Der Handel mit Zugangsdaten ist ein Riesengeschäft, auf das sich einige Cyberkriminelle spezialisiert haben. Sie geben die erbeuteten Accounts an Ransomware-Verteiler und andere Ganoven weiter, machen sich aber nicht selbst die Hände schmutzig. Wie der Handel läuft, und wie Sie sich dagegen wehren, zeigt das vorliegende Whitepaper.
Inhalt:
Der Nutzen und die Vorteile von Online-Plattformen, Foren und Tauschbörsen ist auch den Cyberkriminellen nicht verborgen geblieben. Prinzipien der legalen Wirtschaft wie Arbeitsteilung, Spezialisierung oder „as-a-Service“-Angebote haben ebenfalls längst Einzug ins Dark Web gehalten. So verwundert es nicht, dass sich bestimmte kriminelle Organisationen auf den Diebstahl von Zugangsdaten spezialisiert haben. Sie verkaufen die erbeuteten Unternehmenskonten dann an andere, die sich wiederum auf Ransomware-Angriffe oder ähnliche Aktivitäten konzentrieren.
Die Security-Spezialisten von IntSights zeigen im vorliegenden Whitepaper, wie diese Märkte funktionieren, wo die Dealer zu finden sind, und in welchen Regionen und Branchen sich die Angriffe häufen.
Sie erfahren:
- Wo sich Zugangsdaten kaufen lassen, und was ein Unternehmenskonto im Durchschnitt wert ist.
- Wie Sie Kompromittierungen erkennen und wie Sie darauf reagieren sollten.
- Wie Sie einem Angriff vorbeugen und bei gestohlenen Zugangsdaten den Schaden begrenzen.
Originalauszug aus dem Dokument:
Anbieteranalyse
Ebenso deutlich zeigt sich die Dominanz einer Handvoll spezialisierter Zugangsanbieter. Nur sieben Personen waren die Quelle der meisten dieser Angebote (26 von 46 oder 56,5 %): Ihre Benutzernamen lauten „pshmm” (8), „drumrlu” (5), „7h0rf1nn” (4), „Cipher_Strike” (3), „iannker” (2), „Sheriff” (2) und „mont4na” (2). Diese Konzentration auf eine relativ kleine Anzahl spezialisierter Dealer verdeutlicht, in welchem Maße die Arbeitsteilung das Angebot an kompromittierten Netzwerken für diesen Nischenmarkt bestimmt.
Die beiden produktivsten Kriminellen verfeinern ihre Werbung stärker als ihre Konkurrenten. So erläuterte „pshmm”, dass seine Standardangebote den Zugang zu Netzwerken über Fernüberwachungs- und Verwaltungssoftware (Remote Monitoring and Management, RMM) ermöglichen und nicht über die übliche Verwendung von RDP. Er stellte auch eine Liste der Funktionen zur Verfügung, die ein Käufer im Rahmen seiner Standardpakete erhält – einschließlich der Fähigkeit, Dateien zu übertragen, zu liefern und auszuführen, Befehle umzusetzen, Antivirensoftware und Firewalls zu deaktivieren und auf Active Directory und Registrierungen zuzugreifen (siehe Abbildung 5).