Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Die Professionalisierung der Cyberkriminalität und Hackergruppen
Cyberkriminalität ist längst kein Feld mehr für isoliert agierende Einzeltäter oder staatlich organisierte Hackergruppen. Nach dem Prinzip von Angebot und Nachfrage haben sich ganze Landschaften vernetzter Akteure und Angebotsstrukturen herausgebildet. Diese Strukturen zu verstehen ist entscheidend, um sich wirksam gegen aktuelle Angriffsmethoden schützen zu können.
Profitorientierte Cyberkriminalität: Hackergruppen agieren immer professioneller
Cyberkriminalität ist ein Geschäft, das zunehmend lukrativer wird: Dem Digitalverband Bitkom zufolge entsteht der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage ein jährlicher Gesamtschaden von ca. 200 Milliarden Euro, neun von zehn Unternehmen sind mittlerweile betroffen. Zitat Bitkom Research: „Zugleich gehen die Angreifer immer professioneller vor. Erstmals liegen das organisierte Verbrechen und Banden an der Spitze der Rangliste der Täterkreise. Bei 51 Prozent der betroffenen Unternehmen kamen Attacken aus diesem Umfeld. Vor einem Jahr lag ihr Anteil gerade einmal bei 29 Prozent, vor drei Jahren bei 21 Prozent.“
Bei staatlichen Hackergruppen lässt sich ein gewisser Grad der Organisation und Professionalität voraussetzen. Wie der Blick auf die aktuellen Entwicklungen bei der Cyberkriminalität zeigt, haben sich aber auch abseits staatlicher Einflussnahme längst ganze Parallelindustrien rund um Hacking, Datendiebstahl und andere Angriffe gebildet. Professionell organisierte und methodisch vorgehende Anbieter von „Cybercrime as a Service“ schaffen zunehmend eigene Wertschöpfungsnetzwerke und Angebote, die Cyberangriffe als Dienstleistung nicht nur leistungsstärker, sondern auch leichter zugänglich und damit gefährlicher machen.
Cyberkriminalität als Geschäftsmodell
Wie legale Unternehmungen auch entwickeln Cyberkriminelle ihre Geschäftsmodelle systematisch – mit Wertversprechen und organisierten Wertschöpfungsketten, mit Produkten und Services, Vertriebskanälen, Marketing oder Kundenservice. Die Infrastruktur dafür ist längst verfügbar: Das Darknet ist seit Jahrzehnten auch eine Plattform für Informationsaustausch und Networking unter Kriminellen und ein florierender Umschlagplatz illegaler Waren wie Drogen, Waffen oder Pässe. Auch digitale Waren und Services finden hier ihre Käufer, z. B. kompromittierte Kreditkarten, Zugangsdaten, Malware, Exploits für unentdeckte Sicherheitslücken (Zero-Days) oder gestohlene Unternehmensinformationen mit Nutzwert fürs Social Engineering, aber auch DDoS-Angriffe per Botnet oder Ransomware-Kampagnen.
Die Marktplätze im Darknet bieten ähnliche Funktionen wie Amazon & Co., von Produktbeschreibungen mit Fotos und Bewertungen über Community-Funktionen bis hin zu 24/7-Support, etwa Malware-Updates, Beratung oder Hilfe bei technischen Problemen. Wer Cyberverbrechen begehen oder davon profitieren möchte, benötigt heute kaum noch technische Kenntnisse. „Traditionelle Branchen“ der organisierten Kriminalität übernehmen inzwischen zunehmend solche Modelle ihrer Cyber-Kollegen: Akteure sind seltener Teil streng hierarchisch organisierter Gruppen, sondern organisieren sich in Netzwerken, stellen Expertise und Ressourcen zur Verfügung und finden sich „projektbezogen“ zu Teams zusammen (Quelle: Europol, Exploring Tomorrow’s Organised Crime, S. 8).
Ransomware as a Service
Ein florierendes Dark-Commerce-Geschäftsmodell ist Ransomware as a Service (RaaS). Dabei stellen die Anbieter Dritten (den sogenannten „Affiliates“) den Zugang zur Ransomware-Infrastruktur (Software, Verwaltungsfunktionen) und gegebenenfalls ergänzende Services zur Verfügung. Die Affiliates führen den eigentlichen Angriff durch: Sie verschaffen sich Zugang zum System, platzieren die Verschlüsselungssoftware, stehlen Daten, die sie auf die Ransomware-Server hochladen, und verhandeln mit den Opfern. Die RaaS-Anbieter erhalten von den Affiliates Prozente vom Gewinn; auch Abomodelle sind möglich.
