Access as a Service fördert Ransomware-Attacken

Cyberkriminelle sind nicht mehr unbedingt darauf angewiesen, nach Sicherheitslücken zu suchen. In Untergrundforen haben sie sich ihre eigene Marktstruktur mit Access-as-a-Service-Angeboten aufgebaut. Wie eine Analyse des Security-Anbieters Trend Micro zeigt, sind Access Broker zu 80 Prozent verantwortlich für Ransomware-Angriffe, weil sie mit dem Verkauf von Netzwerkzugängen Erpressern den Weg bereiten. Doch wie die Autoren der Studie erklären, handelt es sich dabei um keinen richtigen Service, der nach dem Verkauf weiter angeboten wird. "Was angeboten wird, ähnelt eigentlich eher einem digitalen Produkt. Der Begriff ,as a Service' leitet sich daher aus dem Vergleich dieses neuen Modells mit anderen ähnlichen Angeboten wie Ransomware as a Service (RaaS) ab."

Analyse der Access-as-a-Service-Angebote

Im Rahmen der Studie hat der Security-Hersteller im Jahr 2021 mehr als 900 Access-Broker-Listings in verschiedenen Cybercrime-Foren analysiert. Demnach zielen Access-as-a-Service-Angebote vor allem auf die Vereinigten Staaten, Spanien, Deutschland, Frankreich und Großbritannien ab. In Deutschland ist die Fertigungsbranche mit 28 Prozent der Angebote am meisten betroffen, knapp gefolgt vom Bildungswesen mit 26 Prozent.

Weiterhin zeigt die Studie, dass die meisten Access-Broker-Angebote einen einfachen Datensatz an Zugangsinformationen beinhalten, welche aus verschiedenen Quellen stammen können. Häufige Ursprünge der Daten sind vorangegangene Sicherheitsvorfälle und entschlüsselte Passwort-Hashes, kompromittierte Bot-Rechner, ausgenutzte Schwachstellen in VPN-Gateways oder Webservern sowie einzelne opportunistische Angriffe. Die Experten des Security-Unternehmens haben während ihrer Analyse folgende Access-Broker-Profile identifiziert:

• Opportunistische Verkäufer, die auf schnellen Profit aus sind und noch in anderen Bereichen der Cyberkriminalität aktiv.

• Dedizierte Broker sind fortgeschrittene und versierte Hacker, die Zugang zu einer Vielzahl an Unternehmen anbieten. Ihre Dienste werden häufig von kleineren Ransomware-Akteuren und -Gruppen in Anspruch genommen.

• Online-Shops, die Remote-Desktop-Protocol (RDP)- und Virtual-Private-Network (VPN)-Zugangsdaten anbieten. Diese spezialisierten Shops gewährleisten nur den Zugang zu einem einzelnen Rechner, nicht aber zu einem umfassenden Netzwerk oder ganzen Unternehmen. Jedoch eröffnen sie dadurch weniger erfahrenen Cyberkriminellen eine einfache und automatisierte Zugangsmöglichkeit. Diese können dabei sogar gezielt nach Standort, Internet Service Provider (ISP), Betriebssystem, Portnummer, Administratorenrechten oder Unternehmensnamen suchen.

8 Tipps für eine bessere Abwehr

Das Problem: "Die Aufmerksamkeit der Medien und Unternehmen richtet sich bisher vor allem auf den Ransomware-Payload, sprich die Übertragung und Verschlüsselung der eigentlichen Nutzerdaten, obwohl das Hauptaugenmerk zuerst auf der Eindämmung der Aktivitäten von Initial-Access-Brokern (IAB) liegen sollte", erklärt Richard Werner, Business Consultant bei Trend Micro. "Incident-Response-Teams müssen oft zwei oder mehrere sich überschneidende Angriffsketten untersuchen, um die Ursache eines Ransomware-Angriffs zu identifizieren. Das erschwert häufig den gesamten Incident-Response-Prozess", betont der Experte.

Damit Unternehmen sich besser vor Angriffen schützen können, empfiehlt Trend Micro folgende Security-Strategien:

• Überwachen Sie öffentlich bekannte Sicherheitsvorfälle.

• Setzen Sie alle Benutzerpasswörter zurück, wenn der Verdacht besteht, dass Unternehmenszugangsdaten gefährdet sein könnten.

• Nutzen Sie Multi-Faktor-Authentifizierung (MFA).

• Halten Sie nach Anomalien im Nutzerverhalten Ausschau.

• Achten Sie auf Ihre Demilitarisierte Zone (DMZ) und berücksichtigen Sie, dass internetgestützte Dienste wie VPN, Webmail und Webserver ständigen Angriffen ausgesetzt sind.

• Implementieren Sie eine Netzwerk- sowie Mikrosegmentierung.

• Setzen Sie bewährte Passwortrichtlinien um.

• Verfahren Sie nach dem Zero-Trust-Prinzip.