Untergrund-Jobrollen

Das Cybercrime-"Who is Who"

Auch kriminelle Hackerbanden spezialisieren sich – zum Beispiel auf die Entwicklung von Malware, Ransomware-as-a-Service-Angebote oder gestohlene Daten. Das sind die Schlüsselrollen im Cybercrime-Untergrund.
Von  und
CSO | 18. März 2022 05:55 Uhr
Die Zeiten der kriminellen Einzelkämpfer sind passé – Cybercrime-Akteure übernehmen heute spezifische Rollen und arbeiten in Gruppen, die wie Softwareunternehmen operieren.
Die Zeiten der kriminellen Einzelkämpfer sind passé – Cybercrime-Akteure übernehmen heute spezifische Rollen und arbeiten in Gruppen, die wie Softwareunternehmen operieren.
Foto: Gorodenkoff - shutterstock.com

Ransomware-Banden haben sich dank einträglicher Malware-Kampagnen als organisierte, illegale Unternehmen etabliert - im Untergrund erblüht inzwischen ein vielfältiges Cybercrime-Ökosystem. Dass die Cyberkriminellen mit ihren Taktiken erfolgreich sind, ist jedoch kein Zufall: Hinter den martialischen (oder kryptischen) Gruppennamen verbirgt sich im Regelfall eine organisierte Struktur, die Bedrohungsakteure auf verschiedenen Ebenen umfasst. Diese arbeiten gemeinsam auf ein Ziel hin - jeder erhält seinen Anteil.

Angesichts der immer raffinierteren Angriffstaktiken und -techniken stellt sich die Frage, welche Schlüsselrollen Cyberkriminelle bei ihrer "Arbeit" einnehmen.

Initial Access Brokers

Initial Access Brokers (IABs) sind Bedrohungsakteure, die illegal erlangte Zugänge zu Unternehmensnetzwerken verkaufen. Diese Geschäfte laufen für gewöhnlich über Darknet-Marktplätze und -Foren oder geschlossene Messaging-Kanäle und Chat-Gruppen ab.

Initial Access Brokers haben dabei mit den tatsächlichen, kriminellen Handlungen wie Datenexfiltration, -verschlüsselung oder -löschung oft nichts zu tun - der Käufer des Zugangs entscheidet, wie er diesen missbraucht. "In der Vergangenheit verkauften IABs hauptsächlich an Kriminelle, die die Daten eines Unternehmens zerstören, geistiges Eigentum entwenden wollten oder es auf Finanzinformationen abgesehen hatten", weiß Ben Richardson, Senior Software Engineer beim Authentifizierungsanbieter Cloud RADIUS. "Initial Access Brokers waren lange nicht besonders gefragt, vor allem weil das Volumen der Angriffe gering war. Die Ransomware-Ära hat zu einem exponentiellen Anstieg der Nachfrage nach IABs geführt. Ransomware-Gruppen sind für sie ein neues Kundensegment. Diese setzen wiederum auf Initial Access Brokers, um direkt damit beginnen zu können, Daten zu verschlüsseln und Backups zu zerstören."

X-as-a-Service

Im Cybercrime-Kontext manifestiert sich der Begriff "X as a Service" in der Regel in Form von Ransomware-as-a-Service (RaaS) oder Malware-as-a-Service (MaaS). Das funktioniert ähnlich wie bei einem SaaS-Modell: Gegen eine Gebühr stellen diese Anbieter für ihre angriffsbereiten "Partner" einsatzfertige Ransomware-Tools, Phishing-Kits oder IT-Infrastruktur zur Verfügung. "Bei diesem Modell bleiben die Anbieter rechtlich auf der sicheren Seite, da sie nicht dafür verantwortlich sind, wie ihr Service genutzt wird", gibt Logan Gilbert, Global Solutions Architect bei Deep Instinct zu bedenken. "Als Dienstleister können diese kriminellen Anbieter unabhängig vom 'Erfolg' ihrer Kunden Geld verdienen. Operativen Wert zu erzielen, ist deren Sache."

X-as-a-Service-Modelle haben vor allem dazu beigetragen, die Einstiegshürden für Cybercrime-Aspiranten zu senken: "Ursprünglich waren Cyberkriminelle versierte Hacker, die auch umfassende Operationen in der Regel auf eigene Faust bewältigen konnten", meint David Kuder, Senior Cyber Threat Intelligence Analyst bei CriticalStart. "Das war äußerst ressourcenintensiv und mit einem hohen Risiko verbunden. In den letzten Jahren haben sich Cyberkriminelle vor allem darauf konzentriert, große Unternehmen ins Visier zu nehmen und so riesige Gewinne einzufahren. In der Folge erlebte der X-as-a-Service-Bereich einen wahren Boom. Für die Kunden dieser Services bedeutet es auch, sich voll und ganz auf ihren Bereich konzentrieren zu können, während der Rest in den Händen des Dienstleisters liegt."

Ransomware Affiliates

Ransomware-Affiliates sind vielseitige "Auftragnehmer" - sie werden von Ransomware-Gruppen für operative Aufgaben angeheuert. Dazu kann zum Beispiel gehören:

  • Zugänge über IABs zu beschaffen,

  • gestohlene Zugangsdaten zu vermitteln oder

  • den Angriff selbst auszuführen.

Ist der Angriff erfolgreich und das Lösegeld bezahlt, erhalten die Affiliates eine anteilige Provision. Um Angriffe zu beschleunigen, können Ransomware Affiliates zum Beispiel auch auf RaaS-Plattformen zurückgreifen, um Dateien mit "gemieteter Ransomware" zu verschlüsseln.

"Gegen eine geringe Gebühr verschaffen Affiliates Zugang zu einem Produkt oder einer Dienstleistung, die sonst selbst entwickelt und verwaltet werden müsste", weiß Gilbert.

Malware- und Exploit-Entwickler

Diese Bedrohungsakteure entwickeln Exploits für Zero-Day-Sicherheitslücken oder bereits bekannte Schwachstellen, die über bloße Proof-of-Concept-Übungen hinausgehen. Sie können auch Malware entwickeln, die Exploits für mehrere Schwachstellen enthält oder Angreifern Schadcode bereitstellen, der auf bestimmte Zugangsgeräte, Applikationen, VPNs oder einzelne Softwarekomponenten (wie Log4j) abzielt.

"Früher entwickelten sowohl 'Skript-Kiddies' als auch versierte Hacker Malware und Exploits. Inzwischen findet das innerhalb von Entwicklungsteams statt, die mit Development-Zyklen und Dokumentation arbeiten - ganz so, wie man es von einem seriösen Softwareunternehmen erwarten würde", meint Gilbert.

Die Einschätzung des Security-Experten wird durch Leaks untermauert, die ein Schlaglicht auf das Innenleben von Ransomware-Gruppen werfen:

  • Ein verärgertes Mitglied der Conti-Bande veröffentlichte die proprietären Daten der Hackergruppe - darunter Pentesting-Tools, Handbücher in russischer Sprache, Schulungsmaterial und Dokumente, die den Partnern zur Verfügung gestellt werden.

  • In einem ähnlich gelagerten Fall hat ein angeblicher Babuk-Ransomware-Administrator die Visual-Studio-Projektdateien und den Quellcode der zugehörigen Hackergruppe in einem russischsprachigen Hackerforum veröffentlicht, die bezüglich ihrer Organisation der Struktur eines "herkömmlichen" Softwareunternehmens entspricht.

Die allgemein steigende Akzeptanz von Kryptowährungen hat zudem eine Nische innerhalb der Cybercrime-affinen Entwicklergemeinde geschaffen: Developer mit Kryptografie-Knowhow und fortgeschrittenem Verständnis von Blockchain-Protokollen nutzen mit Hilfe von Zero-Day-Exploits ungepatchte Schwachstellen auf Krypto-Plattformen aus. Auch deswegen kommt es immer wieder zu aufsehenerregenden Hacks im Krypto-Bereich.

APT-Gruppen

Der Begriff APT (Advanced Persistent Threat) bezeichnet traditionell Bedrohungsakteure, die in staatlichem Auftrag handeln oder staatlich unterstützt werden und dabei bestimmte Ziele verfolgen - in erster Linie langfristig angelegte Sabotage oder politische Spionage. Inzwischen werden die Taktiken von APT-Gruppen allerdings auch von "gewöhnlichen" Cybercrime-Akteuren übernommen. Um Netzwerke zu infiltrieren, dauerhafte Backdoors einzupflanzen und ihren Payload unbemerkt zu verbreiten, nutzen die meisten APT-Kampagnen Spear-Phishing-Angriffe.

APTs verwenden häufig speziell entwickelte Malware mit umfangreichen Überwachungs- und Tarnfunktionen. Einer der bekanntesten APT-Angriffe erfolgte mit dem Wurm Stuxnet, der mehrere Zero-Day-Schwachstellen in Windows ausnutzte, um Zentrifugen in iranischen Kernkraftwerken zu schädigen. Entwickelt wurde der Wurm offenbar vom US-amerikanischen und israelischen Geheimdienst. Ein neueres Beispiel für eine APT-Bedrohung, die auf industrielle Steuerungssysteme abzielt, ist die Triton-Malware. Diese wurde im Jahr 2017 verwendet, um eine Chemiefabrik in Saudi-Arabien anzugreifen. Glücklicherweise löste ein Fehler im Code der Malware ein Notaus kritischer Systeme aus und vereitelte so den Angriff.

"APT-Gruppen weisen inzwischen strategischere Zielsetzungen auf und agieren nicht mehr kurzsichtig", meint John Fung, Director of Cybersecurity Operations bei MorganFranklin Consulting und weist auf einen beunruhigenden Trend hin: "APTs gehen dazu über, vorgelagerte Software und Quellcode zu kompromittieren, wie wir es beim Supply-Chain-Angriff auf SolarWinds gesehen haben. Besonders besorgniserregend ist der Trend, die Kompromittierung mehr in Richtung Drittanbieter zu verschieben, um ihre Payloads in legitime Software einzuschleusen. Je nach Risikoprofil und -toleranz sollten sich Unternehmen gegen dieses Szenario wappnen."

Data Brokers

Data oder Information Broker bezeichnet sowohl legitime Serviceanbieter als auch Cybercrime-Akteure. Erstere können beispielsweise Daten aus öffentlichen Quellen wie Gerichtsakten, Grundbuchämtern, Profilen in sozialen Medien, Telefonverzeichnissen oder Unternehmensregistern beschaffen, um Informationen über Personen und Unternehmen zusammenzustellen. Diese können rechtmäßig gegen eine Gebühr an Vermarkter, Forscher und Unternehmen weitergegeben werden. Die böswillige Version eines Data Brokers offeriert hingegen illegal im Rahmen von Hacks beschaffte Daten auf Darknet-Marktplätzen oder anderen dunklen Kanälen.

Security-Spezialist Kuder erklärt, wie die maliziösen Information Broker sich in die Cybercrime-Kette einfügen: "Als Teil ihres Angebots bieten APT- und RaaS-Gruppen ihren Kunden Support und Dienstleistungen in einem Abonnement-Modell an und gehen oft Partnerschaften mit diesen ein. Im Rahmen solcher Partnerschaftsvereinbarungen erhalten RaaS-Gruppen einen Prozentsatz der Gewinne, die durch die Erpressung eines Ziels anfallen. Viele Hackergruppen verschlüsseln jedoch nicht nur sensible Daten, sondern kompromittieren auch Mitarbeiter- und Kundeninformationen der Unternehmen, die sie ins Visier nehmen. Diese Informationen werden exfiltriert und im Dark Web veröffentlicht - das bezeichnet man als Data Brokerage."

"Ein natürliches Geschäftsumfeld"

"Vor einigen Jahren war die Cybercrime-Landschaft noch wesentlich einfacher zu entschlüsseln. Die verschiedenen Schlüsselrollen, die von den Akteuren eingenommen werden, haben sich aus den Möglichkeiten zur Monetarisierung bestimmter Phasen der Angriffskette entwickelt. So wurde gleichzeitig die Notwendigkeit eingeschränkt, dass die Akteure alle Aspekte einer Angriffsoperation beherrschen müssen", erklärt Drew Schmitt, Principal Threat Intelligence Analyst bei GuidePoint Security.

"Mit dieser Entwicklung ist ein natürliches, wettbewerbsorientiertes Geschäftsumfeld entstanden, das zu Konkurrenzkämpfen und verschiedenen Marktausprägungen geführt hat. Die Eintrittsschwelle in den Cybercrime-Untergrund wurde so auch für technisch weniger versierte Akteure abgesenkt."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Ax Sharma ist ein Security- und Technologieexperte und schreibt für die US-Schwesterpublikation CSO Online.
Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.