Executive Summary

Da die Zahl der betroffenen Opfer jedes Jahr steigt, stellen Datenbankverletzungen und -freigaben heutzutage einige der schwerwiegendsten Bedrohungen für Unternehmen dar. Bei diesen Verstößen werden Millionen vertraulicher Informationen gefährdet, beispielsweise personenbezogene Daten (PII), Anmeldeinformationen, Zahlungsinformationen und geschützte Daten. Kriminelle verschaffen sich über verschiedene Taktiken, Techniken und Verfahren (TTPs) Zugriff auf die Daten, beispielsweise durch Phishing, Malware, Ausnutzen vorhandener Schwachstellen in Software, Insider-Bedrohungen, Wiederverwendung von Passwörtern und eine Reihe anderer Methoden, wobei sie Lücken in der Sicherheitsinfrastruktur ausnutzen. Nach dem Eindringen in das Netzwerk einer Organisation können Kriminelle selbst auf die Daten zugreifen oder die Zugriffe bei Auktionen im Darknet versteigern. Die dadurch gesammelten Informationen führen wiederum häufig zu weiteren Verstößen durch Techniken wie Business E-Mail Compromise (BEC).

Wichtige Urteile

• Recorded Future hat beobachtet, dass Cyberkriminelle mithilfe verschiedener TTPs Zugriff auf Netzwerke erhalten, darunter kompromittierte Software von Drittanbietern, Domänencontroller, Remote Desktop Protocols (RDP), virtuelle private Netzwerke (VPN), Internet-Router, Web Shell- und Powershell-Angriffe, kompromittierte Anmeldeinformationen oder Remote Access Trojaner (RATs).
• Analysen von Recorded Future zeigen, dass folgende Branchen am stärksten betroffen sind: Gesundheitswesen, Bildung, Transport, Logistik, Reise- und Gastgewerbe sowie Finanzen.
• Durch Datenbankverletzungen erhält die Schattenwirtschaft einen Zufluss neuer Daten, die auf verschiedene Weise verwendet werden können, beispielsweise für Spamming und Phishing, Credential-Stuffing-Angriffe, Social Engineering, Business E-Mail Compromise (BEC), Steuerbetrug und verschiedene andere Formen des Finanzbetrugs.
• Recorded Future stellte fest, dass durchgesickerte Datenbanken hauptsächlich durch ihren Verkauf über offene Auktionen, Direktverkäufe oder abonnementbasierte Dienste monetarisiert werden.

Hintergrund

Ein Datenbankverstoß ist an sich kein Angriff (obwohl manche Angriffe die Folge von solchen sein können), sondern vielmehr die Folge davon, dass sich Cyberkriminelle unbefugten Zugriff auf ein Netzwerk verschaffen. Dieser Zugriff bietet Cyberkriminellen erhebliche Möglichkeiten zur Rechteausweitung, Datenexfiltration und anderen Auswirkungen. Ransomware-Betreiber können Geräte im kompromittierten Netzwerk verschlüsseln und Hacker können Datenbanken mit PII, Zahlungsdaten, PHI, Unternehmensdokumenten, E-Mail-Adressen, Berufsbezeichnungen und Organisationen, Social-Media-Profilen sowie Benutzernamen und Passwörtern von Konten exfiltrieren. Diese Leaks verschaffen der Schattenwirtschaft häufig einen Zufluss neuer Daten, die auf verschiedene Weise genutzt werden können:

• Spamming und Phishing mithilfe exfiltrierter E-Mail-Adressen
• Credential-Stuffing-Angriffe unter Verwendung exfiltrierter E-Mail-Adressen und Konten
• Finanz- und Steuerbetrug durch exfiltrierte PII
• Social Engineering unter Verwendung exfiltrierter PII
• Business-E-Mail-Compromise-Angriffe (BEC)

Die Zahl der Datenbankverletzungen steigt von Jahr zu Jahr. Laut Norton gab es im Jahr 2019 3.800 öffentlich bekannt gegebene Verstöße, bei denen 4,1 Milliarden Datensätze offengelegt wurden.

Zu den bemerkenswerten Datenbankverletzungen, die im Jahr 2019 gemeldet wurden, gehören die folgenden:

• First American Financial Corp: 885 Millionen Datensätze
• Facebook: 540 Millionen Datensätze
• Fortnite: 200 Millionen Datensätze
• Elasticsearch Cloud Storage: 108 Millionen Datensätze
• American Medical Collection Association: 20 Millionen Datensätze
• Capital One: 106 Millionen Datensätze
• Biometrische Datensätze (BioStar 2): 27 Millionen Datensätze
• Ecuadorianische Daten: 20 Millionen Datensätze
• Hostinger: 14 Millionen Datensätze
• DoorDash: 4,9 Millionen Datensätze
• Verifications[.]io: 809 Millionen Datensätze

Bedrohungsanalyse

Business-E-Mail-Betrug

Eine weitere TTP, die eng mit Datenbankverletzungen und dem Zugriff auf Netzwerke verbunden ist und häufig durch diese erleichtert wird, ist Business Email Compromise (BEC). Diese Methode ähnelt Social-Engineering- und Phishing-Techniken, da ein Bedrohungsakteur versucht, Unternehmen zu kompromittieren, indem er vorgibt, ein legitimer Mitarbeiter oder Manager des Unternehmens zu sein, den Zugriff auf seine kompromittierten E-Mail-Konten nutzt oder die Adressen fälscht, die er aus den kompromittierten Datenbanken erhalten hat. Häufig glaubt das Opfer, dass es aufgrund der Verwendung einer legitimen E-Mail-Adresse mit einem echten Mitarbeiter kommuniziert, und gibt vertrauliche Unternehmensinformationen preis oder veranlasst Überweisungen an Konten, die von Cyberkriminellen kontrolliert werden.
Laut dem Internet Crime Complaint Center (IC3) des FBI (Stand: 27. Februar 2017) "nehmen BEC-Betrügereien weiter zu, entwickeln sich weiter und zielen auf Unternehmen jeder Größe ab". Sie stellen ferner fest, dass seit Januar 2015 "die identifizierten exponierten Verluste um 1.300 % gestiegen sind und sich nun auf über 3 Milliarden US-Dollar belaufen".

Im letzten Jahr im Dark Web beobachtete BEC-Cyberangriffe. (Quelle: Aufgezeichnete Zukunft)

BEC wird oft in Kombination mit anderen TTPs wie Romance-Scams und Rentenkontobetrug durchgeführt, die darauf abzielen, Geld von Einzelpersonen zu stehlen, manchmal bis zu Millionen von Dollar.

Verstöße und Verkäufe, Schritt für Schritt

In der Vergangenheit mussten die meisten Bedrohungsakteure das Netzwerk eines Unternehmens hacken, um an deren Datenbanken und andere wertvolle Informationen zu gelangen. Mittlerweile sind viele Hackerangriffe und Exfiltrationen bereits durch Bedrohungsakteure erfolgt, die darauf spezialisiert sind, sich Zugriff zu verschaffen. Die entsprechenden Informationen werden in Foren und Märkten des Darknets zum Verkauf angeboten oder manchmal sogar kostenlos zur Verfügung gestellt. Dieser Zugriff auf Netzwerke ist oft der erste Schritt zum Hacken von Unternehmensdatenbanken, und die hochrangigen Bedrohungsakteure, die sich darauf spezialisiert haben, Zugriff darauf zu erhalten, sind wahrscheinlich der Schlüssel zu einem Großteil der Aktivitäten der Cyberkriminellen, die alles vom Diebstahl von PII und PHI (persönlichen Gesundheitsinformationen) bis hin zu Ransomware-Angriffen und Wirtschaftsspionage umfassen. Diese Kriminellen, die oft in kleinen Teams arbeiten, können den gesamten Prozess vom Zugriff auf das Netzwerk des Unternehmens bis zum Verkauf im Dark Web durchführen. In den folgenden Unterabschnitten wird dieser Vorgang ausführlicher erläutert:

