:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Einblick in die Cyber-Unterwelt, Teil 1 Cyberkriminelle und das Ökosystem der Untergrundforen
Das Geschäft mit Cyberangriffen hat sich in den letzten zehn Jahren stark entwickelt. Dies liegt, einerseits an den niedrigeren Investitionskosten für Cyberkriminelle durch leicht verfügbare Tools, andererseits an der steigenden Effizienz der Strategien und Supportstrukturen. Die Schattenwirtschaft im Untergrund professionalisiert sich immer mehr.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Im Cybercrime-Untergrund werden heute Informationen wie persönliche Identifizierungs-, Authentifizierungs- oder Überweisungsdaten und geistiges Eigentum mittels der anonymen Kryptowährung Bitcoin gehandelt. Doch auch Ressourcen wie Malware, Exploits, aber auch Trainings, Leitfäden oder die Kontrolle kompromittierter Maschinen werden als Service angeboten. Durch den Ausbau eines Leasing-Systems werden die Angreifer mittlerweile komfortabel bedient, während erfolgreiche Cyberattacken bei Unternehmen und Organisationen zu Vertrauensverlusten und immensen, auch nachhaltigen, finanziellen Schäden führen.
Der Schattenmarkt im cyberkriminellen Milieu umfasst mehrere wichtige Akteur-Rollen innerhalb cyberkrimineller Foren.
:quality(80)/images.vogel.de/vogelonline/bdb/1282600/1282626/original.jpg "LuminosityLink-Website.")
:quality(80)/images.vogel.de/vogelonline/bdb/1282600/1282627/original.jpg "Website für das Remote-Control-Programm Ozone.")
:quality(80)/images.vogel.de/vogelonline/bdb/1282600/1282628/original.jpg "Angebote und Preismodelle für Netwire.")
:quality(80)/images.vogel.de/vogelonline/bdb/1282600/1282629/original.jpg "Orcus-Website.")
Malware- / Exploit-Entwickler: Die Entwicklung bösartiger Tools und Exploits für cyberkriminelle Aktivitäten erfolgt meistens durch Einzelpersonen. Zum Angebot zählen heute insbesondere Remote-Access-Trojaner und Remote-Administration-Tools (RATs), Exploit Kits (EKs), Crypter, Keylogger und Information Stealer. Technisch kompetente Entwickler nutzen ihre Kenntnisse und Fähigkeiten, um Software-Tools und Exploits zu schaffen, die in der Lage sind, gängige Überwachungsmaßnahmen zu umgehen, damit Angreifer ihre Ziele erreichen können.
Back-Office-Unterstützung – Marketing: Tools, die in den Untergrund-Foren verkauft werden, werden zunehmend auf Websites mit attraktiven, professionell aussehenden Marketing-Layouts beworben. Dabei werden die Funktionen und Fähigkeiten des jeweiligen Tools oder Diensts herausgestellt. Die Layouts werden oft von Grafikdesign-Spezialisten erstellt, die selbst für ihre Dienste im Untergrund werben. Da Tool-Entwickler nicht die Zeit haben, um Marketinginhalte zu erstellen, vergeben sie diese Arbeit – wie in der legalen Wirtschaft – an solche Spezialisten. Ein attraktives Layout ist wichtig, um Käufer anzuziehen, wie in der regulären Wirtschaftswelt.
Back-Office-Unterstützung – Training für bösartige Aktivitäten: Es gibt Schulungen für Angriffstechniken, Malware-Infektionen und -Verbreitungsmethoden sowie Hosting und Management von Botnet-Infrastrukturen. Diese Angebote beinhalten gut dokumentierte, leicht zu verstehende Schritt-für-Schritt-Verfahren für alle, die Tipps und Tricks für erfolgreiche cyberkriminelle Operationen erhalten möchten.