Doch die Arbeitsteilung in der Cyberkriminalität geht noch weiter: Entwickler pflegen den Malware-Code, Admins verwalten die RaaS-Infrastruktur, Initial Access Brokers (IaBs) helfen den Affiliates mit Werkzeugen und Informationen beim Einbruch ins Netzwerk des Opfers und Reseller unterstützen beim Vertrieb. Die Kommunikation findet im Darknet, auf Chatplattformen wie Telegram und in sozialen Netzwerken statt. Ein bekanntes Beispiel für RaaS-Anbieter ist der Bedrohungsakteur Sodinokibi, auch als REvil bekannt. Die Gruppe ist für einige spektakuläre Angriffe verantwortlich, unter anderem den Supply-Chain-Angriff auf Kaseya, einen Hersteller von Fernwartungs- und IT-Management-Software. Besonderheit: Ihre Malware attackiert keine Rechner, auf denen sie bestimmte Sprachversionen entdeckt, insbesondere Russisch, andere Sprachen in GUS-Ländern und syrisches Arabisch. Andere bekannte RaaS-Gruppen sind DarkSide (die Akteure hinter dem Angriff auf Colonial Pipeline, die größte Ölpipeline der USA) und Lockbit.
Datendiebstahl: IaB-Hackergruppen rund um den Jester Stealer
Besonders die Branche der Initial Access Brokers wächst mit großem Tempo. Dieses Wachstum, getrieben von der steigenden Nachfrage der RaaS-Anbieter nach funktionierenden Netzwerk-Zugängen lukrativer Opfer, hat auch hier eine zunehmende Professionalisierung zur Folge. Anzeichen dafür sind unter anderem eine Zunahme und Kommerzialisierung von Abo-Modellen für Datendiebstahl-Malware, Preisanstiege bei Malware-Familien und das Aufkommen von Traffers.
Traffer-Organisationen sind organisierte Gruppen von Cyberkriminellen, die sich auf den Diebstahl von Anmeldedaten mit Hilfe von Malware, meist sogenannten „Stealern“, spezialisiert haben. Um diese effizient zu verbreiten, haben sie industrieartige Strukturen aufgebaut: von Produktanbietern und Service-Providern bis hin zu Vertriebskanälen und Marktplätzen, etwa in Form von Telegram-Kanälen. Traffer-Teams selbst sind pyramidenartig aufgebaut: An der Spitze stehen die „Administratoren“, die für Finanzierung, Malware-Entwicklung, Infrastruktur und die Rekrutierung von Team-Mitgliedern zuständig. Weiter unten finden sich die eigentlichen „Traffers“, häufig jüngere Leute ohne größere Computerkenntnisse, die in verschiedenen Malware- und Diebstahltechniken geschult und bei Operationen eingesetzt werden.
Ein Beispiel für dabei verwendete Malware ist der 2021 lancierte und seitdem ständig weiterentwickelte Jester Stealer. Er gehört zum Portfolio der russisch-sprachigen Jester-Gruppe, die sich auf vergleichsweise erschwingliche Hacker-Tools spezialisiert hat (der Preis für Jester Stealer begann bei 99 Dollar pro Monat). Nachdem die ursprünglichen Verkäufer von der Bildfläche verschwunden waren, haben neue, ähnlich organisierte Stealer-Gruppen verbesserte Versionen des Stealer-Codes hervorgebracht, darunter die Projekte „Eternity“ und „Agrat“. Diese Entwicklungsdynamik trägt zur Effektivität solcher Malware bei.
Deshalb ist es auch so wichtig, den Lebenszyklus von Zugangsdaten zu analysieren und abzusichern, von unsicheren Passwörtern bis hin zur frühzeitigen Erkennung kompromittierter Credentials, um präventiv mögliche Einfallstore für Cyberkriminelle zu schließen.
