Cybercrime as a Service – Verbrechen auf Bestellung

Dass sich Cyberkriminalität über die letzten Jahre so großer Beliebtheit erfreut und die Anzahl der Vorfälle jedes Jahr neue Rekordzahlen erreicht, hat gute Gründe.  Die Zeiten, wo man über umfassendes Wissen verfügen musste, um Schadsoftware in fremden Netzwerke zu platzieren, Phishing-Kampagnen zu starten oder Server für die Steuerung der Schadsoftware aufzusetzen, sind vorbei. All diese Services lassen sich für vergleichsweise kleines Geld als Service zukaufen.

Man kann zu Recht behaupten, dass sich um Cybercrime zwischenzeitlich ein Ökosystem gebildet hat, welches die Einstiegsbarrieren verringert und damit einen Zustrom von neuen Kriminellen in das Betätigungsfeld ermöglicht. Da Cybercrime ein sehr weiter Begriff ist und sich auch laufend verändert, versuchen wir uns an einer Bestandsaufnahme zum aktuellen Zeitpunkt (November 2022), wobei wir beleuchten möchten, welche „Services“ aktuell von den Cyberkriminellen zur Verfügung gestellt werden. Es ist davon auszugehen, dass wir diesen Artikel in wenigen Monaten zumindest um einige Punkte erweitern müssen, da sich die Wertschöpfungsketten laufend verändern und erweitern.

Einen Bereich, auf welchen wir in diesem Artikel außerdem nicht eingehen werden, ist der Verkauf von illegalen physischen Gütern wie Drogen und Waffen, wobei auch hier das Internet und insbesondere das Darknet eine große Rolle spielen. Aber auch die anderen Cybercrime-Dienste werden meist über das Darknet gehandelt, weshalb wir uns dies zuvor einmal etwas ansehen sollten.

Was ist das Darknet?

Das Darknet ist ein Teil des Internets, welcher grundsätzlich nicht per se illegal ist, aber nur durch Anonymisierungsnetzwerke wie Tor zugänglich ist. Die Seiten des Darknets sind nur durch Darknet-Suchmaschinen oder über direkte Links zugänglich und werden von regulären Suchmaschinen nicht erfasst.

Der Zugang ist jedoch für jeden interessierten Anwender trotzdem leicht möglich und auch per se nicht illegal. Man muss sich allerdings bewusst sein, dass man sich durch unbedachte Nutzung der angebotenen Inhalte strafbar machen kann und eine Verfolgung trotz der gebotenen Anonymität möglich ist.

Anzeige für Ransomware im Darknet

Diese Anonymität im Darknet betrifft sowohl Anbieter als auch Suchende – und wird neben illegalen Aktivitäten auch für durchaus sinnvolle Zwecke genutzt. Die verschlüsselte Struktur eröffnet Möglichkeiten für Journalisten, für Verfolgte oder die politische Opposition – sei es der Zugriff auf zensierte oder regional gesperrte Inhalte oder die Kommunikation mit anderen Personen. Auch für Whistleblower eröffnet sich die Möglichkeit, Entdeckungen bekannt zu machen, aber selbst unerkannt zu bleiben.

Wie in vielen Szenarien kommt es immer auf den Nutzungszweck an, das Darknet selbst unterscheidet nicht zwischen guten und schlechten Absichten.

Cybercrime-as-a-Service

Cybercrime-as-a-Service hat sich erst in den letzten 2-3 Jahren unter diesem Namen manifestiert, wobei auch vorher schon Dienste angeboten wurden, welche heute unter diesen Begriff fallen, so z.B. der Datendiebstahl und natürlich wurden auch früher schon Hacker beauftragt, um Systeme auszuspionieren, lahmzulegen und vieles mehr. Diese Beauftragungen sind allerdings früher meist individuell erfolgt. In den letzten Jahren haben sich jedoch regelrechte Marktplätze gebildet, über welche entsprechende Services von jedermann „gebucht“ werden können, ohne dass Beziehungen zu Personen aus der Szene bestehen müssen.

Datendiebstahl, Verkauf sensibler Daten

Kriminelle, welche auf der Suche nach bestimmten Daten waren, haben auch schon vor Jahrzehnten Personen angeworben, die Ihnen Zugang zu den gewünschten Daten verschaffen konnten. Was sich geändert hat, ist, dass in den letzten Jahren Datendiebstahl ohne konkreten Auftrag erfolgt. Die Daten werden nach dem erfolgten Diebstahl entweder an Zwischenhändler verkauft, direkt an den oder die Meistbietenden oder einfach zum Download gegen Einwurf von Bitcoins angeboten.

Der Markt mit sensiblen Daten floriert im Darknet – sei es von Zugangsdaten zu gültigen Accounts (Netflix, Paypal, Ebay, Crypotservices etc.) über Sammlungen gültiger EMail-Adressen bis hin zu Kreditkartendaten und Scandokumenten von Führerscheinen und Reisepässen.

Die Website Privacy Affairs führt seit längerer Zeit einen Index darüber, wie sich die verschiedenen Preise im Darknet entwickeln.

Nach erfolgreichen Hacks eines Unternehmens werden die gesammelten Datensätze oft im Rahmen einer Auktion versteigert – als Beweis für die Echtheit der Daten werden dazu Auszüge aus den Daten bereitgestellt. Gebote für die gesammelten Daten eines Hacks erreichen durchwegs einige zehntausend USD, in manchen Fällen gehen hier die Gebote bis zu rund einer Million USD. In einigen Fällen kommt es durchaus auch vor, dass die Hacker Ihre Opfer auf die Auktion hinweisen, da sie sich dadurch höhere Einkünfte erwarten, wenn diese versuchen, durch eigene Gebote ihre Daten zu schützen

Ransomware-as-a-Service (RaaS)

Im Darknet können entsprechend motivierte Personen alles einkaufen, was für einen Angriff mit Ransomware benötigt wird. Schätzungen gehen davon aus, dass weit über zwei Drittel der durchgeführten Ransomware-Angriffe von Akteuren initiiert werden, welche die Ressourcen nicht selbst mitbringen, sondern diese auf den Plattformen zugekauft haben. Und man darf sich diese durchaus als professionell geführte Software-Dienste vorstellen, mit umfassendem Support, Community-Foren zum Erfahrungsaustausch, mehrsprachiger Dokumentation usw.

Administrationsoberfläche der Satan-Ransomware

Begehrtes Objekt – Sicherheitslücken

Sicherheitslücken können im Darknet ebenfalls gut gehandelt werden. Sei es nun eine Schwachstelle in einer Software, die ausgenutzt werden kann, oder der Hinweis auf eine löchrige Firewall.

Für die Entdecker dieser Sicherheitslücken gibt es grundsätzlich mehrere Handlungsoptionen – er kann die gefundene Sicherheitslücke dem betreffenden Softwarehersteller oder Unternehmen, das davon betroffen ist, melden – gerade Software-Unternehmen bieten teilweise sog. Bug-Bounty-Programme an, welche die Entdecker dieser Sicherheitslücken finanziell entschädigen. Die Meldung einer Sicherheitslücke kann allerdings auch nach hinten losgehen, wie dieses Beispiel zeigt: spiegel.de – CDU entschuldigt sich für Anzeige gegen Sicherheitsforscherin

Im Darknet lassen sich diese Sicherheitslücken sehr gut zu Geld machen, insbesondere, wenn diese noch nicht anderweitig bekannt geworden sind (sog. Zero-Day-Exploits). Die Käufer haben dann die Möglichkeit ihrerseits selbst einen Hack zu versuchen oder, falls es sich um die Lücke in einer Software handelt, entsprechende Malware (kostenpflichtig) bereitzustellen, die die Sicherheitslücke effektiv ausnutzt. Damit werden die Entwickler der Malware selbst wieder zum Teil der Wertschöpfungskette.

Zugang zu Firmennetzwerken

Eine weitere sehr einträgliche Einkommensquelle ist das Bereitstellen von Zugriffsmöglichkeiten auf ein Firmennetzwerk. Dies kann auf mehrere Arten passieren – einerseits durch die Bereitstellung einer konkreten Sicherheitslücke im Firmennetzwerk, welche weiter ausgenutzt werden kann oder auch indem man bereits über gültige Zugangsdaten zum Firmennetzwerk verfügt, welche einfach weiter verkauft werden. Eine weitere Möglichkeit kann durchaus sein, wenn man bereits erfolgreich Schadsoftware im Netzwerk des Opfers installieren konnte, welche durch den Käufer weiter ausgenutzt werden kann.

Die Preise für die Zugänge zu Firmennetzwerken variieren stark – einerseits hängen die Preise davon ab, wie weitgehend der Zugang ist und andererseits auch von der Größe und Art des Unternehmens zu dem Zugang gewährt werden kann. Nicht selten kommt es vor, dass die Zugänge noch am selben Tag verkauft werden, an dem sie angeboten werden.

Angebote für alles

Grundsätzlich gibt es für jeden noch so kleinen Teil der „Wertschöpfungskette“ von Cyberangriffen passende Angebote im Darknet – es besteht daher durchaus die Möglichkeit, dass ein motivierter Angreifer den gesamten Ablauf einer Cyberattacke inkl. „Projektmanagement“ fremdvergibt. Die Anbieter stehen dafür bereit und haben sich auf stark auf spezielle Aufgaben spezialisiert.

Fazit

Der Marktplatz, der sich in den letzten Jahren entwickelt hat, beschleunigt die rasante Entwicklung rund um Cyberkriminalität weiter. Durch die Arbeitsteilung entsteht eine Effizienz, die durch Einzelakteure niemals möglich wäre. Des weiteren ist es so auch möglich für Tätigkeiten ohne exponierte Ermittlungsrisiken (Datenanalyse, Zusammenstellen von Datensätzen usw.) Leute für die Mitarbeit zu gewinnen, die normalerweise davor zurückschrecken würden, aber diese Tätigkeiten nun unter dem Schutz der Anonymität übernehmen.

Im Ergebnis wird diese Entwicklung in den kommen Jahren dafür sorgen, dass die Anzahl und Schwere der Cyberangriffe weiter zunehmen wird – die Einkommensquellen sind lukrativ und die Gefahr gefasst zu werden, ist meist recht gering. Wenn man außerdem im richtigen Land sitzt, muss man generell keine Ermittlungen fürchten, solange man sich die passenden Ziele aussucht.