HP: Gestohlene Zugangsdaten im DarkWeb günstiger als ein Döner

Laut neuer Studie von HP Wolf Security sind Cyber-Kriminelle bemüht, ihre Untergrund-Ökonomie zu professionalisieren

[datensicherheit.de, 23.07.2022] Laut der neuen Studie von HP Wolf Security setzen Cyber-Kriminelle auf „Dispute Resolution Services“, Lieferanten-Bürgschaften und Treuhand-Zahlungen, um im Kontext einer gut organisierten Untergrund-Ökonomie „fair“ anmutende Geschäfte zu gewährleisten.

The Evolution of Cybercrime: HP Inc. publiziert neue Studie

Die HP Inc. hat die Studie „The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back – an HP Wolf Security Report“ veröffentlicht.

Sie belegt demnach, dass die Cyber-Kriminalität durch sogenannte „Plug-and-Play“-Malware-Kits aktuell im Aufwind ist – Cyber-Attacken seien damit einfacher durchführbar als jemals zuvor. Cyber-Konsortien setzten dabei bei Angriffen auf die Unterstützung von Amateur-Hackern und gefährdeten so unsere Online-Welt.

Für diese Studie habe das „Threat Team“ von HP Wolf Security eng mit Forensic Pathways zusammengearbeitet, einem Zusammenschluss von weltweit führenden Forensik-Experten. Im Zeitraum von drei Monaten habe das Team das DarkWeb untersucht: „Dabei wurden mehr als 35 Millionen cyber-kriminelle Marktplätze und Forenbeiträge gescannt und analysiert. Ziel der Untersuchung war es, zu verstehen, wie Cyber-Kriminelle arbeiten, Vertrauen gewinnen und eine Reputation aufbauen.“

Zu den wichtigsten Erkenntnissen gehören laut HP:

Malware ist günstig und leicht verfügbar
Mehr als drei Viertel (76%) der gelisteten Malware-Anzeigen und 91 Prozent der „Exploits“ (darunter versteht sich Code, der Angreifern über Software-Fehler die Kontrolle über Systeme verschafft) würden für weniger als zehn US-Dollar verkauft.
Die durchschnittlichen Kosten für kompromittierte „Remote Desktop Protocol“-Anmelde-Informationen lägen bei gerade einmal fünf US-Dollar. Anbieter verkauften ihre Produkte in Paketen, mit „Plug-and-Play“-Malware-Kits, „Malware-as-a-Service“, Tutorials und Mentoren-Diensten.
Auch mit geringen Kenntnissen und Erfahrungen seien Cyber-Kriminelle so in der Lage, komplexe technische Angriffe durchzuführen – tatsächlich seien aktuell nur zwei bis drei Prozent der Bedrohungsakteure erfahrene Programmierer.

Ironie der „Ehre unter Cyber-Dieben“
Ähnlich wie im legalen Online-Handel seien Vertrauen und Reputation ironischerweise wesentliche Bestandteile des cyber-kriminellen Handels: 77 Prozent der analysierten cyber-kriminellen Marktplätze verlangten eine Verkäufer-Bürgschaft – dahinter verberge sich eine Art Verkaufslizenz – welche bis zu 3.000 US-Dollar kosten könne.
Davon nutzten 85 Prozent Treuhand-Zahlungen und 92 Prozent verfügten über einen externen „Dispute Resolution Service“.
Darüber hinaus biete jeder Marktplatz Bewertungen von Verkäufern an. Cyber-Kriminelle versuchten zudem, den Strafverfolgungsbehörden einen Schritt voraus zu sein: Sie nähmen ihre Reputation bzw. ihre Bewertung von einer Website mit zur nächsten. Dies sei möglich, da die durchschnittliche Lebensdauer einer „Tor“-Website im DarkNet gerade einmal 55 Tage betrage.

Beliebte Software verschafft Cyber-Kriminellen Fuß in der Tür
Cyber-Kriminelle konzentrierten sich darauf, Lücken in Software zu finden. Über diese Lücken seien sie in der Lage, einen „Fuß in die Tür“ zu bekommen und die Kontrolle über Systeme zu übernehmen.
Dabei nähmen sie besonders bekannte Schwachstellen in beliebter Software ins Visier, darunter etwa das „Windows“-Betriebssystem, „Microsoft Office“ oder Web-Content-Management-Systeme sowie Web- und Mail-Server.
Kits, die Schwachstellen in Nischensystemen ausnutzten, erzielten dabei die höchsten Preise (in der Regel zwischen 1.000 und 4.000 US-Dollar). „Zero Days“ (Schwachstellen, die noch nicht öffentlich bekannt sind) würden auf DarkWeb-Märkten für Zehntausende von US-Dollar gehandelt.

Senior Malware Analyst der HP Inc. warnt: Cyber-Krimineller zu sein immer einfacher

„Leider war es noch nie so einfach, ein Cyber-Krimineller zu sein“, so der Autor des Berichts, Alex Holland, „Senior Malware Analyst“ bei HP Inc. Komplexe Angriffe hätten bisher spezielle Fähigkeiten, Kenntnisse und Ressourcen erfordert. Jetzt seien die Technologie und die entsprechende Ausbildung günstiger als ein Döner zu haben.

