Drei Viertel der Angebote im Dark Web sind RDP-Zugänge. Preise variieren je nach Branche und Größe des Unternehmens.
Die Experten von Kaspersky haben etwa 200 Angebote im Dark Web analysiert, die Zugänge zu Unternehmen anbieten [1]. Dabei haben sie festgestellt, dass die durchschnittlichen Kosten für den Zugriff auf die Systeme eines großen Unternehmens zwischen 2.000 und 4.000 US-Dollar liegen – ein relativ günstiger Betrag im Vergleich zu einem potenziell sehr hohen Schaden für angegriffene Unternehmen. Solche Dienste sind von größtem Interesse für Ransomware-Betreiber, deren Gewinne bis zu 40 Millionen US-Dollar pro Jahr erreichen können.
Kaspersky-Untersuchungen zeigen, dass im Dark Web nicht nur eine hohe Nachfrage nach Daten, die durch einen Angriff erlangt wurden, besteht, sondern auch nach den Daten und Diensten, die für die Organisation eines Angriffs erforderlich sind. Sobald ein Angreifer Zugriff auf die Infrastruktur eines Unternehmens erlangt, kann er diesen Zugriff an andere Cyberkriminelle wie Ransomware-Betreiber verkaufen. Solche Angriffe führen zu erheblichen finanziellen Verlusten sowie Imageschäden für die angegriffenen Organisationen und können zu Arbeits- sowie Geschäftsprozessunterbrechungen führen.
Der Kaspersky-Analyse zufolge werden am häufigsten RDP-Zugänge jeglicher Form (in 75 Prozent der geposteten Angebote) verkauft. Diese Zugänge bieten Zugriff auf einen remote gehosteten Desktop oder eine Anwendung; damit können sich Cyberkriminelle über einen Remote-Host mit Daten und Ressourcen verbinden, darauf zugreifen und diese kontrollieren, als ob die Mitarbeiter eines Unternehmens die Daten lokal kontrollieren würden. In 8,6 Prozent handelt es sich um Angebote für VNC für den Netzwerkzugang. Des Weiteren wurden wenige Male Zugänge für Citrix, SQL Injection oder Web Shell angeboten.
Die Preise variieren stark und reichen von ein paar Hundert bis zu Hunderttausenden US-Dollar. Die Preise der Zugangsdaten richten sich nach dem Umsatz des potenziellen Opfers – je höher der Umsatz, desto höher der Preis für die Zugangsdaten. Allerdings variieren die Preise je nach Branche, Einsatzgebiet und Größe des Unternehmens. Der Zugang zu großen Unternehmensinfrastrukturen kostet normalerweise zwischen 2.000 und 4.000 US-Dollar; der Preis für Zugangsdaten zu einem großen Unternehmen mit einem Umsatz von 465 Millionen US-Dollar beläuft sich beispielsweise auf rund 50.000 US-Dollar.
Insbesondere Ransomware-Betreiber sind bereit, Tausende oder sogar Zehntausende US-Dollar für die Möglichkeit zu bezahlen, ein Unternehmensnetzwerk zu infiltrieren. Diese kosten das betroffene Unternehmen oft mehrere Millionen US-Dollar. Die produktivsten Akteure des vergangenen Jahres haben in den vergangenen drei Jahren potenziell 5,2 Milliarden US-Dollar erhalten [2].
Threat Intelligence hilft, geplante Angriffe zu entdecken
„Cyberkriminelle haben sich nicht nur aus technischer, sondern auch aus organisatorischer Sicht weiterentwickelt“, erklärt Sergey Shcherbel, Sicherheitsexperte bei Kaspersky. „Ransomware-Gruppen agieren heute eher wie echte Industrien mit käuflichen Dienstleistungen und Produkten. Deshalb überwachen wir permanent Darknet-Foren, um stets über neue Trends und Taktiken der Cyberkriminellen informiert zu sein. Dabei haben wir die zunehmenden Angebote für Daten, die für die Organisation eines Angriffs erforderlich sind, beobachtet. Die Sichtbarkeit von Quellen im gesamten Dark Web ist für Unternehmen, die ihre Bedrohungsinformationen erweitern möchten, von entscheidender Bedeutung. Denn zeitnahe Informationen über geplante Angriffe, Diskussionen über Schwachstellen und Vorfälle können dazu beitragen, die Angriffsfläche zu reduzieren und geeignete Maßnahmen zu ergreifen.“
Die im Kaspersky Threat Intelligence Portal [3] eingeführte Dark-Web-Suche bietet Zugriff auf Erkenntnisse aus einer Reihe validierter Quellen, so dass Unternehmen die Auswirkungen von Cyberangriffen mindern und potenzielle Bedrohungen identifizieren können, bevor es zu Vorfällen kommt.
Am 21. Juni 2022 geben die Sicherheitsexperten Yuliya Novikova und Sergey Shcherbel, in einem Webinar Aufschluss darüber, wie Daten und Systeminformationen eines Unternehmens auf Darknet-Märkten verkauft werden. Interessierte können sich hier registrieren: https://www.brighttalk.com/webcast/15591/545599?utm_source=brighttalk-sharing&utm_medium=web&utm_campaign=linkshare
[1] https://securelist.com/initial-access-data-price-on-the-dark-web/106740/
[2] https://securelist.com/the-story-of-the-year-ransomware-in-the-headlines/105138/
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Kaspersky-Analyse zu Dark-Web-Angeboten: https://securelist.com/initial-access-data-price-on-the-dark-web/106740/
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence