Darkweb-Zugang

Insights aus dem Untergrund

16.02.2021
Von 
Ax Sharma ist ein Security- und Technologieexperte und schreibt für die US-Schwesterpublikation CSO Online.
Das Darkweb transformiert sich. Lesen Sie, warum und was das für die IT-Sicherheit von Unternehmen bedeutet.
Wie nutzen Cyberkriminelle heute das Darkweb? Wir geben Einblicke.
Wie nutzen Cyberkriminelle heute das Darkweb? Wir geben Einblicke.
Foto: Motionographer - shutterstock.com

Ende 2020 konnten Mitarbeiter der US-Regierung ein eine Milliarde Dollar schweres Bitcoin Wallet ausheben, das mit dem bereits vor sieben Jahren geschlossenen Darknet-Marktplatz Silk Road in Verbindung stehen soll. Im Januar 2021 holte schließlich Europol zum finalen Schlag gegen das Emotet-Botnet aus.

Diese und weitere Erfolge der Ermittlungsbehörden zwingen Cyberkriminelle, ihre Strategien zu überdenken und zu erneuern. Wir haben mit Security-Experten gesprochen und geben Ihnen Einblicke zum Status Quo des Darkweb.

"Das Darkweb hat sich dramatisch verändert"

Organisierte, kriminelle Hackergruppen gehen wegen der steigenden Gefahr, von den Strafverfolgungsbehörden entdeckt zu werden, neue Wege. Einer davon besteht darin, lautstark die eigene Auflösung zu propagieren - so wie es etwa bei "Maze" der Fall war. Die Gruppierung, die hinter der gleichnamigen Ransomware stehen und für diverse Angriffe auf Unternehmen wie Xerox, LG und Canon verantwortlich sein soll, verkündete im Oktober 2020, sämtliche Aktivitäten einzustellen. Nach Einschätzung von Experten handelt es sich dabei lediglich um ein Täuschungsmanöver. Die Beteiligten dürften sich längst anderen Untergrund-Gruppierungen angeschlossen haben oder operieren unter neuem Namen.

"Das Darkweb hat sich in den vergangenen Jahren dramatisch verändert, Das ist vor allem drei Faktoren geschuldet: dem Aufkommen von anonymen Foren und Marktplätzen, einer jungen Generation von Möchtegern-Cyberkriminellen, die sich von Youtube inspirieren lässt, sowie der zunehmenden Präsenz der Strafverfolgungsbehörden", weiß Mark Turnage, CEO beim Darkweb-Suchmaschinenanbieter DarkOwl.

Darkweb goes Recruiting-Kanal

Das Darkweb wird von Cyberkriminellen nur noch als Übergangsmedium genutzt - Bemühungen, neue Mitglieder für kriminelle Banden zu rekrutieren, sind offenbar auf ein absolutes Minimum heruntergefahren worden. Stattdessen läuft diese Kommunikation im Verborgenen ab, über verschlüsselte Kanäle und Messaging Tools wie Telegram, Jabber oder WickR: "Malware-Entwickler und Kriminelle verlassen sich immer weniger auf Darknet-Marktplätze, um ihre Exploits zu verbreiten. Stattdessen geschieht das in Black-Hat-Foren im Deep- und Darknet. Dort bauen sie ihre 'Marken' auf, versuchen die Community zu beeinflussen und neue Mitglieder zu rekrutieren", erklärt Turnage.

Der Untergrund-Experte beobachtet darüber hinaus unter kriminellen Hackern ein steigendes Interesse für alternative, dezentralisierte Dark- und Meshnets wie Lokinet oder Yggdrasil. Ein Umstand, den er auch dem steigenden Druck durch die Behörden zuschreibt, die immer öfter Marktplätze und Services, die auf Tor-Knoten gehostet werden, zerschlagen würden.

Die Verlagerung dieser Untergrund-Shops in private Messaging-Dienste biete dabei auch technische Vorteile - zum Beispiel Schutz vor DDoS-Attacken. Schließlich griffen sich konkurrierende Cyberkriminelle auch regelmäßig gegenseitig an - wie im Fall des Marktplatzes "Empire". "Die in die Messenger integrierten Sicherheitsmaßnahmen nehmen den Kriminellen jedenfalls jede Menge Administrationsarbeit ab", weiß Turnage.

"Effektive Wertschöpfungsketten für kriminelle Zwecke"

Auch die Kommunikation von Cyberkriminellen über kompromittierte Netzwerke, gestohlene Daten und gehackte Datenbanken hat sich auf Instant-Messaging-Plattformen und geschlossene Communities verlagert, weiß Raveed Laeb, Product Manager beim Darknet-Monitoring-Anbieter KELA: "Die Marktveränderungen weisen einen Fokus auf Automatisierung und Abomodelle auf. Das resultiert unter anderem in gehäuften Ransomware-Angriffen, die wir gerade erleben. Diese Cybercrime-Märkte erlauben es, nahtlose und effektive Wertschöpfungsketten für kriminelle Zwecke aufzubauen", meint Laeb.

Allerdings bestehe für Security-Profis und -Analysten auch die Möglichkeit, unentdeckt in diese Untergrundnetzwerke einzudringen und so eventuell an Informationen zu kommen, die es erlauben, Systemschwachstellen zu beseitigen, bevor diese von Cyberkriminellen ausgenutzt werden können, sagt der Product Manager. Durch kontinuierliches Monitoring von Darknet-Foren und -Seiten könnten IT-Security-Teams kriminellen Angreifern möglicherweise ein Schnippchen schlagen.

Darkweb-Monitoring als neuer Standard

APT-Gruppen nutzen das Darkweb ebenfalls: "Bislang haben sich Unternehmen nur Sorgen gemacht, wenn bedeutsame Daten aus ihren Systemen im Darkweb aufgetaucht sind. Viele staatlich beauftragte Hacker beispielsweise aus China oder Russland nutzen das Darknet inzwischen jedoch vor allem zur Informationsbeschaffung, um im Nachgang unentdeckt zuzuschlagen", warnt Vince Warrington, CEO beim Serviceanbieter Dark Intelligence. "Unsere Untersuchungen zeigen, dass APT-Gruppen SSH über Port 22 nutzen, um Unternehmen unentdeckt zu infiltrieren. Einmal im Netzwerk, nutzen sie Systeme, die nicht regelmäßig überprüft werden oder veraltet sind - insbesondere Industrial Control Systems - um massenhaft Daten zu stehlen. Den Unternehmen fällt das im Regelfall nicht auf - es sei denn, sie betreiben effektives Darkweb-Monitoring", berichtet der CEO.

Warringtons Worte werden vom großangelegten Supply-Chain-Angriff auf den US-Softwareanbieter Solar Winds untermauert, der der Gruppierung APT29 (auch bekannt unter dem Namen "Cozy Bear") zugeschrieben wird. Bei der Attacke wurden zunächst unbemerkt mehr als 18.000 Kundendatensätze gestohlen.

Bedrohungsanalysten und Security-Spezialisten brauchen demzufolge neue Monitoring-Strategien. Sich auf die Detektion von Anomalien in Unternehmensnetzwerken zu fokussieren, reicht längst nicht mehr aus. Stattdessen empfiehlt es sich, auch legitime Programme und Services (inklusive deren Security Updates) sowie die gesamte Softwarelieferkette regelmäßig einem Monitoring zu unterziehen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.