Professionelle Angreifer verlangen eine Neuaufstellung der IT-Abwehr

Cybercrime as a Service: Wie Söldnergruppen Geschäfte machen

Bogdan Botezatu

© Shutterstock / KDdesignphoto

Seit Jahren wird Malware wie ein wirtschaftliches Gut angeboten. Und dieser Trend setzt sich fort: Die Hacker-Industrie bietet verstärkt nicht nur Tools an, sondern auch Gesamtpakete von Dienstleistungen. Eine Nachfrage ist gegeben, denn Advanced Persistent Threats (APTs) sind nicht einfach zu entwerfen, ermöglichen aber gezielte und profitable Angriffe. Die Opfer brauchen daher professionelle Hilfe.

Verstärkt orientieren sich die Akteure der Cyberkriminalität an den Kooperationsmodellen der Wirtschaft. Entwickler schreiben den Code, Produktmanager entwerfen Roadmaps und berücksichtigen die Gegenmaßnahmen der Abwehr. Ein technischer Support unterstützt dann die Anwender, die Angriffe durchzuführen. Auch das Marketing kommt nicht zu kurz, wenn die Akteure in sozialen Medien oder Foren mit den finanziellen Ergebnissen vergangener Kampagnen werben, um neue Kunden und Partner zu rekrutieren. Die Urheber der GandCrab-Ransomware-Attacke verwiesen 2019 darauf, mehr als zwei Milliarden US-Dollar erpresst zu haben. Diese Einnahmen werden wie unter Geschäftspartnern aufgeteilt.

Cybercrime-as-a-Service

Zuletzt haben APT-Söldnergruppen verstärkt ihre Dienstleistungen angeboten. Dabei wenden sie sich an potenzielle Kunden in wichtigen Positionen, die an anspruchsvollen Angriffsmethoden interessiert sind und möglicherweise mit Regierungen zusammenarbeiten.

Die bis dahin unbekannte APT-Gruppe RedCurl attackierte etwa 2018 mehrere Unternehmen aus den unterschiedlichsten Branchen. Laut der Analyse der IT-Sicherheitsexperten von Group-IB nutzten die Cyberwar-Söldner ein leistungsfähiges Malware-Framework für die Datenexfiltration.

Bitdefender-Experten legten 2020 die Aktivitäten einer weiteren Gruppe offen, die ihre Dienste gegen Geld anbot: Ihr Angebot zur Industriespionage richtete sich gegen Immobilienbranche. Dafür tarnten sie eine bösartige Payload als Plug-in für die beliebte 3D-Computergrafiksoftware Autodesk 3ds Max. Zu den Opfern gehörten hochkarätige Architekten und weltbekannte Innenarchitekten. Ein Unternehmen war an Projekten für milliardenschwere Luxusimmobilien in New York, London, Australien und Oman beteiligt.

Die Analysen zeigten, dass die Akteure über ein mächtiges Toolset mit umfangreichen Spionagefähigkeiten verfügten. Entsprechend professionell testeten die Autoren Vorab, wie resistent die Malware gegen die Mittel der Cyberabwehr war. Der Command-and-Control-Server der Kriminellen befand sich in Südkorea. Weitere Malware-Proben belegen, dass der kriminelle Dienst ebenso in den Vereinigten Staaten, Japan und Südafrika agierte.

Professionelle „Produktentwicklung“

Die Expertise hinter solchen Angriffen zeigt, in welchem Grad Dienstleistungsmodelle für Cyberkriminalität mittlerweile professionalisiert sind. APT-Tools zur Spionage sind die Produkte erfahrener und hochspezialisierter Entwicklerteams. Sie nutzen für das jeweilige Vorhaben zugeschnittene Toolkits. Zugleich verhindern sie, dass sich die Schadsoftware über das eigentliche Angriffsziel hinaus ausbreitet. In der Folge gelangen Anbieter von Sicherheitslösungen schwierig an ein Malware-Sample, das für die Signatur-basierte IT-Sicherheit kleinerer und mittlerer Unternehmen so wichtig wäre.

Die meisten Unternehmen verfügen zwar über grundlegende Technologien zum Schutz vor verschiedenen Malware-Arten. Aber die hochentwickelten Werkzeuge der APT-Profis können sich nach Eindringen in das Netzwerk unter dem Radar der IT-Sicherheit bewegen und deren Gegenmaßnahmen zumindest für eine Weile ausweichen. Eine rein dateibasierte Abwehr übersieht polymorphe Malware-Samples und sogenannte Fileless Malware. Living-off-the-Land-Taktiken, die zum Beispiel das Remote Desktop Protocol (RDP) oder andere legitime Tools missbrauchen, lassen sich ebenfalls nur schwer erkennen.

Die eigene Verteidigung neu aufstellen

Gegen derart professionalisiertes Know-how müssen Unternehmen auf externe Experten zurückgreifen, um Gefahren zu erkennen und um sämtliche Absichten und das volle Ausmaß einer Attacke aufzudecken. Das dazu erforderliche Fachwissen ist rar, hat seinen Preis und selbst große Unternehmen würden ihre Zeit brauchen, um ein internes Team von Cyber-Risikospezialisten aufzubauen, welches es mit den Profis der anderen Seite aufnehmen kann. Viele potenzielle Opfer erwägen daher, sich ebenso Hilfe von außen in Form von Angeboten zu Managed-Detection-and-Response zu holen.

Wenn Angreifer gefährliche Bedrohungen anmieten, ist es an der Zeit, dass die Wirtschaft ihrerseits sich auf Kollaborationsprozesse besinnt: Die Unternehmen benötigen nicht nur den Zugriff auf geeignete fortschrittliche Technologien, sondern auch die Kompetenz und die Erfahrung externer Experten, um der Gegenseite auf Augenhöhe begegnen zu können. Managed Detection and Response-Dienste von einem Betreiber eines Sicherheitsoperationszentrums leisten unverzichtbare Schützenhilfe.

Geschrieben von
Bogdan Botezatu

Bogdan Botezatu ist Leiter der Bedrohungsanalyse bei Bitdefender.

Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: