Die Cyberkriminalität hat sich in den letzten Jahren von einfachen „Spray and Pray“-Angriffen zu einem ausgeklügelten kriminellen Ökosystem entwickelt, in dessen Mittelpunkt hocheffektive Monetarisierungstechniken stehen. Diese ermöglichen es den Angreifern, ihren Erfolg und ihre Rentabilität zu maximieren.
Dabei entwickeln die Bedrohungsakteure ihre Methoden durch Versuch und Irrtum ständig weiter, um nicht erwischt zu werden. Ein besseres Verständnis der Funktionsweise dieses Prozesses – einschließlich der Transaktionsdetails, des Wertes der jüngsten Kompromittierungen und der teilnehmenden Gegner – kann Unternehmen bei der Bekämpfung moderner Bedrohungsakteure helfen.
Die jüngsten Beobachtungen des CrowdStrike Threat Intelligence Teams geben Einblicke welche Monetarisierungstechniken eCrime-Akteure nutzen:
Kryptowährungen sind Trumpf
Bitcoin ist die bevorzugte Kryptowährung bei Ransomware-Kampagnen, und zwar aus mehreren Gründen: Sie ist am einfachsten zu beschaffen und weit verbreitet. Bitcoin-Geldbörsen erfordern keine persönlichen Daten, sodass es für die Opfer einfach ist, ein Lösegeld in Bitcoin zu zahlen, während die Gegner anonym bleiben.
Allerdings sind nicht alle Bitcoin-Details verborgen. Der Wert jeder Transaktion und jeder Bitcoin-Brieftasche ist öffentlich einsehbar, sodass Angreifer und Strafverfolgungsbehörden die Zahlungen bis zu ihrem endgültigen Ziel zurückverfolgen können. Auch wenn die Identität des Wallet-Inhabers verborgen bleibt, kann man Bitcoin bei einer beliebigen Anzahl von Kryptobörsen in Fiatgeld umtauschen, wobei die Identität des Gegners aufgedeckt werden kann.
Um ihre Anonymität zu erhöhen, nutzen Angreifer häufig „Mischdienste“, die Bitcoin aus verschiedenen Quellen auf unterschiedliche Adressen umverteilen, um die ursprüngliche Quelle der Gelder zu verschleiern und die Analyse der Transaktion zu erschweren. Eine weitere Methode zur Gewährleistung der Anonymität und zur Verhinderung der Rückverfolgung von Geldern ist der „Jump-Chain“, bei dem Cyberkriminelle die Währung in ein anderes Format wie Monero (XMR) umwandeln – eine Form der Kryptowährung, die viele Angreifer wegen ihrer Anonymität bevorzugen.
Lösegeldforderungen variieren – sehr stark
590 Millionen US-Dollar betrug der Wert der verdächtigen Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 in Ransomware-bezogenen Suspicious Activity Reports gemeldet wurden. Dem stehen 416 Millionen US-Dollar im gesamten Jahr 2020 gegenüber, so die Daten des Financial Crimes Enforcement Network (FinCen) des US-Finanzministeriums. Auch die Experten von CrowdStrike haben einen Anstieg festgestellt: Das Intelligence-Team von CrowdStrike errechnete für 2021 eine durchschnittliche Lösegeldforderung von 6,1 Millionen US-Dollar – ein Anstieg von 36 % gegenüber 2020.
Access-Broker erstellen ihre eigenen Preislisten
Access-Broker dringen in die Infrastruktur der Opfer ein und verkaufen dann die illegal erlangten Zugangsdaten oder andere Zugangsmethoden in Untergrundforen. Malware-Betreiber oder partnerschaftlich verbundene Kriminelle kaufen diese Zugangsdaten, damit sie nicht selbst eindringen müssen, was zu schnelleren und gezielteren Angriffen führt.
Die Kosten für diesen Zugang variieren. Laut dem Intelligence-Team von CrowdStrike reichen die Preise von 100 bis 64.000 US-Dollar (der höchste bisher ermittelte Wert). Zu den Faktoren, die die Kosten bestimmen, gehören der Grad der gewährten Berechtigung (z.B. Domain-Administrator), der geschätzte Jahresumsatz des Zielunternehmens, die Anzahl der Endpunkte, die potenzielle Datenmenge, die für die Exfiltration zur Verfügung steht und der Ruf des Brokers.
Wer nicht zahlt, dem droht die Versteigerung seiner Daten
Wenn sich das Opfer von Ransomware weigert, die Forderungen der Angreifer zu erfüllen, werden die gestohlenen (“exfiltrierten”) Daten möglicherweise im Dark Web oder auf einer speziellen Leak-Site versteigert. Diese Taktik ermöglicht es dem Bedrohungsakteur, trotzdem Geld zu verdienen, wenn sein erster Versuch, Geld zu verdienen, erfolglos war – oder seinen Gewinn zu erhöhen, selbst wenn das Opfer zahlt. Manchmal werden die Daten auch an andere Angreifer verkauft, die damit neue Opfer finden oder an persönliche Informationen gelangen können, um Betrug zu begehen oder Angriffe zu planen.
Ein florierendes eCrime-Ökosystem
Ransomware mag zwar die beliebteste Einnahmequelle für Cyberkriminelle sein, doch viele setzen auch auf andere Möglichkeiten, Geld zu verdienen. CrowdStrike Intelligence fand heraus, dass Angreifer immer noch mehrere traditionelle Methoden nutzen, um Geld zu verdienen. So bieten die Akteure verschiedene Dienste an, um die breitere Untergrundwirtschaft zu unterstützen, darunter Spambots, Monetarisierungsdienste, Pay-per-Install und Exploit-Kits.
Ein Beispiel hierfür ist EcoPanel, ein anpassbares Web-Panel, das es den Benutzern ermöglicht, die verschiedenen Schritte des Weiterleitungsbetrugs zu verwalten, um mit eCrime Geld zu verdienen. Im Rahmen dieses Prozesses verwenden Angreifer gestohlene Daten, um hochwertige Waren zu kaufen und sie an Zwischenhändler in den USA oder Europa zu versenden. Diese „Maultiere “ liefern sie an eCrime-Akteure weiter, die die Waren auf lokalen Märkten gegen echtes Geld verkaufen.
Wichtige Erkenntnisse für die Verteidiger
Um sich gegen Ransomware-Kampagnen zu verteidigen, ist es wichtig zu wissen, wie die Cyberkriminellen diese finanzieren. Die drei folgenden Lektionen sollten IT- und Sicherheitsteams unbedingt beachten:
Lektion 1: Die eigenen Daten bestimmen die richtige Strategie. Die Angreifer haben es auf vertrauliche Unternehmensdaten abgesehen – und wenn sie diese bekommen, kann es sein, dass das Unternehmen in der Folgezeit Erpressungen und anderen Bedrohungen ausgesetzt ist. Daher muss zunächst der Wert aller Daten bestimmt werden und der Ort, an dem sie sich befinden. Anschließend lässt sich eine mehrschichtige Sicherheitsstrategie entwickeln, die die Daten als wichtigstes Gut einstuft und sie mit Hilfe eines angemessenen Identitätsmanagements und der Prinzipien von Zero Trust schützt. Die Fähigkeit, eine mehrschichtige Verteidigung aufzubauen und Eventualitäten für den Fall eines möglichen Ausfalls der einzelnen Komponenten zu planen, ist für den Schutz sensibler Daten unabdingbar.
Lektion 2: Threat Intelligence (Bedrohungsdaten) sind unerlässlich, um die Monetarisierung von eCrime zu verfolgen. Der kontinuierliche Überwachungsprozess erfordert verwertbare Bedrohungsdaten, um zu verstehen, wer es auf Ihre Daten abgesehen haben könnte, wie Sie angegriffen werden könnten und welchen Wert Ihre Daten im Ökosystem der Cyberkriminalität haben.
Lektion 3: Der CrowdStrike eCrime Index (ECX) hilft, die Monetarisierung von eCrime zu verfolgen. Der ECX basiert auf einer Reihe von Cybercrime-Daten wie Ransomware-Opfern, Datenlecks bei der Großwildjagd, Angriffsaktivitäten und Kryptowährungs-Wechselkurse, die alle nach ihren Auswirkungen gewichtet werden. Der ECX ist nützlich, um die breiteren Trends des eCrime-Ökosystems besser zu verstehen, und diese können ein Faktor bei der Bestimmung der Bedrohungsaktivitäten sein.
Das Geschäftsmodell der Cyberkriminalität entwickelt sich ständig weiter, um Platz für neue eCrime-Taktiken zu schaffen. Das Wissen über diese Techniken hilft IT- und Sicherheitsteams dabei, ihre Gegner besser zu verstehen und so ihre Verteidigung zu verbessern..