsten zum Verkauf gestanden (>60 Prozent). Im Jahr 2024 nahm der VPN-Zugang jedoch stark zu (33 Prozent) während RDP-Zugänge nachließen (55 Prozent).
Zudem unterscheiden die Initial-Access-Broker zwischen der Wertigkeit der Zugangsdaten, das heißt: Wie viele Privilegien stehen dem Käufer über das Benutzerkonto zur Verfügung? Die Top-3-Varianten legten stark zu, wobei den größten Zuwachs die normalen Domain-Nutzer verzeichneten (447 Prozent). Lokale Administratoren stiegen um 161 Prozent, Domain-Administratoren um 144 Prozent.
Die meisten IAB-Einnahmen fallen in eine Preisspanne von 500 bis 3000 US-Dollar (86 Prozent) für den Zugang zu Unternehmen, obwohl gelegentlich hochwertige Angebote erscheinen, die 10.000 US-Dollar übersteigen.
Das Fazit der Sicherheitsforscher lautet, dass eindeutig zu wenige Unternehmen auf einen mehrschichtigen Sicherheitsansatz setzen, sondern sich auf eine Ebene allein verlassen. Wird diese Überwunden, ist das Tor zum Netzwerk offen.
Info: Bitte beachten, dass die bereitgestellten Daten auf Beobachtungen aus den Foren „Ramp“, „Breach“, „XSS“ und „Exploit“ beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.
#CheckPoint
powered by Borlabs Cookie 