Romolo Tavani - stock.adobe.com

Der Markt für Zero-Day-Schwachstellen im Darknet

Das Thema Schwachstellenmanagement ist nicht neu, in Ransomware-Zeiten jedoch umso relevanter. Im Darknet werden Exploits inzwischen für mehrere Millionen US-Dollar gehandelt.

Die Preise für Zero-Day-Lücken mögen auf den ersten Blick exorbitant wirken. Doch der Markt ist heiß umkämpft und Anbieter von neu entdeckten Schwachstellen müssen mit x-beliebigen Bug-Bounty-Programmen konkurrieren.

Die Angebote sind entsprechend exklusiv. Darüber hinaus müssen von den Einnahmen auch Drittkosten (zum Beispiel Geldwäschedienste) abgedeckt werden. Vom Risiko aufzufliegen und hinter Gittern zu landen, ganz zu schweigen.

Ransomware-Gruppen steigen ins Geschäft ein

Die seit jeher hohen Preise für Zero-Day-Schwachstellen sind auch der Grund, warum der Handel lange Zeit staatlich finanzierten Hackergruppen und Advanced-Persistent-Threat-Kampagnen vorbehalten war. Die kostspielige Investition in exklusive Zero-Day-Attacken ist für die Spionageabteilung eines Staates deutlich leichter zu stemmen als für gewöhnliche Cyberkriminelle.

Das hat sich geändert. In den letzten Jahren konnten Ransomware-Gruppen enorme Vermögen anhäufen und damit ins Geschäft um Zero-Day-Schwachstellen einsteigen. Diese Entwicklung ist wahrscheinlich auch der Grund, warum Zero-Day-Anbieter ihre Auktionen seit neuestem auf cyberkriminellen Foren durchführen und einem breiteren Publikum öffnen.

Exploits as a Service?

Die Threat-Intelligence-Analysten von Digital Shadows machten in ihrer Untersuchung noch eine weitere interessante Entdeckung. So wird in kriminellen Foren und Plattformen momentan viel über die Möglichkeiten von Vulnerability-Exploits als Dienstleistung (Exploit as a Service) diskutiert. Bei diesem Geschäftsmodell werden die Exploits an andere Cyberkriminelle lediglich zu einem Aktionspreis „vermietet“ und nur so lange bereitgestellt, bis sich ein zahlungskräftiger Endkäufer findet.

Robert Blank, Digital Shadows

„In den letzten Jahren konnten Ransomware-Gruppen enorme Vermögen anhäufen und damit ins Geschäft um Zero-Day-Vulnerabilities einsteigen.“

Robert Blank, Digital Shadows

Anbieter können auf diesem Weg die Zero-Day-Lücke sofort in bare Münze umwandeln und die oftmals lange Suche nach einem Käufer überbrücken. Die Abnehmer des Exploit-Services wiederum profitieren von mehr Flexibilität: Sie haben Gelegenheit, den Exploit zunächst zu testen und sich später für eine exklusive oder nicht-exklusive Nutzung zu entscheiden.

Bekannte (alte) Schwachstellen bleiben ein Problem

Zero-Days-Schwachstellen und hochkarätige Bedrohungsakteure machen insgesamt jedoch nur einen winzigen Teil des komplexen Ökosystems rund um Sicherheitslücken aus. Die große Mehrheit der Cyberkriminellen ist vor allem an älteren Schwachstellen interessiert, die von Sicherheitsteams noch nicht ordnungsgemäß gepatcht wurden.

Die Kundschaft ist vielfältig: Anfänger und technisch weniger versierte Cyberkriminelle nutzen bereits bekannte Schwachstellen, um ihre Fähigkeiten zu verbessern. Hier bietet die cyberkriminelle Community ein ideales Trainingsumfeld, das neben PoC-Exploits (Proof of Concept) auch Tutorials und Best Practices bereithält. Andere schrecken vor den hohen Preisen für Zero-Day-Lücken zurück und warten lieber, bis eine Sicherheitslücke zum Mainstream und ein entsprechendes Exploit kostenlos oder zu einem niedrigeren Preis veröffentlicht wird. Bei der Fülle an täglich neuen Sicherheitslücken und dem unzureichenden Patch-Management in Unternehmen eine durchaus gute Taktik.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit