Erstzugang zur Unternehmensinfrastruktur: Eine Marktanalyse

Unsere Experten haben den Schattenmarkt für den Erstzugang zur Unternehmensinfrastruktur untersucht.

Wenn in den Medien über einen Ransomware-Angriff auf ein Unternehmen berichtet wird, stellen sich viele Leute vor, dass Cyberkriminelle zunächst gefährliche Malware schreiben, dann nach einer passenden Angriffsmöglichkeit auf das Unternehmen suchen und schließlich dessen vertrauliche Daten verschlüsseln. Deshalb sind einige Unternehmer noch immer der festen Überzeugung, dass ihr Unternehmen für Angreifer nicht interessant genug und den Aufwand nicht wert ist.

Die Realität sieht leider völlig anders aus. Ein moderner Angreifer schreibt Malware heutzutage nicht mehr selbst, sondern mietet sie. Und nein, er muss auch keinen besonders großen Aufwand betreiben, um den Angriff auszuführen. Stattdessen sucht er im Darknet nach sogenannten Initial Access Brokern. Die Experten unseres Dienstes Digital Footprint Intelligence wollten herausfinden, wie viel Geld den Besitzer wechselt, wenn Cyberkriminelle den Zugang zur Unternehmensinfrastruktur kaufen und verkaufen. Die Ergebnisse finden Sie im Anschluss.

Was kostet der Zugang zur Infrastruktur?

Wie viel geben Angreifer aus, um sich Zugang zu Ihrer Infrastruktur zu verschaffen? Dabei spielt vor allem der Umsatz Ihres Unternehmens eine entscheidende Rolle. Nach der Analyse von etwa zweihundert Werbeanzeigen im Darknet kamen unsere Experten zu den folgenden Schlussfolgerungen:

  • Viele Angebote bieten Zugang zur Infrastruktur kleiner Unternehmen;
  • Fast die Hälfte aller Anzeigen verkaufen Unternehmenszugänge für weniger als 1000 US-Dollar;
  • Fälle, in denen der Zugang für mehr als 5000 US-Dollar verkauft wird, sind relativ selten;
  • Die durchschnittlichen Kosten für den Zugang zu Großunternehmen liegen zwischen 2000 und 4000 US-Dollar.

Sicherlich sind das keine riesigen Summen. Die Verteiler von Ransomware erwarten aber, dass sie mit ihren Chantage-Versuchen weitaus größere Geldsummen einnehmen werden, und sind daher bereit, auch eine höhere Summe für den Erstzugang zu einer Infrastruktur zu bezahlen. Wie auch in allen anderen Bereichen richten sich die jeweiligen Preise nach Angebot und Nachfrage.

Was steht zum Verkauf?

Im Verkaufsrepertoire der Angreifer lassen sich verschiedene Zugriffsarten finden. Manchmal handelt es sich um Informationen über eine Sicherheitslücke, die für den Zugang ausgenutzt werden kann. In anderen Fällen sind es Anmeldedaten für den Zugriff auf Citrix oder das Hosting-Panel der Website. In der überwiegenden Mehrheit der Fälle (in mehr als 75% der Werbeanzeigen) bieten Kriminelle jedoch Zugang über das RDP (manchmal in Verbindung mit einem VPN) an. Dementsprechend sollte diese Möglichkeit des Fernzugriffs auf die Infrastruktur des Unternehmens mit großer Aufmerksamkeit behandelt werden.

Wie erlangen Cyberkriminelle Erstzugang?

Es gibt viele Möglichkeiten, sich einen ersten Zugriff auf Zugangskonten zu verschaffen. Manchmal gehen Cyberkriminelle dabei den einfachsten Weg und machen sich das sogenannte Passwort-Mining zunutze. Am häufigsten versenden sie jedoch Phishing-E-Mails oder Nachrichten mit schädlichen Anhängen (Spyware oder z. B. Stealer, die automatisch Anmeldeinformationen, Autorisierungstoken, Cookies usw. von infizierten Geräten sammeln) an Mitarbeiter des angepeilten Unternehmens. Manchmal nutzen Angreifer auch bekannte Schwachstellen in Software aus, bevor die Administratoren sie mit Patches versehen.

Detaillierte Ergebnisse der Studie, mit Beispielen realer Initial-Access-Werbeanzeigen, finden Sie im Bericht auf Securelist.

So können Sie sich schützen

Da es sich beim Verkaufsgegenstand meist um den Fernzugriff auf die Infrastruktur eines Unternehmens via RDP handelt, sollte dieser in erster Linie geschützt werden. Unsere Experten empfehlen daher Folgendes:

  • RDP-Zugriff sollte nur über ein VPN ermöglicht werden;
  • Nutzen Sie starke Passwörter;
  • Wenn möglich, verwenden Sie die Authentifizierung auf Netzwerkebene (Network Level Authentication);
  • Verwenden Sie die Zwei-Faktor-Authentifizierung für alle wichtigen Dienste.

Um die Wahrscheinlichkeit zu mindern, dass Passwörter durch Phishing in die falschen Hände geraten, empfiehlt es sich, zuverlässige Sicherheitslösungen mit einer Anti-Phishing-Engine sowohl auf den Geräten der Mitarbeitenden als auch auf der Ebene des Mail-Gateways einzusetzen. Um auf Nummer sicher zu gehen, sollten Sie zudem das Cybersicherheitsbewusstsein Ihrer Mitarbeiter steigern.

Darüber hinaus kann es nicht schaden, herauszufinden, ob jemand bereits über den Zugriff auf Ihre Unternehmensinfrastruktur im Darknet diskutiert. Eine solche Überwachung führt unser Dienst Digital Footprint Intelligence für Sie durch.

Tipps