WatchGuard Blog

Lohnende Geschäfte: Der Schwarzmarkt für Login-Daten boomt

Im Dark Web existieren Zehntausende geheimer Seiten und Foren, die unter dem Radar von Suchmaschinen fliegen. Zugang hat nur derjenige, der die genaue Adresse kennt. Das Angebot ist extrem vielseitig – von Diskussionsforen, in denen Techniken oder Tools für Cyberangriffe ausgetauscht werden, bis hin zu Plattformen, auf denen der Schwarzmarkt für den Kauf und Verkauf illegal beschaffter Daten floriert. Da sämtliche Transaktionen über den Einsatz von Kryptowährungen und andere, für Behörden schwer nachverfolgbare Methoden abgewickelt werden, ergeben sich hinsichtlich des Schutzes von Unternehmensressourcen enorme Herausforderungen.

Im Fadenkreuz: IAB und RaaS

Die entsprechenden Websites im Dark Web stehen zunehmend im Zeichen groß angelegter Ransomware-Kampagnen. Cyberkriminelle können dort – oft für geringe Beträge – Werkzeuge kaufen oder Listen mit vollständigen Anmeldedaten abrufen, die zuvor von Unternehmen und Organisationen erbeutet wurden. Wird das Lösegeld für die verschlüsselten Daten bezahlt, lässt sich ein Vielfaches dieser Investition wieder reinholen – ein lohnendes Geschäft für die Angreifer. Zwei der führenden „Akteure“ in diesem Umfeld sind:

  • Initial Access Brokers (IAB): Dabei handelt es sich um Einzelpersonen oder Gruppen, denen es gelingt, an Informationen wie Zugangsdaten für Unternehmensnetze zu gelangen. Diese stellen eine äußerst wertvolle Ware dar.
  • Ransomware-Betreiber: Käufer dieser Zugangsdaten können entweder selber bösartige Kampagnen auslösen oder – was immer häufiger vorkommt – sie bieten ihre Dienste als Ransomware-as-a-Service (RaaS) anderen Hackern an, die dann einschlägige Angriffe durchführen.

Verdreifachung in nur einem Jahr

Ende 2021 veröffentlichte eine Gruppe von Cybersicherheitsanalysten einen Bericht, der auf der Betrachtung Hunderter solcher Dark-Web-Foren basiert. Das Ergebnis ist erschreckend: Die Anzahl der zum Verkauf stehenden Zugangsdaten für Unternehmensnetzwerke hat sich im Jahresvergleich verdreifacht – von 362 in der vorherigen Analyse auf 1.099.

Der Bericht konstatiert, dass die steigende Nachfrage nach solchen Angeboten mit der zunehmenden Verbreitung von Ransomware-Cyberattacken einhergeht. Viele Einzelpersonen und Gruppen werden anscheinend durch die Erfolge anderer ermutigt, ebenfalls ihr Glück zu versuchen. Die Analysten weisen aber gleichzeitig darauf hin, dass eine der Hauptursachen für diesen Anstieg im – vor allem aufgrund der Pandemie – gestiegenen Anteil von Mitarbeitern im Homeoffice zu finden ist. Denn viele der zum Verkauf stehenden Anmeldedaten gehören zu VPN- und RDP-Tools.

Remote Access Point (RAP)

Der WatchGuard Internet Security Report Q3 2021 unterstreicht diesen Boom bei Ransomware und Cyberangriffen, die auf Remote-Verbindungen abzielen. In diesem speziellen Bedrohungsszenario wird Unternehmen empfohlen, Remote Access Point (RAP)-Lösungen zu implementieren, die einen vollständig sicheren Zugang zum Firmennetzwerk ermöglichen. Denn wenn Mitarbeiter in der Zweigstelle oder von zu Hause aus über einen WLAN-Access-Point zugreifen, der über ein IPSec-IKEv2-VPN-Netzwerk sicher an die Zentrale angebunden ist, lässt sich über eine Next-Generation-Firewall umfassender Schutz realisieren.

Darüber hinaus gestaltet sich das Management der Fernzugriffe auf das Unternehmensnetzwerk deutlich einfacher. Sämtliche Berechtigungen und Anmeldeinformationen können jederzeit zentral im Blick behalten werden. Durch die Einführung einer fortschrittlichen Multifaktor-Authentifizierungslösung (MFA) lässt sich die Identität jedes einzelnen Benutzers überprüfen und verwalten. Auf diese Weise sind Unternehmensnetzwerke und sämtliche Anmeldeinformationen viel besser gegen Angriffsversuche von IAB geschützt.