Access-Broker nutzen fortschrittliche Social-Engineering-Betrugsmethoden und Schwachstellen aus, um sich unbemerkt im Netzwerk der Opferumgebung fortzubewegen und durch den Verkauf von Zugangsdaten und anderen Zugangsverfahren schnellen Profit zu machen.
In der Weihnachtszeit ändert sich oftmals der Betrieb in Unternehmen: Einige fahren ihre IT-Umgebungen teilweise komplett herunter und lassen ihre IT-Systeme durch eine Notbesetzung verwalten, während andere Unternehmen sich auf die geschäftigste Zeit des Jahres vorbereiten. Diese saisonbedingten Veränderungen im Personalbestand und in den Geschäftsabläufen in Verbindung mit den Ablenkungen während der Feiertage schaffen oft Risiken und machen Unternehmen anfälliger für Cyberangriffe.
Access-Broker, das sind Bedrohungsakteure, die Zugangsdaten von Unternehmen stehlen und in Untergrundforen verkaufen und somit die Cyberkriminalität für andere Bedrohungsakteure erleichtern, sind während der Weihnachtszeit besonders aktiv. Die Daten von CrowdStrike zeigen, dass die Aktivitäten der Access-Broker gegen Ende des Jahres in die Höhe schnellen. Sie nutzen die veränderten Bedingungen während der Weihnachtszeit, um Social-Engineering-Kampagnen für die Feiertage zu entwickeln, mehr Informationen zu stehlen und diese in Untergrundforen an Bedrohungsakteure zu verkaufen.
Die Rolle der Access-Broker im Ökosystem der Cyberkriminalität
Access-Broker sind zu einem zentralen Bestandteil des Ökosystems der Cyberkriminalität geworden und ihre Aktivitäten nehmen weiter zu: CrowdStrike beobachtete zwischen Juli 2022 und Juni 2023 einen Anstieg der im Dark Web geschalteten Inserate von Access-Brokern um 147 Prozent.
Viele Access-Broker unterhalten Beziehungen zu Big Game Hunting (BGH)-Cyberangreifern und Anbietern von lukrativen Ransomware-as-a-Service (RaaS)-Programmen. Die Feiertage sind für Ransomware-Angreifer eine hervorragende Gelegenheit, Ransomware-Kampagnen zu starten, Opfer zu erpressen und potenzielle Ziele zu identifizieren. Access-Broker unterstützen Ransomware-Angreifer bei diesem Vorhaben, indem sie die Betriebsveränderungen in Unternehmen während der Weihnachtszeit nutzen, um in das Netzwerk von Unternehmen einzudringen und Zugangsdaten an andere Cyberakteure zu verkaufen.
Warum Access Broker die Weihnachtszeit kaum abwarten können
Im vergangenen Jahr erreichten die Angebote der Access-Broker kurz vor und nach den Feiertagen ihren Höhepunkt. Spitzenwerte wurden auch in der Woche vor Ostern beobachtet. Auch wenn dieses Muster nicht in Stein gemeißelt ist, sind Access-Broker aus diesen Gründen in der Weihnachtszeit besonders aktiv:
- Weniger Personal: IT- und Sicherheitsteams sind während der Feiertage oft unterbesetzt, sodass weniger Mitarbeiter mit der Erkennungsabstimmung , mit Threat Hunting oder Patching beschäftigt sind. Infolgedessen haben Access-Broker mehr Möglichkeiten, unbemerkt einzudringen. Die Verweildauer, also die Zeit, bevor die Angreifer entdeckt werden, ist während der Weihnachtszeit wahrscheinlich länger, so dass Access-Broker ein größeres Zeitfenster haben, um einzudringen, mehr Daten zu stehlen und diese zu verkaufen.
- Feiertage bedeuten Urlaubszeit: Die Mitarbeiter nehmen sich während der Weihnachtstage oft frei. Manche haben ihre Passwörter vergessen, wenn sie nach einer Woche Urlaub zurückkommen. Wenn sie neue Anmeldedaten anfordern, sind sie anfälliger für Phishing-Angriffe. Access-Broker wissen, wann die Benutzer zurückkommen und haben mehr Erfolg, wenn viele Benutzer neue Zugangsdaten anfordern.
- Mehr Ablenkungen: IT-Support- oder Helpdesk-Teams kümmern sich möglicherweise nur um das Nötigste und lassen die üblichen bewährten Sicherheitsverfahren außer Acht. Access-Broker, die sich als reguläre Benutzer ausgeben, starten Support-Anrufe, um Zugang zu erhalten. Wenn das IT-Team in diesem Beispiel seine Informationen nicht ordnungsgemäß validiert, hat der Angreifer ein leichteres Spiel.
- Boomendes Geschäft: Branchen wie der Einzelhandel und die Gastgewerbe- und Reisebranche erleben eine der geschäftigsten Zeiten des Jahres. Während eines Erpressungsversuches würden Sie sich in einer schwächeren Position befinden, da sie das Geschäft während der Hochsaison am Laufen halten und Verstöße gegen Vorschriften vermeiden müssen. Mit diesem Wissen im Hinterkopf werben Access-Broker zum richtigen Zeitpunkt mit angepassten Preisen für den Zugang zu diesen Unternehmen, da sie wissen, dass Cyberangreifer zuschlagen wollen.
Gut durchdachte Social-Engineering-Kampagnen
Einer der berüchtigtsten Akteure aus dem Jahr 2023, der sowohl für die Vermittlung von Zugängen als auch für Big Game Hunting bekannt ist, nutzt fortschrittliches Social-Engineering, um Zugangsdaten zu sammeln. Der Täter hatte es auf verschiedene Branchen wie die Konsumgüterindustrie, Telekommunikation und Immobilien abgesehen. In vielen Fällen wurde auch Ransomware eingesetzt.
Bei all diesen Vorfällen setzte der Angreifer konsequent Social-Engineering-Taktiken ein, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Sie verließen sich auf eine Kombination aus Websites zum Sammeln von Anmeldeinformationen, SMS-Phishing, SIM-Swapping, MFA-Push-Benachrichtigung und Social Engineering über Vishing, um einen ersten Zugang zu erhalten. Nach dem Eindringen vermied der Angreifer den Einsatz spezieller Malware und nutzte stattdessen eine breite Palette legitimer Remote-Management-Tools, um sich dauerhaft Zugang zu verschaffen.
Dieser Täter war erfolgreich, weil er seine Opfer sehr genau studierte und wusste, wie er sich später als sie ausgeben konnte. Während der Feiertage, wenn die Benutzer entspannter sind und das Personal knapp ist, können Access-Broker mit ähnlichen Taktiken ihre Erfolgschancen erhöhen.
Web-Exploitation und Living-off-the-Land
Eine weitere gängige Methode der Access-Broker beinhaltet die Ausnutzung von öffentlich zugänglichen Anwendungen und Schwachstellen bei der Remote-Code-Ausführung, um Zugang zu erhalten. Sobald der Angreifer in das System eingedrungen ist, setzt er Standard-Web-Shell-Mechanismen ein, um Informationen über die Rechneridentität (SSH-Schlüssel, RSA-Schlüssel) zu sammeln. Mithilfe von standardmäßigen Befehlszeilen-Tools kann der Akteur sogar Systemprotokolle löschen, um nicht entdeckt zu werden.
Wie Unternehmen sich während der Weihnachtszeit und darüber hinaus gegen Access Broker verteidigen können
1. Verstehen Sie Ihre Umgebung: Das uralte Sprichwort “Man kann nicht schützen, was man nicht sehen kann” war noch nie so wahr wie heute. In den letzten Jahren haben Unternehmen verstärkt auf Cloud-Infrastrukturen zurückgegriffen, was zu einem größeren digitalen Fußabdruck geführt hat. Sicherheitsteams müssen sich einen Überblick über die gesamte Angriffsfläche ihres Unternehmens verschaffen, um Schwachstellen zu erkennen und Sicherheitslücken zu schließen. Warten Sie nicht darauf, dass der Angreifer zuschlägt. Verschaffen sie sich eine Übersicht über Ihre Infrastruktur, erkennen Sie Angriffspfade und beseitigen Sie diese.
