Ransomware as a Service: Die Rolle der Initial Access Broker
Die Verbreitung von Ransomware und die Angriffe sind ein ausgefeiltes Dienstleistungsgeschäft. In diesem Ökosystem sorgen Initial Access Broker für die Einstiegspunkte bei Opfern.
Das Dark Web ist schon seit Jahrzehnten Schauplatz krimineller Aktivitäten. Im Laufe dieser Zeit haben sich die Organisationen der Cyberkriminalität und ihre Geschäftsmodelle angepasst und weiterentwickelt, ebenso wie die Bedrohungslandschaft. Heutzutage können Nutzer in zahlreichen illegalen Foren und auf Marktplätzen alles von illegalen Drogen bis hin zu Malware kaufen und verkaufen.
Diese Foren ermöglichen es organisierten Cyberkriminalitätsgruppen, anderen Bedrohungsakteuren Produkte und Dienstleistungen zum Kauf anzubieten. Cyberkriminelle Gruppen, die Angreifern aktiv Zugang zu privaten Netzwerken und Systemen verkaufen, werden gemeinhin als Initial Access Broker (IABs) bezeichnet. Obwohl sie nur selten direkt in Angriffe verwickelt sind, spielen diese Erstzugangsvermittler eine wichtige Rolle im Ökosystem für Ransomware als Service (RaaS), da sie Einstiegspunkte für andere böswillige Angreifer schaffen.
Grund genug einmal näher zu betrachten, welche Rolle Initial Access Broker im RaaS-Modell spielen und wie sie arbeiten.
Was sind Initial Access Broker?
Initial Access Broker sind einzelne Cyberkriminelle oder organisierte Cybercrime-Gruppen, die sich unbefugten Netzwerkzugang verschaffen und diesen an andere böswillige Akteure verkaufen.
IAB sind in der Regel darauf spezialisiert, in Organisationen mit direktem Benutzerzugang einzudringen, den sie sich durch verschiedene Methoden verschaffen. Dazu gehören Credential Stuffing, Social Engineering, Phishing, MFA-fokussierte Brute-Force-Angriffe und Stealer Malware.
Die meisten Initial Access Broker fungieren als Zulieferer für andere Angreifer und führen selten selbst Ransomware, Datenerpressung oder andere Cyberangriffe durch. Stattdessen dienen sie als Drittanbieter, die es anderen Cyberkriminellen ermöglichen, weitere Angriffe auf Unternehmen durchzuführen.
Sobald sich Angreifer einen ersten Zugang zu einem Unternehmensnetzwerk oder Betriebssystem verschafft haben, bieten sie diesen Zugang in Dark-Web-Foren an und verkaufen ihn an andere Cyberkriminelle. Einige Makler verkaufen den Erstzugang zu Unternehmen zu einem festen Preis, während andere einen prozentualen Anteil an den Gewinnen verlangen, die ihre Käufer durch die Nutzung des Zugangs erzielen.
Wie gehen Initial Access Broker vor?
IAB können einzelne Bedrohungsakteure oder Mitarbeiter größerer organisierter Cyberkriminalitätsgruppen sein. Obwohl sie selbst bösartige Angreifer sind, unterscheiden sich ihre Angriffstechniken in der Regel von denen der Bedrohungsakteure, denen sie den Erstzugang verkaufen. Viele Initial Access Broker, die in Dark-Web-Foren und -Marktplätzen aktiv sind, haben sich auf den Diebstahl von Unternehmensdaten durch Social Engineering und Brute-Force-Angriffe spezialisiert.
Initial Access Broker wenden die folgenden operativen Taktiken an:
Ausnutzung von Softwareschwachstellen und nicht gepatchten Systemen, um Zugang zu internen Systemen und Netzwerken zu erhalten.
Social-Engineering- oder Phishing-Angriffe mit dem Ziel, Benutzeranmeldedaten zu stehlen.
Ausnutzung von Schwachstellen im Remote-Desktop-Protokoll oder VPN, um auf Netzwerke zuzugreifen und Daten zu exfiltrieren.
Fernzugriffs-Trojaner, auch Infostealer genannt, werden eingesetzt, um Tastatureingaben, Kennwörter und andere vertrauliche Daten zu protokollieren, um sie zu exfiltrieren und an andere Angreifer zu verkaufen.
Initial Access Broker setzen solche Angriffsmethoden branchenübergreifend ein. Forschende und Strafverfolgungsbehörden haben beobachtet, dass sie Zugang zu privaten Netzwerken und Systemen von Unternehmen in den Bereichen Behörden, Gesundheitswesen, Finanzdienstleistungen, kritische Infrastrukturen, Einzelhandel und mehr verkaufen.
Welche Rolle spielt ein Access Broker im RaaS-Modell?
Ransomware-Angriffe haben in den letzten Jahren zugenommen und zu vielen öffentlichkeitswirksamen Datenschutzverletzungen geführt. Solche Angriffe haben schwerwiegende Folgen für Unternehmen, darunter Betriebsunterbrechungen, rechtliche Sanktionen und Rufschädigung. In einigen Fällen wie beispielsweise in der Gesundheitsbranche können Ransomware-Angriffe sogar Menschenleben bedrohen.
Wie IABs sind auch RaaS-Betreiber Dienstleistungsanbieter. Nachdem sie den anfänglichen Zugang zu Unternehmensnetzwerken erlangt haben, können sie diesen zusammen mit anderen Elementen wie Malware, Zahlungsportalen und Kampagnen-Dashboards bündeln und weiterverkaufen, um gezielte Angriffe zu ermöglichen. RaaS-Käufer können dann problemlos Ransomware-Kampagnen durchführen, selbst wenn sie nicht die Bereitschaft oder die Fähigkeiten haben, sie selbst zu entwickeln.
Die meisten Initial Access Broker agieren als Zulieferer für andere Angreifer und führen selten selbst Ransomware, Datenerpressung oder andere Cyberangriffe durch.
Die Partnerschaft zwischen Vermittlern von Erstzugängen und Ransomware-Betreibern ist für beide Seiten vorteilhaft. Erstere rationalisieren und beschleunigen den Ransomware-Angriffszyklus, indem sie illegale Einfallstore in Unternehmensnetzwerke schaffen. Durch den Erwerb des Erstzugangs können Ransomware-Banden den zeit- und ressourcenaufwendigen Prozess des Einhackens in die Netzwerke einzelner Unternehmen umgehen.
Viele der heute bekannten Ransomware-Gruppen verlassen sich auf Access Broker, um den Weg für groß angelegte Cyberangriffe zu ebnen.
Die Zukunft der Initial Access Broker
Initial Access Broker haben sich als wertvolle Ressource für andere Ransomware-Gruppen erwiesen, da sie die Komplexität der Orchestrierung von Cyberangriffen im großen Stil vereinfachen. Dementsprechend gehen Sicherheitsexperten und Forscher davon aus, dass mit der zunehmenden Größe und Rentabilität von Cyberkriminellen auch die Zugangsvermittler weiter zunehmen werden.
Initial Access Broker spielen eine wichtige Rolle im Ransomware-Ökosystem und sind zumindest teilweise für die Zunahme der Angriffe verantwortlich, denen Unternehmen heute ausgesetzt sind. Unternehmen sollten intern team- und führungsübergreifend zusammenarbeiten, um Ransomware-Risiken zu mindern und sich durch die Implementierung von Cybersicherheitskontrollen und strengeren Zugangskontrollen vor Angriffen mit Zugangsdaten zu schützen (siehe auch Kostenloses E-Handbook: Ransomware: Aktiv Abwehr aufbauen