Back Office-Unterstützung – Anbieter Ressourcen-basierter Dienste: Diese Kategorie von bösartigen Akteuren bietet verschiedene Arten von Dienstleistungen an, wie etwa einen Bullet Proof Hosting Service (BPHS), Distributed Denial of Service (DDoS) und andere. Solche Angebote werden zu vorgegebenen Tarifen vermietet, oft mit Garantien auf Verfügbarkeit und Leistung – wie bei legalen Managed-Service-Providern.
Ausführung des Angriffs – Der eigentliche Cyberkriminelle: Einzelpersonen kaufen üblicherweise die Tools, Exploits und Dienstleistungen, die in den Untergrundforen beworben werden. Sie nutzen diese Angebote, um bei gezielt attackierten Opfern, Unternehmen oder Organisationen Daten zu kompromittieren und zu stehlen. Die technische Kompetenz dieser Gruppe kann stark variieren, angefangen von Einsteigern bis hin zu erfahrenen Cyberkriminellen.
Für eine Handvoll Dollar: Verfügbare Tools in cyberkriminellen Foren
Die häufigsten Tools, die in den Untergrundforen verkauft werden, sind RATs, Crypter und Infostealer. Einige dieser Tools werden als Malware-Bausätze (Kits) verkauft, was eine flexible Integration von Features in einzelne Builds ermöglicht, einschließlich Ausweichtechniken und operativen Fähigkeiten. In den folgenden Abschnitten werden einige der Tools beschrieben, die am häufigsten im cyberkriminellen Ökosystem vorkommen.
RATs: Remote-Administration-Tools oder alternativ Remote-Access-Trojaner ermöglichen es einem böswilligen Akteur, die Kontrolle über den Computer eines Opfers zu übernehmen. Moderne RATs sind zuverlässige und vielseitige Tools, die von den Akteuren aus verschiedenen Motivationsgründen verwendet werden.
LuminosityLink: Zum Preis von nur 40 US-Dollar ist LuminosityLink verfügbar, ein voll funktionsfähiges RAT mit Keylogging-Fähigkeit, das seinen Code in fast jeden laufenden Prozess auf einem Zielcomputer injiziert. Diese Malware kann auch zusätzliche Nutzlasten herunterladen, was die Flexibilität für die Angreifer erhöht. Der Autor von LuminosityLink veröffentlicht und verkauft diese Malware über eine kommerzielle Website im regulären Web unter dem Deckmantel eines administrativen Dienstprogramms.
Ozone: Das Ozone RAT ist ein handelsübliches Tool, das für seine leistungsstarken Fähigkeiten, seine Benutzerfreundlichkeit und niedrigen Kosten bekannt ist. Es ist von einer Website im regulären Web für 20 US-Dollar als „Standardpaket“ und für 50 US-Dollar als „Platin-Paket“ erhältlich.
Netwire: Netwire wird ebenfalls kommerziell angeboten und von einer breiten Palette an bösartigen Akteuren genutzt, um die Kontrolle über ein kompromittiertes Opfersystem zu übernehmen. Die Website bietet eine kostenlose Testversion an sowie Support- und Update-Pakete: Lite (50 US-Dollar für ½ Jahr), Basic (90 US-Dollar für 1 Jahr) und Pro (160 US-Dollar für 2 Jahre).
Orcus: Orcus ist ein neues RAT, das seit April 2016 auf dem Markt ist. Das RAT wird angeboten für 40 US-Dollar, vergleichbar mit vielen anderen beliebten RATs. Allerdings bietet dieses RAT einige Unterscheidungsmerkmale wie Plugin-Unterstützung sowie Entwicklung mittels gut dokumentierter Anleitungen. Dies ermöglicht es Käufern mit Kenntnissen mindestens einer unterstützten Programmiersprache (z.B. Visual Basic .NET, Visual C# oder C++), die Funktionen von Orcus zu erweitern. Angesichts der reichhaltigen Funktionsmerkmale und großen Flexibilität ist zu erwarten, dass eine Reihe von Bedrohungsakteuren dieses RAT in ihr Tool-Set integrieren werden.
InfoStealer: InfoStealer sind eine Unterklasse von Überwachungs-Malware, die Elemente wie Tastatureingaben, Bildschirmstatus sowie Dateien oder Datenspeicher auf einem Opfer-Computer erfassen, um sie dann an einen Angreifer zu senden. Diese Klasse von Malware bietet unmittelbare Vorteile für einen Angriff, kann aber auch nützliche Informationen liefern für anspruchsvollere Operationen im Opfernetzwerk.
Keybase: Keybase ist eine Familie von Keylogger-Malware, die zuletzt für 50 US-Dollar direkt von der kommerziellen Website des Autors verkauft wurde, bevor diese deaktiviert wurde. Der Quellcode für diesen Malware-Builder war jedoch durch einen Leak in Umlauf geraten, so dass viele böswillige Akteure auf diese Malware-Familie zugreifen konnten. Die entsprechenden technischen Kenntnisse oder finanziellen Möglichkeiten vorausgesetzt, ist es möglich, dass Cyberkriminelle Keybase auch für ihre speziellen Zwecke angepasst haben.
Predator Pain / HawkEye: Sowohl Predator Pain als auch seine Ableitung, HawkEye, sind in erster Linie als Keylogger konzipiert. Sie enthalten aber auch zusätzliche Features, wie den Diebstahl von Anmeldedaten für Web-Browser und E-Mail-Clients, die Erfassung des Bildschirminhalts (Display Capture) sowie die Herausfilterung von Daten. Beide werden in der Regel in Untergrundforen erworben, obwohl HawkEye früher für einige Zeit auf einer kommerziellen Website im regulären Web angeboten wurde.
iSpy: Dieser „Off-the-shelf“-Keylogger wird an weniger versierte Akteure mit geringen technischen Kenntnissen als Tool vermarktet, um Familienmitglieder und Mitarbeiter zu überwachen. Er ist „out-of-the-box“ voll funktionsfähig und für etwa 20 US-Dollar erhältlich.
Crypter: Crypter spielen eine wichtige Rolle im gesamten Malware-Erstellungszyklus. Sie ermöglichen es Cyberkriminellen, Malware zu erstellen, die herkömmliche Sicherheitslösungen umgehen kann, ohne dass irgendwelche Alarme ausgelöst werden. Crypter nutzen eine Kombination aus Verschleierung, Verschlüsselung und Codemanipulation, um Malware vollständig unsichtbar (Fully Undetectable; FUD) zu machen. Nachdem Malware-Binärdateien erstellt wurden, können diese einem Crypter-Verfahren unterzogen werden. Damit können Angreifer die Wahrscheinlichkeit erhöhen, erfolgreich Sicherheitsmaßnahmen zu umgehen, die das Ziel eigentlich schützen sollten.
Dienstleistungen
Der cyberkriminelle Schattenmarkt dient nicht nur dem Kauf und Verkauf von Tools, sondern auch von Dienstleistungen. Diese reichen von Malware-Verbreitung, Hacking/Exploits, DDoS/Stress-Tests über Marketing/Grafikdesign bis hin zu Hosting und Währungsumtausch und vielem mehr.
Malware-Spreading-Dienste: Malware-Spreading-Dienste bieten Schritt-für-Schritt-Tutorials, um böswillige Kampagnen durchzuführen. In der Regel zählen dazu Anleitungen zur Infizierung von Computer-Systemen mit Malware sowie zum Herausfiltern von Daten mit verschiedenen Tools, Techniken und Verfahren. „Instantlyspreading“ ist ein solcher Service für die Malware-Verbreitung, der im Untergrundmarkt zu drei verschiedenen Preismodellen verkauft wird.
„Bullet Proof Hosting Service“-Anbieter: Anbieter von „Bullet Proof Hosting Services“ (BPHS) spielen eine entscheidende Rolle, da sie Cyberkriminellen erlauben, ihre böswilligen Dienste zu betreiben, ohne dass die Gefahr besteht, dass ihre Aktivitäten durch die Strafverfolgung vereitelt werden. Es gibt mehrere BPHS-Anbieter, die Dienstleistungen unter dem Banner legitimer Business-Services anbieten. Allerdings gibt es auch einige BPHS-Anbieter, die offen ihre Dienste für böswillige Akteure bewerben.
