Was Initial Access Brokers sind und was Sie gegen diese neuen Aktivitäten im Ökosystem der Cyberkriminellen tun können, zeigt Ihnen ABIDAT in diesem Artikel.
Neue Geschäftsmodelle machen Angreifer immer schnelle und effizienter
Cyberkriminelle setzen verstärkt hochspezialisierte Mitarbeiter in neuen Geschäftsmodellen ein, die es mit jedem seriösen Tech-Unternehmen von heute aufnehmen können. So werden von den dominierenden Ransomware-as-a-Service (RaaS)-Banden wie LockBit oder Conti mittlerweile „Programmierer“, „Tester“ oder „Penetrationstester“ gesucht.
Diese Spezialisierung zeigt sich auch beim Einsatz von Initial Access Brokers (IABs) durch kriminelle Organisationen. IABs sind ein wachsender Teil des cyberkriminellen Ökosystems, weil sie so viel bieten. Wie der Name schon sagt, sind IABs Cyber-Bedrohungsakteure (CTAs), die versuchen, sich illegalen Zugang in fremde Netzwerke zu verschaffen. Ist Ihnen das gelungen, verkaufen sie die Daten an andere CTAs. Meist sind diese Käufer Cyberkriminelle, die den Netzwerkzugang für finanziellen Gewinn nutzen. IABs verkaufen jedoch an alle Arten von CTAs, einschließlich nationalstaatlicher Akteure, die eine Gefahr für die Sicherheit eines Landes darstellen können.
Solche Netzzugänge können in verschiedenen Formen erfolgen, beispielweise über die verschiedenen Arten von Control Panels. Ein Käufer kann dann Webhosting-Inhalte nach Zahlungskarteninformationen durchsuchen. Web-Shell-Zugänge sind ein weiteres gängiges Angebot von IABs, da sie dazu dienen, den stillen Zugang zu einem kompromittierten Webserver zu erleichtern. Am häufigsten greifen IABs auf das Remote Desktop Protocol (RDP) und die Virtual Private Network (VPN)-Technologie zurück. Dies sind oft die bequemsten Mittel für den Zugang zu einem Netz.
Wie ein IAB letztendlich Zugang erhält, hängt von der eingesetzten Fantasie und technischen Begabung ab. Das macht die Abwehrversuche umso anspruchsvoller.
Wie IABs Ransomware-Angriffe unterstützen
Allgemein helfen IABs Ransomware-Banden, insbesondere RaaS-Betreibern, Angriffe zu rationalisieren und so die Arbeitslast zu Beginn eines Angriffs zu verringern. IABs erleichtern die schwierige Aufgabe, Ziele zu finden und sich Zugang zu verschaffen. Auf diese Weise ermöglichen sie Angriffe in großem Maßstab. Die kriminellen Akteure müssen gar keine Zeit damit verschwenden, in Zielnetzwerken Fuß zu fassen. Sie haben sofort über einen IAB Zugang und können ihr verbrecherisches Werk starten, indem sie sensible Daten verschlüsseln.
Zudem gibt es Hinweise darauf, dass einige IABs direkt für Ransomware-Banden oder deren Tochtergesellschaften arbeiten. Es beschleunigt Ransomware-Angriff, dass die kriminellen Organisationen sofort mit der Durchführung ihres Angriffs beginnen können, ohne Zeit für die Beschaffung eines Zugangs zu verlieren. Dafür müssen IABs ihre Dienste nicht einmal öffentlich in Untergrundforen anpreisen. Sie haben bereits einen festen Auftrag, so dass sie sich nicht um weitere Aufträge bemühen müssen. So sind sie in der Öffentlichkeit weniger sichtbar, was ihnen Schutz bietet.
So wehren Sie sich gegen Initial Access Brokers
Der Markt für IAB ist in Bewegung. Einerseits sinken die angebotenen Preise, da es zu einer Übersättigung kommt, weil IABs so aktiv sind, dass sie sich Zugang zu praktisch jedem und jeder Person verschaffen wollen. Da sie sich mit Ransomware-Banden zusammentun, ist dennoch zu erwarten, dass die Attacken in Zukunft zunehmen werden.
Folglich müssen Sie Ihr Unternehmen gegen Zugriffe von IABs schützen. Wie schon öfter von uns hier beschrieben, geht es darum, die Angriffsfläche zu identifizieren und so weit wie möglich zu reduzieren.
Im Rahmen dieses Prozesses sind Penetrationstests eine hilfreiche Methode. So können wir als Managed Service Provider für Cyber-Security Ihre aktuelle Sicherheitslage bewerten, um so Ihre Verteidigungsmaßnahmen zu verbessern. Die Programme unserer Partner zur Überwachung von Schwachstellen werden so regelmäßig gepatcht, dass Sie sich nicht den kritischen Schwachstellen aussetzen. Zudem kann das Patchmanagement beim Wiederherstellen das System auf den neuesten Stand bringen. Mehr dazu und zur hybriden Sicherheit von Acronis finden Sie hier.
Sie können auch Ihre RDP-, VPN- und anderen Zugangspunkte mit Richtlinien zum Sperren von Anmeldeinformationen schützen, die jeden daran hindern, einen Brute-Force-Angriff zu starten. Schließlich können Sie die Multi-Faktor-Authentifizierung (MFA), Zugriffskontrollen und das Prinzip der geringsten Privilegien nutzen, um den Zugriff auf wichtige Ressourcen zu beschränken und Arbeitskonten zu schützen. Hierzu bieten wir Ihnen AuthN unseres Partners IDEE.