Initial Access Brokers: Das unverzichtbare Bindeglied in der Cybercrime-Lieferkette

Initial Access Brokers: Das unverzichtbare Bindeglied in der Lieferkette der Cyberkriminalität

Von Phil Muncaster • 17 October 2024

Dieses Jahr wird voraussichtlich ein Rekordjahr für Ransomware-Gruppen. Blockchain-Analyse zeigt dass die „Zuflüsse“ zu Kryptowährungsadressen, die mit Kriminellen in Verbindung stehen, im ersten Halbjahr 460 2024 Millionen Dollar erreichten, gegenüber 449 Millionen Dollar im gleichen Zeitraum des Vorjahres. Und die durchschnittliche Lösegeldzahlung für einige der produktivsten Ransomware-Gruppen ist von knapp 200,000 Dollar Anfang 2023 auf 1.5 Millionen Dollar Mitte Juni 2024 gestiegen.

Es gibt viele Gründe, warum Ransomware-Gruppen und die Cybercrime-Unterwelt im Allgemeinen weiterhin florieren. Ein großer Teil ihres Erfolgs ist jedoch dem Initial Access Broker (IAB) zu verdanken: einem wichtigen Akteur in der Lieferkette der Cybercrime. Wenn Unternehmen ihre finanziellen Risiken und Reputationsrisiken minimieren möchten, müssen sie einen Weg finden, ihre Taktiken, Techniken und Verfahren (TTPs) abzuschwächen.

Eyes on the Prize

Vereinfacht ausgedrückt sind IABs deshalb so wichtig, weil sie sich auf eine Sache konzentrieren und diese außergewöhnlich gut machen. Indem sie sich nur auf die erste Phase eines Angriffs konzentrieren, isolieren sie sich von den Strafverfolgungsbehörden – etwas, das sie auch dadurch erreichen, dass sie privat mit Ransomware-as-a-Service (RaaS)-Partnern zusammenarbeiten. Indem sie andererseits die zeitaufwändige Arbeit der Zielauswahl und des Zugangs zu Opferorganisationen an das IAB auslagern, können andere Cyberkriminelle mehr Zeit darauf verwenden, ihre Bemühungen zu verstärken.

Wenn sie nicht privat mit RaaS-Gruppen zusammenarbeiten, listen IABs ihre Dienste in Hackerforen auf, was es Forschern ermöglicht, sich ein besser informiertes Bild vom Markt zu machen. Laut einer neuen Cyberint-Bericht, manche bieten Paketangebote an, während andere den Zugang einzeln verkaufen, und sehr vertrauenswürdige Personen verlangen möglicherweise von Käufern, dass sie sich direkt an sie wenden, ohne überhaupt irgendwelche Informationen preiszugeben.

Der Bericht hebt drei Haupttypen von IABs hervor. Diejenigen, die Zugriff auf Folgendes verkaufen:

Systeme, die durch Backdoors und andere auf vernetzten Computern installierte Malware gefährdet sind
Durch Brute-Force-Angriffe auf das Remote Desktop Protocol (RDP) kompromittierter Server
Kompromittierte Netzwerkgeräte wie VPN-Server und Firewalls, die einen Zugang zum Unternehmensnetzwerk ermöglichen

Laut Cyberint war der RDP-Zugriff im Jahr 2023 am häufigsten und machte über 60 % der IAB-Einträge aus. Bisher wurde der RDP-Zugriff (41 %) jedoch durch VPN-Kompromittierungen (45 %) gefährdet.

Zu den weiteren Zugriffsarten gehören:

E-Mail: Oft über kompromittierte Zugangsdaten, die es Angreifern ermöglichen, E-Mails zu lesen, zu versenden und zu manipulieren
Datenbank: Durch gestohlene Anmeldeinformationen oder Ausnutzung von Sicherheitslücken
Webshell: Dabei handelt es sich um Skripte, die es Bedrohungsakteuren ermöglichen, Befehle auf einem Zielserver aus der Ferne zu verwalten/auszuführen
Shell-/Befehlszeilenzugriff: Bereitstellung einer Befehlszeilenschnittstelle für ein kompromittiertes System, die die direkte Ausführung von Befehlen ermöglicht
Dateifreigaben: Zugriff auf freigegebene Laufwerke und Dateiserver, häufig über kompromittierte Anmeldeinformationen oder laterale Bewegung

IABs können ihre Verkäufe auch nach Berechtigungstyp auflisten – Domänenadministrator, lokaler Administrator oder Domänenbenutzer – wobei der Zugriff mit höheren Berechtigungen mehr kostet. Obwohl der Zugriff auf einige wertvolle Umgebungen zu Einträgen führen kann, die mehr als 10,000 US-Dollar kosten, liegen die meisten IAB-Einträge zwischen 500 und 2000 US-Dollar. Das ist ein Hinweis auf die Massenware-Natur des Marktes. Obwohl sich IABs zunehmend auf umsatzstarke Unternehmensopfer konzentrieren, ist der Durchschnittspreis für Einträge laut Cyberint jährlich um 60 % auf 1,295 US-Dollar gesunken.

Werden IABs Ihre Organisation verfolgen?

Über ein Viertel (27 %) der von Cyberint im Jahr 2024 analysierten Einträge betrafen den Zugriff auf Organisationen mit einem Umsatz von über 1 Milliarde Dollar. Tatsächlich beträgt der durchschnittliche Umsatz der Opfer in diesem Jahr bisher 1.9 Milliarden Dollar. Aber das bedeutet nicht, dass kleinere Organisationen aus dem Schneider sind, so Cyberint-Sicherheitsforscher Adi Bleih.

