Unternehmen investieren Unsummen, um ihre Netzwerke und Assets vor kriminellen Hackern zu schützen. Kaspersky Labs beziffert das Security-Budget im Enterprise-Umfeld auf rund neun Millionen Dollar - pro Jahr. Die Folgekosten, die durch erfolgreiche Hacks noch hinzukommen, sind hier allerdings noch nicht miteinberechnet. Vorgefertigte Hacking Toolsets, die auf illegalen Darknet-Marktplätzen gehandelt werden, senken die Einstiegshürde für Cyberkriminelle - und solche, die es werden wollen - immer weiter ab.
Foto: bohlam - shutterstock.com
Security-Luxus vs. Hacking-Schnäppchen
Während Cyberkriminelle inzwischen für relativ kleines Geld an Zugangsdaten oder Cybercrime Tools kommen, liegen die Kosten für Unternehmen, die ihre IT gegen Eindringlinge absichern möchten, um ein Vielfaches höher. Das Portal Top 10 VPN schätzt die Kosten für die komplette, digitale Identität einer Person (inklusive Zugangsdaten für populäre Plattformen wie Amazon, Uber, Spotify, Gmail, Paypal oder Twitter) auf ungefähr 1000 Dollar. Ein einzelner dieser Zugänge kostet weniger als 100 Dollar, zumindest wenn es sich dabei nicht um ein Online-Shopping- oder Finanzportal handelt.
Eine Studie von Armor, die sich mit den illegalen Angeboten auf Hacker-Marktplätzen beschäftigt, kommt zu dem Ergebnis, das personenbezogene Daten für rund 200 Dollar über den virtuellen Ladentisch illegaler Darknet-Marktplätze gehen. Kreditkartendaten gibt es bereits ab 10 Dollar - sogar Zugangsdaten für Online-Banking kosten durchschnittlich nur 1000 Dollar (selbst wenn das betreffende Konto ein Guthaben von mehr als 15.000 Dollar aufweist). Ältere Informationen und Daten werden in manchen Fällen sogar kostenlos abgegeben. Das steht in krassem Gegensatz zu den Geldstrafen, die Unternehmen bei Datenverlusten drohen. Laut dem aktuellen "Cost of Data Breach" Report von IBM kostet der Verlust eines einzelnen Datensatzes ein Unternehmen durchschnittlich 233 Dollar. In Branchen, die starken Regulationen unterworfen sind, können diese Kosten weitaus höher ausfallen.
Malware ist laut Top 10 VPN bereits ab 45 Dollar erhältlich. Entsprechende Tutorials, die zeigen, wie man einen Hack initiiert, gibt es für ein Taschengeld von fünf Dollar. Wirklich teuer wird es für kriminelle Hacker nur, wenn es ein Zero Day Exploit (ab circa 3000 Dollar) oder beispielsweise ein "Cell Tower Simulation Kit" (circa 28.000 Dollar) sein soll, mit dem sich Anrufdaten abfangen lassen.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Das kostet ein Hack im Darknet
Natürlich reicht der Einkauf eines Phishing Kits längst nicht aus, um einen Hackerangriff einzuläuten. Solche Angriffe brauchen Hosting, Kanäle, über die die Ausbreitung stattfindet und einige weitere Elemente, um erfolgreich verlaufen zu können.
Eine neue Studie von Deloitte mit dem Titel "Black-market ecosystem: Estimating the cost of Pwnership" gibt nun erstmals Aufschluss über die Gesamtkosten von umfassenden Hackerangriffen, die auf Unternehmen gestartet werden. "Die Hacker-Banden, die hinter großangelegten Attacken stehen, brauchen verschiedene Service Layer," weiß Loucif Kharouni von Deloitte Cyber Risk Services. "Um beispielsweise einen Banking-Trojaner in Umlauf zu bringen, müssen fünf oder sechs solcher Services genutzt werden."
Wie die Ergebnisse der Recherchen zeigen, hält das Darknet eine Vielzahl von direkt einsatzfähigen Produkten und Services bereit, die sämtliche Bedürfnisse krimineller Hacker bedienen - egal, ob es nun ein kompromittierter Server für eine Phishing-Attacke sein soll oder die Remote-Einschleusung eines Trojaners.
Eine komplette Phishing-Kampagne, inklusive Hosting und entsprechendem Toolkit, kostet im Schnitt 500 Dollar pro Monat - der Einstiegspreis liegt bei 30 Dollar pro Monat.
Eine Keylogging-Kampagne, die darauf ausgelegt ist, Zugangsdaten abzugreifen, kostet inklusive Malware, Verbreitung und Hosting im Schnitt 723 Dollar - wobei der Einstiegspreis mit 183 Dollar auch hier deutlich niedriger liegt.
Ransomware-Kampagnen oder Trojaner-Angriffe sind im Schnitt ab 1000 Dollar zu haben.
Die Verbreitung eines Banking-Trojaners kostet im günstigsten Fall 1400 Dollar, kann aber auch mit bis zu 3500 Dollar zu Buche schlagen.
Sinkende Cybercrime-Einstiegsbarrieren
Selbst ein wirklich günstiger Cyberangriff für 34 Dollar kann nach Einschätzung von Deloitte einen Profit von circa 25.000 Dollar pro Monat einbringen. Teurere und raffiniertere Attacken, die einige tausend Dollar kosten, bringen es entsprechend schnell auf "Einnahmen" in Millionenhöhe. Auf der anderen Seite liegen die durchschnittlichen Kosten eines solchen Angriffs auf Unternehmensseite bei durchschnittlich 3,86 Millionen Dollar, wie IBM ermittelt hat.
Die niedrigen Einstiegskosten und Hürden, die es zu überwinden gilt, um einen Hackerangriff zu starten sowie die hohen Profite führen dazu, dass kriminelle Akteure in diesem Bereich nicht mehr von technischen Skills limitiert werden: "Wenn man sich die Einstiegsbarrieren von vor drei Jahren ansieht, hat sich sehr viel verändert. Viele der sehr spezialisierten Services gab es entweder noch gar nicht oder diese waren erst in der Entstehung", weiß Keith Brogan von Deloitte Cyber Risk Services.
Während auf der Seite der Kriminellen niedrige "Betriebskosten" und enorm hohe Profitraten zu verbuchen seien, entstünden auf der Gegenseite massive Kosten, um den angerichteten Schaden zu reparieren, wie Oliver Rochford, Director of Research bei Tenable, erklärt. Als Beispiel nennt der Experte Ransomware: Selbst bei einer Erfolgsrate von 0,05 Prozent liege der Return on Investment (ROI) schätzungsweise jenseits von 500 Prozent, so Rochford. "Die weltweiten Einnahmen durch Cybercrime liegen bei circa 1,5 Billionen Dollar, die durch die Angriffe verursachten Schäden übersteigen die Summe von sechs Billionen Dollar."
Vor dem Hintergrund, dass Gartner das Volumen des gesamten Cybersecurity-Marktes für das Jahr 2019 auf 136 Milliarden Dollar beziffert, würde das bedeuten, dass zwölf Dollar Cybercrime-Einnahmen lediglich ein Dollar Cybersecurity-Investitionsvolumen gegenübersteht. Der Markt für Cybercrime Services quillt vor Kleinanbietern über, das Darknet hat sich laut vorgenannter Deloitte-Studie "zu einer hocheffizienten Untergrund-Wirtschaft entwickelt, die von spezialisierten Produkt- oder Service-Angeboten getrieben wird, statt von technischem Know-how".
Laut dem Deloitte-Experten Brogan macht das durchaus Sinn: "Es ist günstiger und bedeutet weniger Aufwand für die Kriminellen, wenn sie nur einige weniger Dinge wirklich gut können müssen. Außerdem müssen sie so auch weniger Kontakte innerhalb ihrer kriminellen Netzwerke einbinden, was wiederum die Wahrscheinlichkeit von Leaks oder einem Fehlschlag reduziert."
Verschiedene Akteure stellen dabei unterschiedliche Arten von Produkten und Services zur Verfügung. Für die kriminellen Hacker ist es dann oft das komplexeste Unterfangen, die unterschiedlichen Komponenten, die zum Einsatz kommen sollen, zu einem zielgerichteten, umfassenden Angriff zu kombinieren.
Was CISOs über Darknet-Märkte wissen müssen
Simple Attacken stellten für IT-Abteilungen im Regelfall kein Problem dar, meint Brogan: "Wenn Ihre IT Security gut aufgestellt ist, wird das Gros der typischen 100-Dollar-Attacken bereits von Standard-Tools und -Maßnahmen abgefangen. Sie sollten sich also vor allem Gedanken um die raffinierter ausgestalteten IT-Bedrohungen machen. Daran schließt sich die Überlegung an, für welche Art von kriminellen Akteuren Ihr Unternehmen besonders interessant sein könnte und welche Daten dabei besonders schutzwürdig sind."
Es sei empfehlenswert, so Brogan weiter, so viel wie nur möglich über die Anbieter von kriminellen Services und ihren Vorgehensweisen in Erfahrung zu bringen. Oft fehle nämlich der Blick auf das große Ganze: "Vielen fehlt der Weitblick, um zu erkennen, dass viele kleine Angriffe auch Teil einer einzelnen, großangelegten Kampagne sein können."
Als CISO sollten Sie zudem alles daransetzen, die Betriebskosten der kriminellen Hacker in die Höhe zu treiben. Geht es beispielsweise um Account Checker, sollten Sie deren Funktionsweise analysieren und anschließend Wege finden, diese Tools zu blockieren oder zumindest in ihrer Effektivität deutlich einzuschränken. Wenn die Betriebskosten der Cyberkriminellen steigen, sinkt auch ihr ROI, was die Attraktivität eines potenziellen Ziels wiederum drastisch reduziert.
Tenable-Experte Rochford bringt es auf den Punkt: "Es geht hier um smartes Lifecycle Management. CISOs sollten die Sache strategisch angehen und speziell in Sachen Patching und Legacy IT keine Nachlässigkeiten dulden. Darüber hinaus können auch Bug Bounties dazu beitragen, das Security-Niveau anzuheben."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar. - Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar. - Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar. - Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.