Recorded Future hat zwischen Januar und Dezember 2021 aktuelle Daten der Recorded Future ® -Plattform, aus dem Dark Web und Quellen mit speziellem Zugriff sowie Open-Source-Informationen (OSINT) analysiert, um den Verkauf kompromittierter PII und PHI zu beobachten und zu sehen, wie diese Daten zur Erleichterung krimineller Aktivitäten verwendet werden können. Dieser Bericht erweitert die Erkenntnisse aus dem ersten Bericht der Insikt Group Fraud Series „ Das Geschäft mit dem Betrug: Ein Überblick darüber, wie Cyberkriminalität monetarisiert wird“.

Anmerkung des Herausgebers: Diese Untersuchung umfasst den Zeitraum von Januar bis Dezember 2021. Seitdem sind die folgenden Dark-Web-Quellen nicht mehr in Betrieb: UNICC Shop (Januar 2022), ToRReZ Market (Januar 2022) und Amigos Market (Januar 2022).

Executive Summary

Persönlich identifizierbare Informationen (PII) und Patientengesundheitsinformationen (PHI) sind bei kriminellen Quellen sowohl im Clearnet als auch im Darknet begehrte Daten. Unsere Untersuchungen ergaben, dass Bedrohungsakteure verschiedene Angriffsmethoden verwenden, darunter Social Engineering und Infostealer-Malware-Varianten, um an die PII oder PHI des Opfers zu gelangen. Sobald diese Daten gesammelt wurden, machen Bedrohungsakteure daraus Geld über traditionelle cyberkriminelle Quellen (Dark Web, einschließlich Foren, Marktplätze und Shops) und Messaging-Plattformen. Bedrohungsakteure, die am Kauf und Verkauf von PII- und PHI-Daten interessiert sind, verbessern ständig ihre Taktiken, Techniken und Verfahren (TTPs). Anbieter verkaufen maßgeschneiderte Dienste und Methoden, die den Zugriff auf Konten mit vertraulichen Benutzerdaten, Methoden zum Umgehen von Sicherheitsmaßnahmen und gefälschte Dokumente umfassen.

Wichtige Urteile

• Bedrohungsakteure verfügen über verschiedene Tools und Funktionen, die den Zugriff auf die Netzwerke der Opfer erleichtern, um PII- und PHI-Daten zu sammeln und zu stehlen.
• Finanziell motivierte Bedrohungsakteure werden weiterhin alle Aspekte des cyberkriminellen Ökosystems (Foren, Marktplätze, Shops und Messaging-Plattformen) nutzen, um kompromittierte PII und PHI zu bewerben, zu diskutieren, zu verkaufen und zu kaufen. Jeder der vier oben genannten Quellentypen ist unabhängig, aber alle weisen Überschneidungen auf, die Cyberkriminalität ermöglichen.
• Neben dem Dark Web und Quellen mit speziellem Zugriff, die auf die Auflistung kompromittierter Benutzerkonten mit personenbezogenen Daten spezialisiert sind, sind auch Quellen mit niedrigen Eintrittsbarrieren, wie etwa Dark Web-Marktplätze, attraktive Ziele für Bedrohungsakteure, um Scans und gefälschte Dokumente mit personenbezogenen Daten zu kaufen und zu verkaufen.
• Erpressungswebsites mit Ransomware sind für Bedrohungsakteure eine weitere attraktive Quelle für die Beschaffung personenbezogener Daten und geschützter Gesundheitsinformationen, da ihre Aufzeichnungen geschützte Daten enthalten, die zum kostenlosen Download zur Verfügung gestellt werden, wenn die Opfer kein Lösegeld zahlen. Es ist anzunehmen, dass es diese Erpresser-Websites auch in absehbarer Zukunft noch geben wird, da sich diese Methode zur Erpressung von Lösegeld als wirksam erwiesen hat.

Anmerkung der Redaktion: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.