1. Verkauf von Zugang zu kompromittierten Netzwerken
2. Verkauf von Datenbanken
3. Dumping kostenloser Datenbanken
4. Vertrieb neuer und zusammengesetzter Datenbanken über abonnementbasierte Dienste

1. Verkauf des Zugangs zu kompromittierten Netzwerken

Der Verkauf von Zugängen zu kompromittierten Netzwerken von Behörden, Unternehmen, Bildungseinrichtungen und anderen Einrichtungen kann ein äußerst lukratives Geschäft sein, wobei die Preise pro Zugang zwischen Hunderten und Tausenden von Dollar variieren können. Cyberkriminelle verschaffen sich auf unterschiedliche Weise Zugriff auf Netzwerke, etwa über kompromittierte Drittanbietersoftware, Remotedesktopprotokolle, virtuelle private Netzwerke, Internet-Router, durch Webshell- und PowerShell-Angriffe oder durch den Einsatz von Remote Access-Trojanern.

Analysen von Darknet-Quellen zeigen, dass Cyberkriminelle vor allem Organisationen in den folgenden Branchen ins Visier nehmen:

• Gesundheitswesen (Krankenhäuser und Arztpraxen)
• Herstellung
• Transport und Logistik (Fluggesellschaften und Logistikunternehmen, Flughäfen)
• Reise und Gastgewerbe (Hotels, Reisebüros/-dienste und Reise-Metasuchmaschinen)
• Bildung (Universitäten und Hochschulen)
• Regierung (US-Bundesstaaten- und Stadtverwaltungen, Polizeibehörden, regionale Gesundheitsbehörden, Wahlausschüsse, internationale Regierungsbehörden und Organisationen)
• Finanzen und E-Commerce (Wirtschaftsprüfungs- und Versicherungsunternehmen, Banken und E-Commerce-Organisationen)
• Recht (Anwaltskanzleien)

Bei den Opfern handelt es sich einerseits um Gelegenheitsziele, andererseits um Organisationen mit Schwachstellen. Außerdem werden Sektoren ins Visier genommen, die besonders ergiebige Felder für Dinge wie PII und PHI bieten, wie etwa Gesundheitseinrichtungen, Regierungs- und Bildungseinrichtungen, oder für Finanzinformationen, wie etwa der Finanz- und E-Commerce-Sektor.

Verkauf über Auktionen

Im Gegensatz zu anderen Produkten und Dienstleistungen, die auf Darknet-Ressourcen zu einem Festpreis zum Verkauf angeboten werden, werden viele der aufgelisteten kompromittierten Daten normalerweise über Auktionen verkauft. Die Auktionen gelten als fairer und offener Mechanismus zur Durchführung von Verkäufen in Darknet-Foren, bei dem den Teilnehmern (Bedrohungsakteuren) Preise angeboten werden, die sie für angemessen halten. Ein hochrangiges Forum im Dark Web stellt beispielsweise strenge Anforderungen, die alle Mitglieder einhalten müssen:

• Der Verkäufer muss das ersteigerte Produkt oder die Dienstleistung verkaufen, wenn es gekauft wird (er kann nicht vom Geschäft zurücktreten)
• Der Verkäufer gibt einen Startpreis, einen Gebotsschritt und das Höchstgebot bekannt, mit dem das Produkt oder die Dienstleistung direkt erworben werden kann, ohne an der Auktion teilzunehmen.
• Der Käufer, der einen Preis anbietet, muss das ersteigerte Produkt oder die Dienstleistung kaufen
• Der Verkäufer und der Käufer nutzen einen Treuhandservice, um das Geschäft abzuschließen
• Wenn der Verkäufer sich weigert, einen Treuhandservice zu nutzen, kann er vom Forum ausgeschlossen werden.

Eine weitere Art des Verkaufs kompromittierter Zugriffe in Darknet-Foren ist der Direktverkauf, bei dem die oben beschriebenen Einschränkungen nicht gelten und bei dem es sich normalerweise um eine private Verhandlung zwischen Käufer und Verkäufer handelt. Der Hauptvorteil des Direktverkaufs liegt in der erhöhten Privatsphäre und Sicherheit (er kann ohne Drittgaranten über sichere Kommunikationsmethoden erfolgen).

Verkäufe über Treuhanddienste

Neben Auktionen bieten die meisten Foren der oberen und mittleren Preisklasse ihren Mitgliedern auch einen Treuhandservice an. Dabei handelt es sich um einen universellen Sicherheitsmechanismus, bei dem eine dritte Partei (ein Bedrohungsakteur oder ein automatisiertes System) zur Betrugsprävention gemäß der Vereinbarung zwischen Verkäufer und Käufer Geld erhält und auszahlt. Es gibt zwei Arten von Auktionen im Dark Web, die Treuhanddienste nutzen: reguläre und automatisierte.

Regelmäßiger Treuhandservice

Diese Funktion wird in der Regel von einem oder zwei seriösen Bedrohungsakteuren oder Forum-Mitarbeitern übernommen, die als Garanten fungieren. Ihre Benutzernamen und Kontakte sind normalerweise in den Abschnitten „Regeln“ oder „Treuhandkonto“ eines Forums aufgeführt. Sie müssen Folgendes vorlegen:

• Der Verkäufer: Sein Benutzername und Jabber-Konto
• Der Käufer: Sein Benutzername und Jabber-Konto
• Der Gegenstand des Deals mit einer detaillierten Erklärung des Produkts oder der Dienstleistung, technischen Spezifikationen usw.
• Der genaue Betrag des Geschäfts in USD und Bitcoin, einschließlich der Treuhandprovision (normalerweise beträgt die Provision 3–10 % des Listenpreises, jedoch nicht weniger als 20 USD, und wird an den Bürgen gezahlt)
• Lieferbedingungen und Überprüfung des Produkts oder der Dienstleistung
• Zusätzliche Bedingungen des Deals, falls erforderlich

Automatisierter (Auto-)Treuhandservice

Bei dieser Art von Treuhandservice handelt es sich um einen speziellen Bereich vieler Foren für Cyberkriminelle, in dem Bedrohungsakteure rund um die Uhr Geschäfte mit minimalem Risiko abwickeln können und für den keine Serviceprovision erhoben wird. Die Regeln können in den einzelnen Foren unterschiedlich sein, die wichtigsten Schritte bei einer Auktion sind jedoch die folgenden:

• Die Mitglieder verhandeln sämtliche Bedingungen des Deals privat.
• Der Käufer erstellt einen Thread im Abschnitt mit der Überschrift „Automatisierter Treuhandservice“ oder „Treuhandservice“, markiert den potenziellen Verkäufer und erläutert alle Bedingungen des Geschäfts. Der Thread ist nur für die am Deal beteiligten Parteien und die Forumsadministratoren sichtbar. Einige Foren sichern Escrow-Threads mit einem Passwort. In diesem Fall sollte der Käufer sie dem Verkäufer zur Verfügung stellen, um diesem Zugriff auf den Thread zu gewähren.
• Der Käufer gibt den Gesamtbetrag des Deals an, den er bezahlen möchte, und speichert den Thread.
• Der zweite Teilnehmer des Deals bestätigt den angebotenen Betrag und speichert diese Information.
• Der Käufer sieht die Bestätigung des Verkäufers und genehmigt den endgültigen Betrag.
• Das Treuhandsystem akzeptiert den Deal und schließt ihn erst ab, wenn der Forumsvertreter das Produkt vom Verkäufer erhält. Der Verkäufer wird automatisch durch eine private Nachricht im Forum über den Zahlungseingang informiert.
• Der automatische Treuhandservice ermöglicht den Parteien die Überweisung und Auffüllung von Geldbeträgen.

2. Verkauf von Datenbanken

Datenbankverletzungen werden über Darknet-Quellen unter Bedrohungsakteuren verkauft oder weitergegeben. Bedrohungsakteure verwenden die in diesen Datenbanken häufig vorkommenden Benutzernamen-/Passwortkombinationen für Credential-Stuffing-Angriffe gegen beliebte Onlinedienste.

Normalerweise geben Cyberkriminelle Verstöße nicht sofort bekannt. Manchmal warten sie mehrere Monate, bevor sie die Daten im Darknet verkaufen und gleichzeitig versuchen, den besten Weg zu finden, um aus dem Zugriff Geld zu machen. Viele gehackte Datenbanken werden nicht als Ganzes, sondern nur in Teilen verkauft. Ein Verkauf könnte zum Beispiel eine Kombination aus E-Mail-Adressen mit Passwörtern, Finanzinformationen, PII usw. umfassen, aber nicht alle Informationen. Nicht alle Bedrohungsakteure, die tatsächlich in Netzwerke eindringen, sind auch unbedingt deren Verkäufer. Cyberkriminelle wenden aus Sicherheitsgründen Strategien an, um ihre Verbindung zu Sicherheitsverletzungen zu verschleiern. Manchmal verwenden sie dabei mehrere Namen oder agieren innerhalb einer Gruppe. Darüber hinaus wird der Zugriff auf die Datenbank häufig von Personen verkauft, die nicht direkt am Hacken der Zielunternehmen beteiligt sind, sondern in erster Linie als Stellvertreter fungieren.

3. Dumping kostenloser Datenbanken

Zusätzlich zum Zugriff und den Datenbanken, die in Darknet-Foren verkauft werden, hat Recorded Future auch beobachtet, dass mehrere durchgesickerte Datenbanken kostenlos öffentlich in mehreren Foren im Darknet geteilt wurden.

So begann beispielsweise ein berüchtigter Bedrohungsakteur, der Ersteller und Administrator eines Forums im Darknet ist, Wählerdatenbanken aus verschiedenen US-Bundesstaaten aus den Jahren 2017 bis 2018 öffentlich zu teilen. Diese enthielten Wähler-IDs, vollständige Namen, Postanschriften, frühere Adressen, Geburtsdaten, Geschlecht, Telefonnummern, Wählerstatus und Wählerhistorie. Es wurden Datenbanken aus nahezu zwei Dutzend Staaten gemeinsam genutzt, von denen jeder zwischen Hunderttausenden und mehreren Millionen einzigartiger Datensätze enthielt.

4. Vertrieb neuer und zusammengesetzter Datenbanken über abonnementbasierte Dienste

4. Vertrieb neuer und zusammengesetzter Datenbanken über abonnementbasierte Dienste

Einige Bedrohungsakteure kaufen und sammeln durchgesickerte Datenbanken auf verschiedenen Untergrundplattformen, Filesharing-Plattformen und anderen verfügbaren Diensten, um abonnementbasierte Dienste zu organisieren, bei denen Cyberkriminelle zusammengesetzte durchgesickerte Datenbanken finden können, die sowohl verschlüsselt als auch unverschlüsselt gespeichert sind. Diese Dienste aktualisieren ihre Datenbanken regelmäßig, bieten reguläre und Premium-Mitgliedschaftspläne und sogar Kundenservice über Telegram an. Ein solcher Dienst war für 64 USD im ersten Monat und 37 USD für jeden weiteren Monat erhältlich.

Techniken zur Minderung von Netzwerkkompromittierungen

Recorded Future empfiehlt die folgenden Maßnahmen zum Schutz vor der Ausnutzung von Schwachstellen auf Websites und Netzwerken von Organisationen, die zu Datenbankverletzungen führen können:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware, Anwendungen und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz auf Spam und prüfen Sie Links und Anhänge genau, bevor Sie darauf zugreifen. Stellen Sie sicher, dass die Überwachung bösartiger Anhänge (sofern verfügbar) aktiviert ist.
• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass auf die Daten nicht über das Netzwerk zugegriffen werden kann.
• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Achten Sie insbesondere darauf, auf welche Daten jemand mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (durch Geräte- oder Kontoübernahme per Phishing). Überprüfen Sie die Zugriffskontrolle für Benutzer und stellen Sie sicher, dass die Mitarbeiter aus geschäftlichen Gründen auf die Ressourcen zugreifen müssen.
• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.
• Überwachen Sie die Sicherheit der Anbieter oder bewerten Sie Risiken, die durch die Verwendung einer Technologie von Drittanbietern weitergegeben werden könnten.
• Wenden Sie Datenverschlüsselungsstandards für gespeicherte Datenbanken an, um diese vor böswilliger Nutzung durch Personen zu schützen, die sich unbefugten Zugriff auf das interne Netzwerk der Organisation verschaffen konnten.
• Überwachen Sie verfügbare Datenbanken oder Account-Shops für Mitarbeiterkonten.