2. Setzen Sie Prioritäten beim Identitätsschutz: Die Zunahme von Angriffen ohne Malware, Social-Engineering und ähnlichen Verfahren mit dem Ziel Anmeldedaten zu stehlen und zu verwenden, macht einen starken Identitätsschutz erforderlich. Die CISA-Initiative “Shields Up” fordert Unternehmen dazu auf, MFA durchzusetzen, ungewöhnliches Netzwerkverhalten zu erkennen und schnell zu bewerten. Es wird empfohlen, risikobasierte Zugriffsrichtlinien zu erstellen, um die Belastung durch MFA für legitime Benutzer zu verringern. Auch das BSI empfiehlt die Nutzung sicherer Authentisierungsverfahren.
Schulungen für soziale Medien sind ebenfalls entscheidend. Kündigen Sie keine Ausfälle in Abteilungen oder Änderungen an IT-Diensten in sozialen Medien an und weisen Sie Ihre Mitarbeiter an, keine persönlichen Daten in sozialen Netzwerken zu teilen. Signalisieren Sie Ihrem Personal, keine Anmeldedaten in Support-Anrufen, E-Mails oder Tickets weiterzugeben. Und schließlich sollten Sie keine Kontaktdaten von Führungskräften oder IT-Mitarbeitern auf der Unternehmenswebsite veröffentlichen – dies könnte Angreifern bei ihren Bemühungen helfen.
3. Verstärkung des Cloud-Schutzes: Die Zahl der beobachteten Fälle von Cloud-Missbrauch stieg im Jahr 2022 im Vergleich zum Vorjahr um 95 Prozent. Angreifer zielen gnadenlos auf Cloud-Infrastrukturen ab und nutzen eine breite Palette von Taktiken, Techniken und Verfahren, um geschäftskritische Daten und Anwendungen in der Cloud zu gefährden. Um Cloud-Angriffe zu stoppen, sind agentenlose Funktionen zum Schutz vor Fehlkonfigurationen, vor Angriffen auf der Steuerungsebene und vor identitätsbasierten Angriffen sowie Laufzeitsicherheit zum Schutz von Cloud-Workloads erforderlich.
4. Kennen Deinen Gegner: Unternehmen verbringen viel Zeit und Geld mit der Bekämpfung von Unbekannten und Warnungen, ohne das “Wer, Warum und Wie” hinter Cyberangriffen zu kennen. Wenn Sie Ihren Gegner nicht verstehen, sind Sie schlecht auf ihn vorbereitet. Investieren Sie in Threat Intelligence, die die Menschen hinter den Angriffen sowie deren Motivation, Fähigkeiten und Tools aufdecken. Setzen Sie Threat Intelligence ein, um die Untergrundforen kontinuierlich auf gefährdete Identitäten und durchgesickerte Daten zu durchsuchen und das Sicherheitsteam zu benachrichtigen, wenn Daten des Unternehmens entdeckt werden. Überwachen Sie Websites oder neu erstellte Domains, die Ihr Unternehmen imitieren. Wenn Sie nicht die Zeit oder die Ressourcen haben, arbeiten Sie mit Dritten zusammen, um das Risiko einer ähnlich aussehenden Website zu mindern.
5. Übung macht den Meister: Fördern Sie eine Umgebung, in der routinemäßig Tabletop-Übungen und Red/Blue-Teaming durchgeführt werden, um Lücken zu erkennen und Schwachstellen in Ihren Cybersicherheitspraktiken und -maßnahmen zu beseitigen. Kommen Sie dem Angreifer zuvor und sorgen Sie für einen umfassenden Einblick in die Vorgänge Ihrer Endpoints. Finden Sie versteckte Eindringlinge, indem Sie nach Web-Shells und Remote-Monitoring-Tools suchen, die in Ihrer Umgebung aktiv sein könnten. Holen Sie sich Unterstützung von Expertenteams, die sich mit Access-Brokern und deren Tools auskennen, um versteckte Bedrohungen zu entschärfen.
Access-Broker führen das ganze Jahr über fortgeschrittene Missbrauchs-, Social-Engineering- und Spear-Phishing-Angriffe durch, um Anmeldedaten zu erlangen und zu verkaufen. Das Jahresende ist für sie ein idealer Zeitpunkt, um zu handeln: Der IT-Support ist abgelenkt, die Sicherheitsteams unterbesetzt und viele Benutzer fragen nach ihrer Rückkehr neue Zugangsdaten an. Implementieren Sie starke Verteidigungsmaßnahmen und lassen Sie nicht zu, dass sich Access-Broker über die Feiertage an Ihren Zugangsdaten bereichern.