Traffers und die wachsende Bedrohung für Ihre Zugangsdaten

In den letzten Jahren hat sich der Diebstahl von Zugangsdaten zu einer hochprofessionellen Cybercrime-Aktivität entwickelt. Die Zahl der Initial Access Brokers (IABs) ist in die Höhe geschnellt, Ransomware-Gruppen haben sich vervielfacht, die Preise für Malware sind gestiegen, und Traffers sind aufgetaucht.

Traffers sind organisierte Gruppen von Cyberkriminellen, die sich auf den Diebstahl von Anmeldeinformationen mithilfe von Malware, meist Stealers, spezialisiert haben. Um die Malware so weit wie möglich zu verbreiten, haben sie eine Struktur von Produkt- und Dienstleistungsanbietern sowie spezielle Marktplätze in Form von Telegram-Kanälen gebildet, um den Verkauf dieser Anmeldedaten zu erleichtern. Das Threat Intelligence-Team von Outpost24, KrakenLabs, hat mehrere Traffers-Gruppen beobachtet, Informationen aus Foren und Telegram-Kanälen gesammelt sowie Malware-Samples aus verschiedenen Quellen beschafft und analysiert. Unsere fundiertesten Erkenntnisse sind in unserem Bericht “Rising Threat of Traffers” enthalten, der hier kostenlos heruntergeladen werden kann.

Im Folgenden finden Sie einige Highlights aus unserer Recherche, die sich auf das Verständnis der Arbeitsweise dieser Teams und ihren Einfluss auf den Markt für den Diebstahl von Anmeldedaten konzentrieren.

Die Struktur einer Traffer-Organisation

Traffer-Teams sind ausgeklügelte Operationen mit einer pyramidenartigen Struktur. An der Spitze stehen die “Administratoren”, die die Anfangsinvestitionen für die Gründung der Gruppe aufwenden. Die Administratoren sind für die Entwicklung und das Testen von Malware, die Einrichtung der Infrastruktur und die Rekrutierung von Mitgliedern für ihr Team verantwortlich. Weiter unten in der Pyramide finden Sie die “Traffers”, oft jüngere Leute mit grundlegenden Computerkenntnissen und wenig Erfahrung in dieser Art von Aktivitäten. Diese Rekruten werden in den verschiedenen Techniken für Malware und den Diebstahl von Zugangsdaten geschult und dann in die Operationen integriert.

Techniken zur Infizierung der Angriffsziele und Strategie zur Verbreitung der Schadsoftware

Das Hauptziel der Traffers-Teams besteht darin, ihre Stealer auf ein Zielsystem zu bringen. Um dieses Ziel zu erreichen, setzen diese Gruppen vor allem Social-Engineering-Taktiken ein. Im Folgenden wird gezeigt, wie die Arbeitskette von Traffers aussieht:

Ein Rekrut findet eine Gruppe von Traffers in einem Untergrundforum und kontaktiert den Administrator, um der Gruppe beizutreten. Sobald sie in der Gruppe sind, laden sie die Malware herunter und arbeiten daran, so viele Geräte wie möglich zu infizieren. Dies geschieht häufig über YouTube-Videos oder Google-Anzeigen zu betrügerischen Inhalten.

Sobald die Malware installiert ist, beginnt sie auf den infizierten Systemen nach wertvollen Daten zu suchen. Dazu gehören Anmeldeinformationen, Browserverlauf, Dateien, Systeminformationen (wie Windows-Version und Serienschlüssel), Informationen über E-Wallets, Wi-Fi-Kennwörter usw.

Anschließend laden sie die gestohlenen Daten in spezielle Telegram-Kanäle hoch, in denen sich Käufer anmelden und die gestohlenen Informationen kaufen können. Wie von den KrakenLabs von Outpost24 beobachtet, reichen die Abonnementgebühren von 35 US-Dollar/Woche bis 80 US-Dollar/Monat und bis zu 666 US-Dollar für einen lebenslangen Zugang.

Die wachsende Bedrohung durch Traffers

Traffers nutzen die etablierte Praxis der Malware-Infektion, um Anmeldedaten abzugreifen und daraus Profit zu schlagen, aber die Methode, mit der sie ihre Ziele erreichen, und ihre Gesamtstruktur sind innovativ.

Die Entwicklung dieses Segments der Cyberkriminalität folgt der Reifung anderer Nischen der Cyberkriminalität. Mit dem wachsenden Trend zum “As-a-Service”-Modell sind gestohlene Informationen zu einer Handelsware geworden und werden nicht mehr kostenlos in Foren geteilt. Kriminelle Gruppen sind bereit, für Dienstleistungen zu bezahlen, was bedeutet, dass sie versuchen werden, so viel wie möglich davon zu profitieren.

Die KrakenLabs von Outpost24 werden diese Gruppen, ihre Aktivitäten und deren Auswirkungen auf die Sicherheitslandschaft weiterhin beobachten. Wir sind bestrebt, unsere Kunden mit aktuellen Informationen über aufkommende Bedrohungen zu versorgen und ihnen dabei zu helfen, bei der Abwehr dieser Bedrohungen immer einen Schritt voraus zu sein.

Laden Sie den Bericht herunter, um praxisnahe Empfehlungen zu erhalten, wie Sie Ihre Geschäftsdaten schützen und eine Infektion mit Malware – ähnlich wie die der Traffers-Teams – vermeiden können.