Einfacher Weg hinein: Erstzugangsbroker und Insider-Bedrohungen
Erstzugriffsvermittler - Kriminelle, die sich Zugang zu Unternehmensnetzwerken verschaffen und diesen verkaufen - unterstützen Ransomware-Angriffe. Manchmal haben sie Hilfe von innen.
Wichtige Punkte
- Initial Access Brokers (IABs) sind kriminelle Gruppen, die illegalen Zugang zu Unternehmensnetzen verkaufen.
- Der Einsatz von IABs bei Cyberangriffen hat stark zugenommen.
- Indem sie sich für den Netzwerkzugang an Broker wenden, können Cyberkriminelle ihre Bemühungen auf die Durchführung raffinierterer Angriffe auf Zielunternehmen konzentrieren.
- IABs selbst verschaffen sich Zugang über Phishing-Angriffe, Systemschwachstellen, schwache oder gestohlene Netzwerkanmeldedaten oder böswillige Insider.
Der erste Schritt eines erfolgreichen Cyberangriffs besteht darin, sich Zugang zum Netzwerk des Zielunternehmens zu verschaffen. Und dank einer florierenden Gattung von Cyberkriminellen, den so genannten Initial Access Brokers (IABs), ist es einfacher denn je, sich Zugang zu verschaffen.
IABs konzentrieren sich darauf, in ein Zielnetzwerk einzubrechen und diesen Weg dann, oft über Untergrundforen, an andere Cyberkriminelle zu verkaufen.[1] Nennen Sie es Access-as-a-Service - und ein weiteres Beispiel für die Art von spezialisierten Angeboten, die im Rahmen der fortschreitenden Kommerzialisierung der Cyberkriminalität zum Verkauf stehen.
Da IABs die harte Arbeit des Einbrechens und Eindringens übernehmen, können sich andere böswillige Akteure auf die Verteilung von Malware, die Bereitstellung von Ransomware oder auf andere Weise auf die Verwüstung eines Unternehmensnetzwerks konzentrieren. Die Preise für IABs für den Zugang zu Unternehmensnetzwerken liegen zwischen 1.000 und 10.000 US-Dollar, was für Cyberkriminelle, die größere Gewinne anstreben, ein Schnäppchen ist.
Einige Cybersicherheitsexperten sehen in IABs einen Schlüsselfaktor für die Zunahme von Ransomware-Angriffen, die sich im Jahr 2021 fast verdoppelt haben.[2] , [3] Die Einstiegshürde für profitable Cyberkriminelle war noch nie so niedrig wie heute, da IABs die Netzwerkkompromittierung parallel zur wachsenden Verfügbarkeit von Ransomware-as-a-Service (Pay-per-Use-Malware, mit der Daten verschlüsselt oder gestohlen werden können, um von den Opferorganisationen eine Zahlung zu erhalten) durchführen.
Die Schlosser der Cyberkriminalität
Digital Shadows[kl1], ein Unternehmen für Bedrohungsanalysen, das seit 2016 IABs aufspürt, hat in seinem Bericht für das Jahr 2021 eine Zunahme ihrer Nutzung durch Cyberkriminelle festgestellt. Dem Bericht zufolge nutzten IABs schnell die oft schlecht geschützten virtuellen privaten Netzwerke oder Fernzugriffssoftware, die während des plötzlichen Anstiegs der Fernarbeit während der COVID-19-Pandemie eingesetzt wurden. Infolgedessen "erleben wir jetzt einen 'perfekten Sturm': eine dramatische Zunahme der Fernarbeit und ein unglaublich erfolgreiches Ransomware-Monetarisierungsmodell."[4]
Im Jahr 2020 gab es mehr IABs, mehr Angebote und höhere Preise als je zuvor. Aber selbst wenn die Fernarbeit abnimmt, werden die IABs weiter expandieren. "Initial Access Broker sind zu einer tragenden Säule cyberkrimineller Aktivitäten geworden, und dies fällt mit dem Trend zusammen, dass die globale Cyberkriminalität stromlinienförmiger und effizienter wird", sagte Digital Shadows Threat Intelligence Analyst Chris Morgan in einem veröffentlichten Interview.[5]
Analysten der Threat Analysis Group (TAG) von Google bezeichneten IABs als "die opportunistischen Schlosser der Sicherheitswelt".[6] Und sie nutzen E-Mails ausgiebig, um die Schwachstelle eines Unternehmens zu finden.
Ein IAB, das die Analysten von Google TAG aufspürten, arbeitete eng mit einer russischen Cyberkriminellen-Bande zusammen, die für Datenexfiltration und komplexe, "menschengesteuerte" (im Gegensatz zu automatisierten) Ransomware-Angriffe bekannt ist. Auf dem Höhepunkt der beobachteten Aktivitäten des IAB wurden täglich etwa 5.000 E-Mails an bis zu 650 Zielunternehmen in aller Welt versendet, wobei Taktiken wie das Fälschen von Unternehmensdomänen und Mitarbeiteridentitäten zum Einsatz kamen.
Ursprünglich konzentrierte sich dieses IAB auf bestimmte Branchen, darunter IT, Cybersicherheit und Gesundheitswesen, aber in jüngster Zeit hat es seinen Geltungsbereich erweitert, um "eine breite Palette von Organisationen und Branchen" einzubeziehen, so die Analyse von Google TAG.
Wenn IABs und böswillige Insider aufeinandertreffen
Das Geschäftsmodell von IABs ist relativ einfach: Sie finden Schwachstellen in einem Unternehmen und verkaufen diesen Zugang an andere Ransomware-Bedrohungsakteure. IABs können ihren Weg in ein Netzwerk finden, indem sie eine Systemschwachstelle ausnutzen oder einen Phishing-Angriff durchführen. Es ist auch bekannt, dass die Hauptursache vieler Ransomware-Angriffe ein anfänglicher Zugang über einen Dienst ist, für den nur ein Passwort erforderlich ist. So können IABs schwache, defekte oder gestohlene Netzwerkanmeldedaten ausnutzen. Oder sie kaufen Passwörter von einem böswilligen Insider.
Böswillige Insider-Aktivitäten selbst sind ebenfalls weit verbreitet und nehmen zu. Die überwiegende Mehrheit (87 %) der Befragten des State of Email Security Report von Mimecast, die an der Umfrage für 2022 teilgenommen haben, waren im vergangenen Jahr mit einer Bedrohung oder einem Leck konfrontiert, das von böswilligen Insidern verursacht wurde. Einem anderen Bericht zufolge haben Remote-Arbeiten und die zunehmende Fluktuation von Mitarbeitern im Jahr 2021 zu einem 72-prozentigen Anstieg von Insider-Bedrohungen im Vergleich zum Vorjahr geführt.[7]
Die meisten böswilligen Verstöße von Insidern - einem Bericht zufolge 70 % - sind finanziell motiviert, wobei die Mitarbeiter ihre Anmeldeinformationen oder den Zugang zu Systemen und Daten im Dark Web verkaufen.[8] Das bringt uns zurück zu den IABs, die möglicherweise Insider für diese Passwörter bezahlen.
E-Mail-Schutz: IABs draußen halten und Insider in Schach halten
Auch wenn sich das Umfeld für Cyberbedrohungen mit der Zunahme von IABs und böswilligen Akteuren weiterentwickelt, bleibt eine Tatsache konstant: E-Mail ist nach wie vor ein wichtiger Kanal für Cyberkriminelle, die versuchen, in ein Unternehmensnetzwerk einzudringen. Es gibt also immer noch erheblichen Spielraum für Verbesserungen bei der Absicherung von E-Mail-Systemen.
Angesichts der weit verbreiteten Bedrohung durch böswillige Insider sollte die Implementierung von Systemen zum Schutz vor solchen Bedrohungen eine hohe Priorität haben. Allerdings gaben nur 44 % der Befragten in der Umfrage State of Email Security an, dass ihre Unternehmen über Systeme zur Überwachung und zum Schutz vor Datenlecks oder Exfiltration in ausgehenden E-Mails verfügen.
Da IABs E-Mail als Einfallstor nutzen können - und böswillige Insider E-Mail nutzen können, um Anmeldeinformationen oder Daten auszutauschen - ist es am besten, mehrschichtige Schutzmaßnahmen einzusetzen. E-Mail-Sicherheitsprodukte wie die von Mimecast schützen vor Spear-Phishing und anderen Taktiken, die IABs zum Diebstahl von Anmeldeinformationen einsetzen. Außerdem überwachen sie automatisch alle internen und ausgehenden E-Mails und bieten E-Mail-Scanfunktionen, um E-Mails mit verdächtigem Inhalt zu markieren, zu blockieren oder zu löschen.
Die Quintessenz
IABs stellen eine wachsende Bedrohung dar, die es Cyberkriminellen ermöglicht, schnell und kosteneffizient in ein Netzwerk einzudringen, wodurch immer mehr und ausgefeiltere Cyberangriffe durchgeführt werden können. IABs können auf verschiedene Weise in Unternehmensnetzwerke eindringen. Eine Möglichkeit besteht darin, dass böswillige Insider diesen Cyberkriminellen ihre Anmeldedaten zur Verfügung stellen. E-Mail ist nach wie vor ein wichtiger Weg für IAB- und Insider-Aktivitäten. Daher ist es wichtig, in mehrschichtige Technologien zu investieren, um verdächtige E-Mails zu überwachen und abzuschalten. Informieren Sie sich über die E-Mail-Sicherheitsoptionen von Mimecast und sehen Sie, wie sie helfen können.
1 All Access Pass: Fünf Trends mit Erstzugriffsmaklern, KELA
2 Makler für den Erstzugang: Wie hängen IABs mit der Zunahme von Ransomware-Angriffen zusammen?, TechTarget
3 Ransomware-Angriffe im Jahr 2021 fast verdoppelt, Security Magazine
4 Initial Access Brokers Report: Ein Übermaß an Zugang, Digital Shadows
5 Der beunruhigende Aufstieg der Erstzugangs-Broker, Dark Reading
6 Entlarvung des ersten Access-Brokers mit Verbindungen zu Conti, Google Threat Analysis Group
7 2022 Bericht über Insider-Bedrohungen, DTEX
8 2021 Data Breach Investigations Report, Verizon
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!