Diebstahl von Zugangsdaten

Anmeldedaten-Diebstahl boomt in Europa!

| Autor / Redakteur: Daniel Solís / Peter Schmitz

Zugangs- und Logindaten sind für Cyberkriminelle bares Geld wert. Sie werden oft schnell an andere Kriminelle weiterverkauft, die dann damit Angriffe auf Unternehmen durchführen.
Zugangs- und Logindaten sind für Cyberkriminelle bares Geld wert. Sie werden oft schnell an andere Kriminelle weiterverkauft, die dann damit Angriffe auf Unternehmen durchführen. (Bild: Pixabay / CC0)

Ein einziger Satz gültiger Logindaten reicht aus, um in die IT-Systeme eines Unternehmens einzudringen und Schaden anzurichten. Cyberkriminelle haben immer ausgefeiltere von den Strategien, Methoden und Verfahren zum Abgreifen der Daten und arbeiten an immer neuen Möglichkeiten um von ihrem Diebstahl zu profitieren.

Cyberkriminalität ist eine eigene Branche und Kooperation wird in dieser Branche großgeschrieben. Es gibt Softwareentwickler, Distributoren und Händler. Einige Cyberkriminelle gehen sogar so weit, für die von ihnen verkaufte Schadsoftware Kundensupport und Geld-zurück-Garantien anzubieten. Nicht nur das, die Hauptakteure in diesem obskuren Bereich beauftragen häufig auch Dritte, die über sehr spezifische Fähigkeiten und Kompetenzen verfügen, um das gemeinsame Ziel zu erreichen: Profit.

Innerhalb dieser Branche gibt es ein wachsendes Ökosystem, das ganz auf die Beschaffung gültiger Zugangsdaten ausgerichtet ist. Dabei kommen unterschiedliche Mechanismen und Tools zum Einsatz, die kostengünstig im Untergrund angeboten werden. Sobald ein Angreifer sich Zugang zu einem gültigen Satz von Logindaten verschafft hat, stehen ihm zahlreiche Möglichkeiten offen. Mit fremden Anmeldedaten können Cyberkriminelle Betrug, Erpressung oder Identitätsdiebstahl begehen, Schadsoftware verbreiten sowie Rufschädigung oder Spionage betreiben.

Bisweilen kann mit einem einzigen Satz gültiger Anmeldedaten ein ganzes Unternehmen in die Knie gezwungen werden. Im schlimmsten Fall ermöglichen die Anmeldedaten eines Administrators einem Angreifer umfassenden Zugriff. Sobald er in die Umgebung eingedrungen ist, kann er sich frei bewegen, Backdoors einbauen, Remote Access Trojans (RAT) und andere Software fest in das System integrieren sowie Mitarbeiter- oder Kundendaten extrahieren, um sie zu verkaufen oder zum eigenen finanziellen Vorteil selbst zu nutzen.

Anmeldedaten-Diebstahl boomt in Europa

Um die Erkenntnisse des Blueliv-Reports in den richtigen Zusammenhang zu stellen, wurden sämtliche Informationen zu Datendiebstählen nach Möglichkeit auch geografisch zugeordnet. Jüngste Trends legen nahe, dass es die zwielichtigen Hauptakteure seit Anfang 2018 vor allem auf Europa und Russland abgesehen haben. Zwischen Januar und Mai konnte Blueliv in diesen beiden Regionen einen Anstieg bei den Diebstahlsdelikten von Anmeldedaten von 39 Prozent im Vergleich zum Vorjahr feststellen. Nimmt man Russland aus diesem Vergleich heraus, steigt dieser Wert sogar auf 62 Prozent an.

Auf dem europäischen Markt haben gestohlene Anmeldedaten eine hohe Nachfrage, und der Bericht nennt einige Hypothesen, warum es in Europa im Vergleich zum Vorjahr zu einem derartigen Anstieg beim Anmeldedaten-Diebstahl gekommen ist. Cyberkriminelle Gruppen arbeiten online effektiver zusammen, um gemeinsam gezielte Aktionen durchzuführen. Weniger professionelle Angreifer können sehr einfach kostengünstige Tools zur schnellen Implementierung von Schadsoftware online erwerben. Verbraucher nutzen deutlich mehr Online-Dienste, für die Anmeldedaten erforderlich sind, so dass Kriminellen mehr potentielle Opfer zur Verfügung stehen. Der Bericht stellt ein stetiges Wachstum beim Diebstahl von Anmeldedaten vor allem in den Bereichen Social Media, Einzelhandel sowie Glücksspiele und Gaming fest, was auf die zunehmende Nutzung entsprechender Online-Services zurückzuführen ist.

Zu vermuten ist auch, dass Angriffe auf russische Nutzer, Services und Unternehmen als Testballons für neue Strategien und Verfahren dienen, bevor Europa als lukrativer „neuer Markt“ ins Visier genommen wird. Es ist durchaus üblich, Schadsoftware in einer Kampagne zunächst in Russland und erst danach in Europa zu verbreiten.

Inzwischen scheint es europaweit mehr aktive Diebstahlskampagnen zu geben als je zuvor. Bluelivs Infrastruktur erfasst enorme Mengen von Schadprogrammen. In der Blueliv eigenen Sandbox-Umgebung fielen ein Anstieg um 300 Prozent bei der beobachteten Anzahl von LokiPWS-Malware sowie eine deutlich größere Anzahl von Verbreitungskampagnen auf. Diese starke Zunahme lässt sich zumindest zum Teil durch Quellcode-Lecks bei verschiedenen Versionen von LokiPWS erklären. Eine andere mögliche Erklärung ist die überlegene Funktionalität: LokiPWS kann sowohl zum Nachladen weiterer Schadsoftware als auch zum Diebstahl von Zugangsdaten eingesetzt werden und ist zudem als modulares Produkt verfügbar (je nach gewünschtem Anwendungsbereich für 200 bis 400 US-Dollar).

Opfer fallen immer noch auf die Fallen bei Social Engineering-Angriffen herein. Spam-Kampagnen sind zusammen mit Exploit-Kits und infizierten Websites in der Regel die effektivsten Tools für die Verbreitung von Schadsoftware. Leider kennen sich die meisten Benutzer immer noch viel zu wenig mit Computer-Sicherheit aus, was den Angreifern höhere Erfolgsraten beschert. Und sobald ein Rechner infiziert ist, ist der Diebstahl von Anmeldedaten eine der leichtesten Übungen für eine Schadsoftware.

Monetarisierung von gestohlenen Zugangsdaten

In den meisten Fällen geht es beim Diebstahl von Anmeldedaten um finanziellen Gewinn. Dabei können sich je nach Kundentyp, ursprünglichem Besitzer und Angreifer ganz unterschiedliche Profitchancen ergeben. Cyberkriminelle, die Anmeldedaten stehlen, sind nur selten auch deren Nutznießer. Es gibt zahlreiche dunkle Online-Kanäle, über die Zugangsdaten gehandelt werden. Beispielsweise sind von einer eCommerce-Website gestohlene Anmeldedaten, die für betrügerische Transaktionen auf Benutzerebene verwendet werden können, schon ab 9 US-Dollar erhältlich. Die Preise für Zugangsdaten für Bankkonten sind abhängig vom Guthaben des betroffenen Kontos – sie können für ein Konto mit einem Kontostand von einer halben Million bis zu 25.000 US-Dollar betragen.

Cyberkriminelle Gruppen mit weniger Ressourcen geben gestohlene Anmeldedaten an professionellere Akteure weiter, die technisch ausgefeilte Angriffe auf Unternehmen durchführen können. Mit Zugangsdaten mit Adminrechten für ein Unternehmensnetzwerk können sich Angreifer Zugang zu diesem Unternehmen verschaffen und in den IT-Systemen erheblichen Schaden anrichten. Je nach Umfeld versuchen sie, größtmöglichen Nutzen aus dem erhaltenen Zugang zu erlangen, indem sie weitere Malware platzieren, vertrauliche Unternehmensinformationen entwenden oder personenbezogene Daten stehlen. Wenn größere Mengen Kundendaten auf diese Weise extrahiert werden, kann der Angreifer diese Informationen nutzen, um Geld vom Unternehmen zu erpressen. Angesichts der neuen hohen DSGVO-Bußgelder könnte es für Unternehmen in vielen Fällen günstiger sein, den Angreifern das geforderte Lösegeld zu zahlen.

Wirksame Verteidigungsmaßnahmen

Angreifer mit den unterschiedlichsten technischen Fähigkeiten – von Scriptkiddies bis hin zu internationalen Verbrechersyndikaten – setzen unterschiedliches Wissen, Tools und Kompetenzen ein, um Zugangsdaten zu stehlen. Unternehmen müssen mit umfassenden Maßnahmen auf mehreren Ebenen für Schutz, Erkennung und hohe Reaktionsgeschwindigkeit sorgen – vor, während und nach Angriffen.

Wie bei vielen Aspekten der Cybersicherheit spielen die Zusammenarbeit und der Informationsaustausch zwischen den IT-Sicherheitsabteilungen verschiedener Unternehmen eine entscheidende Rolle. Alle Mitarbeiter sollten jeder Aufforderung zur Eingabe oder Preisgabe von Anmeldedaten mit einer gesunden Dosis Misstrauen begegnen, denn Endanwender sind fast immer die schwächsten Glieder der Kette. Es ist natürlich nicht möglich, alle Angriffsversuche vollständig zu unterbinden. Dennoch sollten Unternehmen größten Wert auf die Schulung ihrer Mitarbeiter legen und strenge Sicherheitsrichtlinien implementieren (Beispiel: Benutzer dürfen bestimmte Dateitypen nicht ausführen). Wenn aber Zugangsdaten bereits entwendet wurden, ist schnelle Information über den Diebstahl wichtig, um Schaden vom Unternehmen abzuwenden.

Je aktueller die gestohlenen Zugangsdaten sind, desto größer ist die Wahrscheinlichkeit, dass sie von Cyberkriminellen für einen Einbruch ins Unternehmen genutzt werden können. Ebenso gilt: Je früher der Diebstahl von Anmeldedaten mithilfe von Threat Intelligence aufgedeckt wird, desto eher können Sicherheitsteams deren Missbrauch verhindern.

Mit einer guten Cyber Threat Intelligence-Lösung hat man einen Cyberspion im Feindeslager, und die dort gesammelten Informationen ermöglichen es, das eigene Unternehmen effektiv zu verteidigen. Ein Netzwerk von Crawlern und Sensoren kann Unternehmen melden, wenn ihre Anmeldedaten extrahiert und an einen Command&Control-Server oder ein Untergrund-Forum weitergeleitet wurden. Wer weiß, was gestohlen wurde, kann einen möglichen Schaden mindern oder sogar vollständig abwenden. Ist zudem bekannt, von welchem Rechner die Daten gestohlen wurden, lässt sich anhand von forensischen Untersuchungen ermitteln, wie der Angreifer in die Infrastruktur eindringen konnte. Außerdem kann das Sicherheitsteam die verwendete Schadsoftware analysieren und Mitarbeiter entsprechend warnen, um ähnliche Angriffe in Zukunft zu verhindern.

Über den Autor: Daniel Solís ist CEO und Gründer von Blueliv.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45462450 / Hacker und Insider)