Risikoanalysen für gezielte Abwehrmaßnahmen
Die Basis jeder wirksamen Cyberabsicherung sind sorgfältige Risikoanalysen. Das fordern auch Normen und Standards wie ISO 27001, IEC 62443 oder der IT-Grundschutz des BSI. Ziel ist immer die realistische Ermittlung und Bewertung von Risiken (konkrete Bedrohungen mit Schadenspotenzial und Eintrittswahrscheinlichkeiten) für Netzwerke, Systeme und Anwendungen, um sich auf die wirksamsten Abwehrmaßnahmen konzentrieren zu können.
Allerdings wird dies durch immer professionellere Cyber-Angriffe und sich schnell ändernde Bedrohungslagen deutlich erschwert. Bedrohungsakteure entwickeln ihre Methoden ständig weiter – als Reaktion auf gesellschaftliche und technologische Veränderungen (Stichwort Pandemie und Homeoffice-Trend), neue Verteidigungsstrategien bei Unternehmen, Erfolge der Behörden oder andere Entwicklungen. So setzen einige Cyberkriminelle vermehrt auf Supply-Chain-Angriffe, um ihre Abhängigkeit von IABs zu reduzieren, erschließen neue Monetarisierungsstrategien (zum Beispiel Aktienmanipulationen) oder schmieden wechselnde Allianzen. Kurzlebige Ransomware-Gruppen, Rebranding-Strategien abgetauchter Gruppen (wie etwa Onyx, das sich Mitte November 2022 in Vsop umbenannte), längere Leerlaufzeiten zwischen Angriffen und moderate Lösegeldforderungen tragen ebenfalls dazu bei, dass insbesondere kleinere Hackerformationen weitestgehend unerkannt und ihre Verbindungen zu größeren Operationen im Dunkeln bleiben.
Threat Intelligence
Deshalb benötigt jedes Unternehmen heute umfassende, laufend aktualisierte Informationen über Bedrohungsakteure, ihre Ziele und Methoden sowie mögliche Angriffsvektoren, um sich erfolgreich gegen professionelle Angriffe abzusichern. Outpost24 veröffentlicht regelmäßig Berichte über aktuelle Entwicklungen der Cyberkriminalität. Die Threat-Intelligence-Lösungen der Outpost24 Gruppe helfen Unternehmen nicht nur dabei, aktuelle Bedrohungen besser zu überblicken, sondern auch angemessene Abwehrstrategien zu planen und umzusetzen.
Tipp: Einen umfassenden Blick auf die Cyber-Schattenwirtschaft bietet unser Threat Intelligence Report Dark Commerce. Er liefert Einblicke in die Geschäftsmodelle und die Vorgehensweise von Angreifergruppen – die Basis, um Profile von Bedrohungsakteuren zu erstellen, Trends und Muster zu analysieren und wirksame Abwehrmaßnahmen gegen gezielte Angriffe zu entwickeln.
Weitere Informationen und Ressourcen (Auswahl):
- Dark Commerce – Exploring the cybercrime industry and its business models – part 1 (Whitepaper)
- Ransomware Report 2023: Targets, Motives, and Trends (Blogbeitrag)
- Ransomware as a Service: Behind the Scenes (Blogbeitrag)
- Use of Initial Access Brokers by Ransomware Groups (Blogartikel)
- The Credential Theft Ecosystem (Whitepaper)
- The Rising Threat of Traffers (Whitepaper)
- TTraffers und die wachsende Bedrohung für Ihre Zugangsdaten (Blogartikel)
- Everything you need to know about Jester Stealer (Whitepaper)
- Jester Stealer Malware Research 2022 (Report)
- Threat Actor of the Month – Sodinokibi (Blogbeitrag)
- Threat Actor of the Month – Shathak (Blogbeitrag)
- Introducing GraceWrapper, TA505’s sophisticated post-exploitation enabler
- A fresh look into the underground card shop ecosystem (Webinar)
- Insights about All World Cards and the published 1M credit cards (Blogartikel)
Autor
Micha Richter
Dr. Michael Richter ist seit 20+ Jahren Leiter Text der B2B-Content-Marketing-Agentur ucm. Er schreibt zu IT-Themen für diverse Branchen, darunter Public Services, Medizin/Pharma und Maschinenbau, mit besonderem Fokus auf Sicherheit (Security & Safety), Cloud und Automatisierung.
(Zuletzt aktualisiert am 15/05/2023)