Die Ransomware-Pandemie wird immer schlimmer und schlimmer, aber warum? Der Aufstieg von Kryptowährungen wie Bitcoin hat eine dunkle kriminelle Unterwelt hervorgebracht, in der man Drogen und Waffen kaufen und sogar professionelle Killer anheuern kann.
Wie also treibt diese neue Realität Ransomware an, und was können Sie dagegen tun?
Silicon Valley für Hacker
Ein Aspekt dieser Schwarzmärkte, der die Ransomware in die Höhe treibt, ist der Markt für Hackerdienste. In der Vergangenheit war es für Hacker schwierig, ihre Dienste zu verkaufen, da es relativ einfach war, Banküberweisungen zurückzuverfolgen. Die Kryptowährung ändert dies, sodass jeder kriminelle Dienstleistungen online verkaufen kann, ohne Gefahr zu laufen, erwischt zu werden.
Dies ermöglicht es Hackern, sich in ähnlicher Weise zu spezialisieren wie legitime Branchen. Für viele Unternehmen ist es zum Beispiel viel effizienter, einen Cloud-Hosting-Dienst zu nutzen, als eigene Server zu unterhalten. Auf diese Weise kann ein einziges, gut ausgebildetes Team Server für viele Unternehmen warten, anstatt dass jedes Unternehmen eigenes Personal schulen und bezahlen muss.
Jetzt erzielen Kriminelle und staatlich geförderte Hacker ähnliche Effizienzgewinne durch Spezialisierung. Ransomware-as-a-Service ist ein wichtiges Beispiel dafür. Ein anderes sind Erstzugangsvermittler, die man auch als „Access-as-a-Service“ bezeichnen könnte.
Wie arbeiten Erstzugangs-Broker?
Erstzugriffs-Broker sind ausschließlich auf den Einbruch in Netzwerke spezialisiert. Sie verwenden eine Reihe von Strategien, darunter:
- Exploits. Initial Access Broker suchen nach veralteter oder ungepatchter Software mit Schwachstellen und nutzen diese aus, um Zugang zum Netzwerk zu erhalten.
- RDP-Ports. Eine weitere gängige Taktik besteht darin, nach offenen RDP-Ports zu suchen und dann zu versuchen, sie mit roher Gewalt zu öffnen. Erstaunlich viele Unternehmen und ihre Mitarbeiter schaffes es nicht, einen Schutz von RDP-Ports vor Ransomware zu errichten.
- Phishing. Hacker können versuchen, sich Zugang zu verschaffen, indem sie Mitarbeiter dazu verleiten, auf einen bösartigen Link zu klicken oder einen Anhang herunterzuladen. Manchmal geben sie sich dabei als Mitarbeiter oder als vertrauenswürdige Organisation aus.
- Insider-Angriffe. Manche Banden versuchen, Mitarbeiter eines Unternehmens zu bestechen, damit sie sich Zugang zu einem Netzwerk verschaffen. Auch verärgerte Mitarbeiter können den Zugang verkaufen.
Sobald sich die ersten Zugangsvermittler Zugang verschafft haben, helfen sie allen anderen Hackern, in ein Netzwerk einzudringen – gegen Bezahlung.
Das bedeutet, dass sich praktisch jeder Zugang zu Unternehmens- oder Regierungsnetzwerken verschaffen und versuchen kann, einen Ransomware-Angriff durchzuführen. Dadurch erhöht sich die Zahl der potenziellen Angreifer, die im Internet unterwegs sind, drastisch.
Wie viel verlangen Erstzugangs-Broker?
Erstzugangsvermittler beschaffen sich Informationen wie Benutzernamen und Kennwörter und bieten sie dann im Dark Web zum Verkauf an. Die Preise sind erstaunlich günstig – eine Studie hat ergeben, dass der Durchschnittspreis für den Zugang unter 2000 US-Dollar liegt.
Dieser Preis variiert je nach Art des Zugangs (z. B. RDP oder VPN) und der Größe des Unternehmens. Größere Unternehmen mit höheren Umsätzen und höherem Zugangsniveau verlangen auch höhere Preise.
Studien zeigen auch, dass die Preise im Laufe der Zeit gesunken sind. Das liegt wahrscheinlich daran, dass die Nachfrage nach Erstzugängen so groß ist, dass immer mehr Hacker auf den Markt drängen und den Wettbewerb erhöhen.
Was können wir dagegen tun?
Alle üblichen Sicherheitsmaßnahmen können dazu beitragen, das Eindringen von Maklern für den Erstzugang in ein Netz zu verhindern, aber eine der wirksamsten Strategien besteht darin, die Art und Weise zu ändern, wie wir Netze strukturieren. Ein großer Teil des Wertes des Kaufs von Erstzugängen besteht darin, dass Hacker, wenn sie erst einmal drin sind, großen Schaden anrichten können.
Wenn die Netze abgeschottet sind, wird die laterale Bewegung von Ransomware viel schwieriger, und der Wert des Erstzugangs sinkt.
Eine weitere mögliche Strategie gegen Erstzugangsvermittler ist der Einsatz von Honigfallen oder Lockvögeln. Die Idee besteht darin, niedrig hängende Früchte wie Anmeldedaten für die Verwalterebene dort zu platzieren, wo die Erstzugangsvermittler sie finden können. Wenn dann jemand diese Anmeldeinformationen verwendet, wissen Sie sofort, dass der Hacker anwesend ist. Dies kann besonders nützlich sein, da anfängliche Zugangsvermittler sehr schwer zu erkennen sein können.
Das Wichtigste, was Sie tun können, um zu verhindern, dass der Zugang zu Ihrem Netzwerk auf dem Schwarzmarkt landet, ist die Netzwerküberwachung. Unbefugter Netzwerkzugriff hinterlässt immer Spuren in den Protokollen, so dass es nur darauf ankommt, dass sich jemand die Protokolle genau ansieht.
Je sensibler die Daten sind, mit denen Ihr Unternehmen umgeht, desto wichtiger ist es, sich der Bedrohung durch Erstzugriffsmakler bewusst zu sein und entsprechende Maßnahmen zu ergreifen.