„Unsere Daten zeigen, dass im ersten Halbjahr 2024 Organisationen mit einem Umsatz unter 10 Millionen Dollar 18.5 % aller Zugangslisten in den großen Untergrundforen ausmachten. Das bedeutet, dass fast jede fünfte angegriffene Organisation ein KMU ist, was ein erhebliches Risiko für diesen Sektor darstellt“, sagt er gegenüber ISMS.online.

„Wenn man sich mittelgroße Unternehmen mit einem Umsatz zwischen 10 und 100 Millionen Dollar genauer ansieht, fallen 29.5 % aller Zielunternehmen in diesen Bereich. Das bedeutet, dass Unternehmen mit einem Umsatz unter 100 Millionen Dollar 48 % aller Ziele der Erstzugriffsbroker ausmachen.“

Ansonsten sind US-Organisationen am häufigsten im Fadenkreuz, da sie fast die Hälfte (48 %) der untersuchten IAB-Einträge ausmachen. Es folgen Frankreich, Brasilien, Indien und Italien. Da Großbritannien jedoch zu den beiden Top-Zielen von Ransomware gehört, gibt es für britische CISOs jede Menge schlaflose Nächte. Dem Bericht zufolge sind die am stärksten betroffenen Sektoren Unternehmensdienstleistungen, Finanzen, Einzelhandel, Technologie und Fertigung. Letztere stiegen von 14 % der Einträge im Jahr 2023 auf 23 % in diesem Jahr.

Blockieren des ersten Zugriffs und darüber hinaus

Obwohl keine Organisation wirklich vor IAB-Angriffen sicher ist, ist die gute Nachricht, dass die Bedrohungsakteure selbst dazu neigen, an bewährten Hacking-Techniken festzuhalten. Das bedeutet, dass Netzwerkverteidiger mit bewährten Sicherheitspraktiken einen großen Beitrag dazu leisten können, entweder den ersten Zugriff oder das, was danach kommt, zu neutralisieren. Cyberint empfiehlt einfache Schritte wie Multi-Faktor-Authentifizierung (MFA), Richtlinien für den Zugriff mit geringsten Berechtigungen, regelmäßiges Patchen, Schulungen zum Sicherheitsbewusstsein, eingeschränkte RDP-Nutzung, Intrusion Detection (IDS), Netzwerksegmentierung und Dark Web-Überwachung.

Glücklicherweise sind Best-Practice-Standards und -Frameworks eine hervorragende Möglichkeit, solche Vorgehensweisen zu formalisieren.

Als Beispiel, ISO 27001 geht auf Folgendes ein:

Zugriffskontrolle: (Anhang A.9). Hilft, die Möglichkeit zu verringern, dass IABs in ihre Netzwerke eindringen.

Vorfallmanagement und Reaktion: (Anhang A.16) Eine schnelle Erkennung und Reaktion auf den ersten Zugriff kann dazu beitragen, Verstöße einzudämmen, bevor diese monetarisiert werden können.
Sicherheitsbewusstsein und -schulung: (Anhang A.7.2.2) Dadurch wird die Wahrscheinlichkeit verringert, dass IABs durch menschliches Versagen, wie etwa Phishing oder schwache Passwörter, Zugriff erhalten.
Netzwerksicherheitskontrollen: (Anhang A.13) Durch die Aufteilung des Netzwerks in kleinere, isolierte Segmente wird die Fähigkeit von Bedrohungsakteuren eingeschränkt, sich im Netzwerk seitlich zu bewegen.
Überwachung und Protokollierung: Durch die kontinuierliche Überwachung und Protokollierung der Netzwerkaktivität werden unbefugte Zugriffsversuche erkannt und entsprechende Warnungen ausgegeben.
Firewall- und IDS/IPS-Konfiguration: Die richtige Konfiguration hilft, verdächtige Netzwerkaktivitäten effektiver zu erkennen und zu blockieren.
Patch-Management und Schwachstellenmanagement: (Anhang A.12.6.1) Reduziert die Anzahl ausnutzbarer Schwachstellen, die IABs nutzen können, um sich erstmals Zugriff zu verschaffen.
Sicherheit der Lieferkette: (Anhang A.15) Hilft zu verhindern, dass IABs über unsichere Drittparteien unbefugten Zugriff erhalten.
Kryptografie und Datenschutz: (Anhang A.10) Durch die Datenverschlüsselung wird der Wert der Daten begrenzt, auf die nach einem IAB-Verstoß zugegriffen wird.
Physische und Umgebungssicherheit: (Anhang A.11) Reduziert das Risiko, dass IABs den ersten Zugriff auf physische Weise erhalten, beispielsweise durch einen kompromittierten Mitarbeiter.

ISO 27001 basiert auf einem Plan-Do-Check-Act-Zyklus (PDCA), der die kontinuierliche Verbesserung des Informationssicherheits-Managementsystems (ISMS) betont. Regelmäßige interne Audits, Managementüberprüfungen und Sicherheitsupdates im Einklang mit sich ständig weiterentwickelnden Bedrohungen sorgen dafür, dass die Abwehrmaßnahmen des Unternehmens langfristig ihren Zweck erfüllen. IAB-Angriffe sind unvermeidlich. Erfolgreiche Verstöße müssen dies jedoch nicht sein.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Initial Access Brokers: Das unverzichtbare Bindeglied in der Lieferkette der Cyberkriminalität

Eyes on the Prize

Werden IABs Ihre Organisation verfolgen?

Blockieren des ersten Zugriffs und darüber hinaus

Phil Muncaster

In Verbindung stehende Artikel

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Lesen Sie mehr von Phil Muncaster

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben