58 Prozent aller von Initial Access Brokers (IAB) gestohlenen Zugangsdaten zu Firmennetzwerken werden für unter 1000 US-Dollar im Dark Net verkauft. Administrator-Konten steigen in der Angebotshäufigkeit um über 100 Prozent.
Check Point Software Technologies Ltd. geht auf die stetig beliebter werdende Masche Cyber-Krimineller in einem eigenen Bericht der kürzlich zugekauften Experten-Firma Cyberint genauer ein. Initial Access Brokers (IAB) sind Hacker, die Netzwerke, Systeme oder Organisationen infiltrieren und diesen geknackten Zugang an andere Hacker verkaufen. Anstatt also den gesamten Cyber-Angriff auszuführen, konzentrieren sich IAB auf den ersten Einbruch und monetarisieren ihn, indem sie den Zugang zu den Systemen im Dark Net feilbieten. Sie unterstützen auf diese Weise Ransomware-Operationen, insbesondere RaaS-Systeme, indem sie solche Angriffe optimieren und die Einstiegshürden reduzieren.
Der Bericht basiert auf Daten von Cyberint – das Forschungs-Team eines Unternehmens von Check Point – die über die letzten zweieinhalb Jahre in führenden Dark-Web-Foren (nämlich Ramp, Breach, XSS und Exploit Forums) gesammelt wurden. Er hebt hervor, dass die USA im Jahr 2024 das Hauptziel von IAB waren (31 Prozent), während Frankreich und Brasilien stark ins Visier gerieten.
In den Top-10-Ländern stieg die Zahl der zum Verkauf stehenden Zugänge um 90 Prozent, was darauf hindeutet, dass sich die Hacker auf bestimmte Länder konzentrieren, anstatt ihre geografischen Ziele zu streuen. Dies könnte verschiedene Gründe haben, von der gezielten Auswahl von Ländern mit höherem Wirtschaftspotenzial bis hin zu Ländern mit wertvolleren Daten. Deutschland blieb bislang etwas verschont und rangiert auf Rang 10 der am meisten betroffenen Länder.
Abbildung 1: Top 10 der betroffenen Länder 2023 und 2024 (Check Point Software Technologies Inc.).
Marco Eggerling, Global CISO bei Check Point Software Technologies, schätzt die Lage für die DACH-Region ein: «Angesichts der zunehmenden Berichterstattung über erfolgreiche Cyber-Angriffe in der DACH-Region im vergangenen Jahr ist es nur eine Frage der Zeit, bis auch Industrieländer mit einer Vielzahl wertvoller Mittelstandsunternehmen und Grosskonzerne zunehmend im Fokus solcher Angreifer stehen.»
«Die Bedrohung durch Identitäts- und Account-Betrug wird in Zukunft zweifellos an Bedeutung gewinnen»,so Eggerling. «Aus diesem Grund bleibt die oberste Priorität weiterhin, eine robuste Passwortpolitik strikt aufrechtzuerhalten und durchzusetzen. Darüber hinaus muss die Einführung von Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) für sämtliche Identity Services eine Pflichtmassnahme sein – und zwar sowohl für Cloud-Umgebungen als auch für hybride sowie On-Premise-Systeme, die kontinuierlich gepflegt und geprüft werden müssen.»
Darüber hinaus empfehle es sich, fortlaufend mit leistungsfähigen Technologien und Tools die Hacker-Foren im Dark Net nach gestohlenen Zugangsdaten des eigenen Unternehmens zu durchsuchen. Nur durch vorrausschauende, umfassende und mehrschichtige Sicherheitsmassnahmen könne langfristig gewährleistet werden, dass Unternehmen nicht nur in der Gegenwart, sondern auch in der Zukunft gegen die jeweils aktuellen Bedrohungen gewappnet sind.
Initial Access Brokers: Dienstleistungen am häufigsten betroffen
IAB zielen auf verschiedene Branchen, wobei der Sektor der Unternehmensdienstleistungen am häufigsten betroffen ist, ähnlich wie bei Ransomware-Trends. Der Einzelhandel ist 2023 und 2024 durchgehend unter den Top 3 geblieben, aber die Fertigungsindustrie hat sich 2024 als wachsender Schwerpunkt erwiesen und ist in die Top 3 aufgestiegen. Die Streuung der anvisierten Unternehmen hat ebenfalls zugenommen.
Abbildung 2: Top 5 der betroffenen Branchen 2024 (Check Point Software Technologies Inc.).
Im Jahr 2024 hat sich der Fokus auf kleinere Organisationen verlagert, möglicherweise aufgrund der oft schwächeren IT-Abwehr. Die meisten Organisationen liegen im Bereich von 5 bis 50 Millionen US-Dollar, was 60,5 Prozent aller zum Verkauf stehenden Zugangslisten entspricht.
Abbildung 3: Verteilung der betroffenen Unternehmen nach deren Umsatz (Check Point Software Technologies Inc.).
Dazu passt, dass 53 Prozent der erfolgreich attackierten Endpunkte auf den Windows Defender allein als Verteidigung setzten.
Abbildung 4: Top 10 der Anti-Virus-Produkte auf IAB-Listen (Check Point Software Technologies Inc.).
Die Konzentration auf die kleinen und mittleren Unternehmen (KMU) aber hat den durchschnittlichen Umsatz der Cyber-Kriminellen von 1,38 Milliarden US-Dollar im Jahr 2023 auf 1,28 Milliarden US-Dollar im Jahr 2024 gesenkt.
Abbildung 5: Durchschnittlicher Umsatz von IAB-Geschäften im Vergleich 2023 und 2024 (Check Point Software Technologies Inc.).
Es gibt drei Haupttypen von IAB, welche die meisten Ransomware-Angriffe derzeit antreiben. Im Jahr 2023 waren IAB, die Zugänge zu Servern anboten, welche wegen eines ungesicherten Remote Desktop Protocol (RDP) anfällig waren, am häufigsten zum Verkauf gestanden (>60 Prozent). Im Jahr 2024 nahm der VPN-Zugang jedoch stark zu (33 Prozent) während RDP-Zugänge nachliessen (55 Prozent).
Abbildung 6: Vergleich der Top-3-Zugangsmöglichkeiten, die verkauft werden 2023 und 2024 (Check Point Software Technologies Inc.)
Zudem unterscheiden die IAB zwischen der Wertigkeit der Zugangsdaten, das heisst: Wie viele Privilegien stehen dem Käufer über das Benutzerkonto zur Verfügung? Die Top-3-Varianten legten stark zu, wobei den grössten Zuwachs die normalen Domain-Nutzer verzeichneten (447 Prozent). Lokale Administratoren stiegen um 161 Prozent, Domain-Administratoren um 144 Prozent.
Abbildung 7: Top 3 der verschiedenen Zugangskonten mit unterschiedlichen Privilegien (Check Point Software Technologies Inc.).
Die meisten IAB-Einnahmen fallen in eine Preisspanne von 500 bis 3’000 US-Dollar (86 Prozent) für den Zugang zu Unternehmen, obwohl gelegentlich hochwertige Angebote erscheinen, die 10’000 US-Dollar übersteigen.
Abbildung 8: Preisspannen und ihre Verteilungshäufigkeit (Check Point Software Technologies Inc.).
Das Fazit der Sicherheitsforscher lautet, dass eindeutig zu wenige Unternehmen auf einen mehrschichtigen Sicherheitsansatz setzen, sondern sich auf eine Ebene allein verlassen. Wird diese Überwunden, ist das Tor zum Netzwerk offen.
Bitte beachten Sie, dass die bereitgestellten Daten auf Beobachtungen aus den Foren «Ramp», «Breach», «XSS» und «Exploit» beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.