DDoS-Dienste: Dienste für Distributed Denial of Service (DDoS), auch bekannt als Booter oder Stress Testing Services, stellen Online-Ressourcen zur Verfügung, die eigentlich dazu dienen, um die Widerstandsfähigkeit und Performance von Websites zu testen. Bösartige Akteure nutzen diese Dienste, um Websites, aber auch Computer individueller Internetbenutzer zum Absturz zu bringen. Typischerweise ermöglichen diese Dienste volumetrische Angriffe über Layer 4 (Transport) und Layer 7 (Anwendung), die die Ressourcen des Ziel-Rechners verbrauchen. Dadurch wird die Reaktion auf legitime Anfragen unterbunden und letztendlich eine Website zum Erliegen oder der PC des Angriffsopfers zum Absturz gebracht. Diese Dienste kosten in der Regel zwischen 10 und 200 US-Dollar pro Monat, je nach Funktionsniveau des erworbenen Pakets.
Zahlungsdienstleistungen
Die Methoden zur Verarbeitung von Zahlungen im Untergrundmarkt variieren je nach angebotenem Produkt und je nachdem, wo dieses Angebot verfügbar ist (z.B. reguläres Web oder Dark Web).
BitCoin: BitCoin (BTC) ist die beliebteste Kryptowährung. BTC wird täglich für rechtmäßige Finanztransaktionen verwendet. Allerdings ist sie aufgrund ihres integrierten Modells der Anonymität auch die bevorzugte Wahl der meisten Cyberbösewichte. Die anonyme Zahlungsabwicklung verringert die Wahrscheinlichkeit, dass Zahlungen verfolgt werden können. Diese Anonymität wird auch ausgenutzt für digitalen Raub von BitCoin-Wallets entweder mittels auf BitCoin ausgerichteter Malware oder direktem Hacking. Die Anonymität von BitCoin macht es sehr schwer, herauszufinden, an welcher Stelle Transaktionen für illegale Machenschaften genutzt werden.
Konventionelle Zahlungskarten: Einige Tools und Dienstleistungen können mit herkömmlichen Zahlungskarten und -methoden erworben werden. Hierzu zählen Geschäftsbank- und Kreditkarten oder allgemein verfügbare legitime Zahlungsdienste, wie etwa PayPal. Die Nutzung gängiger Zahlungsmethoden geschieht teilweise auch absichtlich, damit entsprechende Einkäufe nicht als illegal wahrgenommen werden. Auf der anderen Seite können sich Cyberkriminelle genauso leicht gestohlene Zahlungskartendaten für solche Einkäufe beschaffen, seien es direkt gestohlene Daten oder ganze Pakete, die auf „Carder“-Foren offeriert werden.
Angesichts der Agilität der Cybercrime-Aktivitäten ist eine flexible und aktuelle Abwehrstrategie unerlässlich. Dienstleister im IT-Sicherheitsumfeld müssen permanent ihre Gegenspieler, die Akteure, die verwendeten Tools und Dienstleistungen untersuchen und ihre Sicherheitsmechanismen entsprechend (teilweise automatisiert) anpassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1289400/1289422/original.jpg "Auch technisch weniger versierte Akteure nuten das gut sortierte Angebot im cyberkriminellen Untergrund, um die nötigen Ressourcen und Fähigkeiten für einen Cyberangriff zu erwerben. (Pixabay)")
Einblick in die Cyber-Unterwelt, Teil 2
So kaufen sich Kriminelle einen Cyber-Angriff
Über den Autor: Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu IT-Sicherheitslösungen der nächsten Generation – Netzwerk, Cloud und Endpoints inbegriffen. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.
(ID:44885975)
:quality(80)/p7i.vogel.de/wcms/7b/55/7b55142205772d47d38f030237b71dcd/0108876148.jpeg "Für 2023 und darüber hinaus ist damit zu rechnen, dass die Professionalisierung der Cyberkriminalität weiter fortschreitet. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")