BEC-Minderungstechniken

Nach Angaben des FBI verringern diese Schritte das Risiko, durch BEC-Angriffe kompromittiert zu werden:

• Erstellen Sie Regeln für Angriffserkennungssysteme, die E-Mails mit Erweiterungen kennzeichnen, die einer Firmen-E-Mail ähneln.
• Erstellen Sie eine E-Mail-Regel, um E-Mail-Kommunikationen zu kennzeichnen, bei denen die „Antwort“-E-Mail-Adresse nicht mit der angezeigten „Von“-E-Mail-Adresse übereinstimmt.
• Unterscheiden Sie die E-Mails durch Farbcodierung und vorangestellte Tags im Betreff, damit Sie E-Mails von Mitarbeitern/internen Konten und E-Mails von Nicht-Mitarbeitern/externen Konten leichter identifizieren können.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung per SMS oder Authentifizierungsanwendungen wie Google Authenticator, Duo Mobile, FreeOTP, Authy oder Microsoft Authenticator, um sicher auf Geräte zuzugreifen.
• Bestätigen Sie Anfragen für Geldüberweisungen, indem Sie im Rahmen einer Zwei-Faktor-Authentifizierung die Telefonverifizierung verwenden. Überprüfen Sie die Nummer anhand anderer Quellen, beispielsweise der Website des Unternehmens oder vorheriger Rechnungen oder Korrespondenzen, und nicht anhand der in der E-Mail-Anfrage angegebenen Nummern.
• Recorded Future empfiehlt, den folgenden ungewöhnlichen E-Mail-Anfragen besondere Aufmerksamkeit zu schenken, um BEC-Betrug zu verhindern:
• Anfragen, bei denen die normalen Kommunikationskanäle umgangen werden und sofortige Maßnahmen wie Geldüberweisungen oder Zugriff auf Dokumente oder Informationen verlangt werden.
• Die Geschäftsleitung sendet ungewöhnliche Anfragen, insbesondere an Mitarbeiter, die nicht direkt unterstellt sind.
• Sprach-, Grammatik- oder Formatprobleme, die auf Fehler, Tippfehler und Formatierungsfehler in E-Mails hinweisen.
• Fordert den Empfänger auf, den Inhalt der E-Mail nicht an Dritte weiterzugeben.

Ausblick

Datenpannen können verheerende Auswirkungen auf den Ruf und die finanzielle Stabilität eines Unternehmens haben und weitere böswillige Aktivitäten unter Verwendung der durch die Panne erlangten Informationen und Zugriffsrechte erleichtern. Der Verkauf von Datenbankverletzungen und der daraus resultierende Informationsverlust werden auf absehbare Zeit eine der größten Cyberbedrohungen bleiben. Der Verkauf von Zugriffen durch erfahrene Bedrohungsakteure, die auf Sicherheitsverletzungen spezialisiert sind, wird damit verbundene bösartige Aktivitäten wie BEC, Steuerbetrug, Phishing, Ransomware und viele andere fördern.

Recorded Future hat die am stärksten gefährdeten Branchen ermittelt und eine Liste der Bedrohungsakteure erstellt, die an einem Großteil dieser standardisierten Aktivitäten beteiligt sind, und empfiehlt die Umsetzung der in diesem Bericht beschriebenen Minderungstechniken. Darüber hinaus wird Unternehmen dringend empfohlen, die Threads, Posts und Angebote dieser Bedrohungsakteure aufmerksam zu verfolgen, indem sie Dark-Web-Auktionen, Verkaufsthreads in den Dark-Web-Foren und -Marktplätzen sowie Untergrunddienste auf Abonnementbasis überwachen.