„Und unabhängig davon, ob es um die Preisgabe von Unternehmens- und Kundendaten, um Lieferverzögerungen oder sogar um die Absage eines Krankenhausaufenthalts geht – die explosionsartige Zunahme der Internetkriminalität betrifft uns alle“, unterstreicht Holland.

Im Mittelpunkt stehe Ransomware. Diese habe ein „neues Ökosystem von Cyber-Kriminellen“ geschaffen, welches kleinere Akteure mit einem Teil des Gewinns belohne. „So entsteht eine Art Fabrik für Cyber-Kriminalität. Diese produziert Angriffe, die sehr schwer abzuwehren sind, und nimmt genau die Unternehmen ins Fadenkreuz, auf die wir uns alle verlassen.“

HP hat sich mit Gremium von Experten aus Cybersecurity und Wissenschaft beraten

Darüber hinaus habe HP sich mit einem Gremium von Experten aus dem Bereich Cybersecurity und Wissenschaft beraten – darunter der ehemalige „Black Hat“-Hacker Michael – „Mafia Boy“ – Calce und der Kriminologe Dr. Mike McGuire.

Ziel sei es gewesen, die Entwicklung der Cyber-Kriminalität zu verstehen und herauszufinden, wie Unternehmen sich besser gegen die Bedrohungen von heute und morgen zu schützen.

Die Experten rufen Organisationen nach HP-Angaben dazu auf, sich künftig auf zerstörerische „Data Denial Attacks“ sowie Cyber-Kampagnen und Cyber-Kriminelle einstellen müssen, welche bei ihren Angriffen Technologien wie Künstliche Intelligenz (KI) einsetzen würden.

Um sich vor aktuellen und zukünftigen Bedrohungen zu schützen, sollten Firmen folgende HP-Tipps beachten:

Grundlagen beherrschen und Cyber-Kriminellen damit weniger Chancen zum Angriff bieten
Unternehmen sollten „Best Practices“ wie Multi-Faktor-Authentifizierung und Patch-Management nutzen sowie die Angriffsfläche für die wichtigsten Angriffsvektoren reduzieren. Dazu gehörten E-Mail, Web-Browsing und Dateidownloads. Sogenannte Selbstheilende Hardware erhöhe darüber hinaus die Widerstandsfähigkeit.

Konzentration darauf, das Spiel zu gewinnen
Organisationen sollten stets mit dem schlimmstmöglichen Szenario planen. Darüber hinaus sollten Firmen Risiken, die von Mitarbeitern und Partnern ausgehen, begrenzen, etwa mithilfe von Prozessen zur Überprüfung der Sicherheit von Zulieferern und zur Aufklärung der Mitarbeiter zum Thema „Social Engineering“. Unternehmen müssten prozessorientiert agieren und Reaktionen auf Angriffe trainieren – auf diese Weise könnten sie Attacken und einhergehende Probleme schneller erkennen und seien in der Lage, Verbesserungen vorzunehmen und sich besser vorzubereiten.

Cyberkriminalität ist ein Mannschaftssport
Das gelte indes auch für die Cybersecurity: Unternehmen sollten ihre Mitarbeiter zum Austausch über Bedrohungen und Erkenntnisse motivieren. Darüber hinaus empfehle es sich, auf Bedrohungsdaten zurückzugreifen und proaktiv offene Diskussionen in Untergrundforen zu beobachten. Die Zusammenarbeit mit Sicherheitsdiensten von Drittanbietern unterstütze dabei, Schwachstellen und kritische Risiken aufzudecken, die behoben werden müssten.

HP legt Unternehmen nahe, Widerstandsfähigkeit zu verbessern und möglichst viele gängige Angriffswege auszuschalten

„Wir alle müssen mehr tun, um die wachsende Cyber-Kriminalität zu bekämpfen“, betont Dr. Ian Pratt, „Global Head of Security for Personal Systems“ bei HP Inc. Für den Einzelnen bedeute dies, dass er sich des Themas bewusst werden müsse. Die meisten Angriffe begännen mit einem einzigen Mausklick. Dr. Pratt: „Daher ist es immer wichtig, dass man erst nachdenkt, bevor man klickt. Noch besser ist es natürlich, sich ein Sicherheitsnetz zuzulegen, indem man Technologien implementiert, die die Auswirkungen ebensolcher Klicks reduzieren und wiederherstellen.“

Für Unternehmen sei es wichtig, ihre Widerstandsfähigkeit zu verbessern und so viele gängige Angriffswege wie möglich auszuschalten, denn Cyber-Kriminelle studierten zum Beispiel Patches, sobald sie veröffentlicht werden, und nutzten sie aus, „bevor Unternehmen sie gepatcht haben“. Daher sei eine schnellere Patch-Verwaltung von entscheidender Bedeutung.

Viele der häufigsten Bedrohungskategorien – etwa solche, die über E-Mail und das Internet übertragen werden – könnten durch Techniken wie die Eindämmung und Isolierung von Bedrohungen vollständig neutralisiert werden. Zum Abschluss seines Kommentars hebt Dr. Pratt hervor: „Dadurch lässt sich die Angriffsfläche eines Unternehmens erheblich reduzieren – und dies unabhängig davon, ob die Schwachstellen gepatcht sind oder nicht.“

Weitere Informationen zum Thema:

hp, HP Wolf Security, 21.07.2022
The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back