Cyberkriminalität: Die Schattenwirtschaft
Der Erfolg einer Branche hängt von ihrer Ökonomie ab - der Produktion, Verteilung und Nutzung ihrer Waren und Dienstleistungen. Wie jede andere Branche oder jedes andere Geschäft unterhält auch die Cyberkriminalität ihre eigene Wirtschaft mit standardisierten Produkten und Dienstleistungen.
Produkte
Die Produkte der Cybercrime-Wirtschaft sind, wie jedes andere Produkt in jeder anderen Branche, sowohl für den Verkäufer als auch für den Käufer von Vorteil. Die Verkäufer profitieren von einer schnellen und diskreten Auszahlung und die Käufer von sofort umsetzbaren bösartigen Operationen, die "out of the box" sind. Diese Produkte können in zwei Hauptkategorien eingeteilt werden: Informationen und Ressourcen.
Die Informationen umfassen Waren wie z.B.:
- Gestohlene persönlich identifizierbare Informationen (PII): Dazu gehört alles von Massen-E-Mail-Listen, die von Spammern verwendet werden, bis hin zu kompletten Paketen zum Identitätsdiebstahl, um Finanzbetrug zu begehen.
- Exfiltrierte organisatorische Informationen: Dazu gehören geistiges Kapital/Eigentum, nicht-öffentliche interne Daten und interne betriebliche Details.
- Gestohlene Authentifizierungsdaten: Die gestohlenen Kombinationen von Benutzernamen und Kennwörtern stellen heutzutage immer noch ein erhebliches Risiko dar, insbesondere wenn dieselben Daten auf mehreren Websites wiederverwendet werden.
- Gefälschte Finanzdaten : Unberechtigte Abhebungen von Konten oder Belastungen von Kreditlinien plagen Kontoinhaber weiterhin.
Zu den Ressourcen gehören solche Elemente wie:
- Zugang zu funktionsreicher Malware: Malware mit unterschiedlichen Fähigkeiten (z.B. Informationsdiebstahl, Fernverwaltungs-Tools - RATs, Ransomware, zweckgebundene Dienstprogramme), die konsistente Ergebnisse vorweisen und die Weitergabe von Quellcode vermeiden, kann den zugehörigen Autoren und Vertreibern beträchtliche Einnahmen bescheren.
- Kauf von System- oder Software-Exploits: Während sich viele "White Hats" dafür entscheiden, Bug Bounty-Initiativen von Anbietern zu unterstützen, gibt es nach wie vor einen lukrativen Untergrundmarkt für zuverlässige, ungepatchte Exploits.
- Übertragung der Kontrolle über zuvor kompromittierte Rechner: Dies gilt in der Regel für ständig aktive Server, die dann als Angriffsplattform genutzt oder für die auf ihnen gespeicherten Informationen verkauft werden können.
- Schulungen für böswillige Akteure: Schulungen werden in Form von Leitfäden oder Tutorials zur effektiven Nutzung von Werkzeugen und spezifischen Taktiken, Techniken und Verfahren (TTPs) angeboten.
Dienstleistungen
Die in der Cybercrime-Wirtschaft angebotenen Dienstleistungen basieren auf einer Leasing-Struktur, bei der der Zugang zu einem Produkt zu einem festgelegten Preis für einen bestimmten Zeitraum versprochen wird. Die Verkäufer profitieren von einer garantierten Quelle wiederkehrender Einnahmen über einen längeren Zeitraum hinweg, und die Käufer profitieren von der kontinuierlichen Verfügbarkeit und Leistung bösartiger Tools.
Diese Dienstleistungen umfassen Angebote wie:
- Distributed denial of service (DDoS): Dabei handelt es sich um Botnetz-gestützte Angriffe, die die Verfügbarkeit von Zielservern und -funktionen beeinträchtigen.
- Exploit kits (EKs): Als Teil des Serviceangebots werden Exploit-Kits in der Regel mit einer monatlichen Rate für den Zugriff auf das Exploit-Toolkit gemietet, was individuelle Endnutzlasten ermöglicht.
- Infrastrukturmiete: Dazu gehören Hosting-Dienste für Angriffsplattformen, Malware-Updates, Konfiguration, Command and Control (C2) und andere Funktionen im Lebenszyklus von Angriffen.
- Geldwäsche: Der Transfer ("Money Muling") von illegal erworbenen Geldern über Konten und Mechanismen in Geldoasenländern ist nach wie vor eine wichtige Dienstleistung.
Lesen Sie unsere Blog-Serie Die Erforschung des Cybercrime-Untergrunds, um mehr zu erfahren.