Das Jahr 2022 geht zu Ende und die Sicherheitsbranche wirft einen Blick zurück auf die vergangenen zwölf Monate: Welchen Herausforderungen müssen sich IT-Unternehmen im kommenden Jahr stellen. Sophos stuft in seinem 2023 Threat Report die kontinuierliche Weiterentwicklung des Wirtschaftszweigs „Cyberkriminalität“ als wichtigen Trend ein. Unternehmen müssen sich demnach auf immer professionellere Bedrohungsakteure einstellen, die zudem immer häufiger auf ein Netzwerk von Supportdiensten zurückgreifen.
Eine wichtige Strategie, die Cyberkriminelle von der IT-Branche übernommen haben, sind „As-a-Service“-Angebote. Egal ob es um Zugänge zu Netzwerken, Erpressersoftware, Datendiebstahl oder die Verbreitung von Schadsoftware geht, fast alles kann heute als Dienstleistung eingekauft werden – was zudem den Einstieg in die Cyberkriminalität deutlich vereinfacht.
Die schmutzigen Neun: Cybercrime-as-a-Service
Wie breit der Wirtschaftszweig Cyberkriminalität inzwischen aufgestellt ist, wird unter anderem durch die Vielzahl der unterschiedlichen „As-a-Service“-Angebote unterstrichen, auf die Hacker heute zurückgreifen können. Sophos spricht in diesem Zusammenhang von den „schmutzigen Neun“: Access-as-a-Service, Malware-Verbreitung-as-a-Service, Phishing-as-a-Service, OPSEC-as-a-Service, Crypting-as-a-Service, Scamming-as-a-Service, Vishing-as-a-Service, Spamming-as-a-Service und Scanning-as-a-Service. Somit lassen sich praktisch alle Stufen eines noch so komplexen Angriffs als Dienstleistung einkaufen.
Sogenannte Access Broker handeln mit kompromittierten Nutzerkonten und Zugängen zu Systemen. Seien es Anmeldedaten für VPNs oder Remote Desktop Protocol, Web Shells oder ausnutzbare Schwachstellen, alles ist in Untergrundmarktplätzen einzeln oder auch in größeren Stückzahlen erhältlich.
Dort werden aber auch Dienste für die Verbreitung von Schadsoftware angeboten – unter anderem speziell für bestimmte Regionen oder Branchen. Bedrohungsakteure offerieren des Weiteren alle Stufen einer Phishing-Kampagne, inklusive geklonten Websites, speziell gestalteten E-Mails zur Umgehung von Spam-Filtern und Tools für die Überwachung des Erfolgs einer Kampagne. Interessenten können aber auch sogenanntes Voice Phishing (Vishing) buchen, also einen Dienst für Phishing per Sprachanruf, wobei ein AI-System hinzugebucht werden kann, sodass Opfer mit einem Bot statt einer Person sprechen.
Infektionen mit Cobalt Strike verbergen
Im Zusammenhang mit dem Pentest-Werkzeug Cobalt Strike, das auch von Cyberkriminellen eingesetzt wird, stieß Sophos sogar auf ein OPSEC-Angebot: Der Verkäufer versprach, einmalig oder im Rahmen eines monatlichen Abonnements, Kunden zu helfen, Infektionen mit Cobalt Strike zu verbergen, um das Risiko einer Erkennung oder gar Identifizierung zu minimieren.
Das Austricksen von Sicherheitsanwendungen steht auch beim Crypting-as-a-Service im Mittelpunkt. Ziel ist es hier, Malware so zu verschlüsseln, dass sie unter anderem von Anwendungen wie Windows Defender und SmartScreen nicht erkannt wird. Darüber hinaus wird in Untergrundforen auch das klassische Spamming angeboten. Cyberkriminelle können die dafür benötigte Infrastruktur mieten oder sich die benötigten Systeme aufbauen lassen.
Abgerundet wird das Angebot durch Scanning-as-a-Service. Nutzer erhalten darüber Zugang zu kommerziellen Sicherheitstools wie Metasploit, Invikti, Burp Suite und Brute Ratel, um Sicherheitslücken aufzuspüren. Der Verkäufer unterhält auch die erforderliche Infrastruktur und behauptet, seine Kunden müssten nur noch „auf die Scan-Ergebnisse im Posteingang“ warten.
Infostealers: Geld verdienen mit Datendiebstahl
Aber nicht nur die angebotenen Cybercrime-Dienste werden immer professioneller, sondern auch deren Vermarktung. Statt einfacher, textlastiger Einträge in Untergrundforen setzen Anbieter inzwischen auf professionelles Grafikdesign und Layout, um ihre Angebote zu bewerben und die „eigene Marke“ zu differenzieren. Sogar Jobangebote und Stellengesuche sind in Cybercrime-Marktplätzen zu finden, was ebenfalls die Kommerzialisierung der Cyberkriminalität unterstreicht.
Zu den Support-Diensten der Malware-Wirtschaft zählt Sophos das sehr breite Feld der Infostealer. Zum Diebstahl von Daten und persönlichen Informationen lässt sich eine Vielzahl von Schadprogrammen einsetzen, darunter Remote Access Tools (RAT) und Keylogger. Selbst beim Diebstahl von Kryptowährungen können als Beifang wertvolle vertrauliche Informationen wie Transkationsdetails, Browser-Cookies und Anmeldedaten in die Hände von Cyberkriminellen fallen – nutzbar ist praktisch alles, was sich leicht entwenden und anschließend verkaufen oder wiederverwerten lässt.
Als Beispiel nennt Sophos den Angriff der Lapsus$-Gruppe auf den Spieleentwickler Electronics Art. Ausgangspunkt hierfür waren Cookies für Slack – beschafft über Infostealer. Beliebt sind demnach auch Session Tokens für Webanwendungen, um dauerhafte Zugänge einzurichten, beispielsweise für Business E-Mail Compromise oder Ransomware-Attacken.
Einstieg in Cyberkriminalität immer einfacher
Infostealers werden nach dem Gießkannenprinzip oder auch eher zielgerichtet verbreitet. Sie finden sich in gehackter kommerzieller Software oder versteckt in Dateianhängen von Phishing-E-Mails. Sophos sind aber auch Fälle bekannt, in denen eine Hintertür benutzt wurde, um Malware zum Ausspähen von Sitzung-Cookies einzuschleusen, die wiederum ein Anmeldung bei webbasierten Ressourcen eines Unternehmens erlauben.
Die Kommerzialisierung der Cyberkriminalität hat laut Sophos zwei wichtige Auswirkungen. Zum einen wird der Einstieg in die Cyberkriminalität immer leichter, zum anderen werden Taktiken und Tools, die man früher mit Advanced Persistent Threats verband, immer mehr zur Massenware. Sophos betont, dass es zudem für Unternehmen immer schwieriger wird, sich selbst zu schützen.
Neueste Kommentare
Noch keine Kommentare zu Cybersicherheit im Jahr 2022: Schadsoftware als Wirtschaftszweig
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.