Dieser Bericht bietet einen Überblick über die Taktiken, Techniken und Verfahren (TTPs), die von Cyberkriminellen im Dark Web und bei speziellen Zugangsquellen verwendet werden, um Netzwerke zu kompromittieren, Infostealer-Malware einzusetzen und gültige Anmeldeinformationen zu erhalten. Diese Bedrohungsakteure, die als "Initial Access Broker" bezeichnet werden, repräsentieren eine spezialisierte Branche innerhalb des cyberkriminellen Untergrunds, die es einer deutlichen Mehrheit der Ransomware Angriffe. Dieser Bericht enthält Informationen, die mithilfe der Recorded Future® Platform, Dark-Web-Quellen und Open-Source-Intelligence-Techniken (OSINT) gesammelt wurden. Dies ist eine allgemeine Zusammenfassung der Ereigniskette, die einen Ransomware-Angriff ermöglicht. Er soll einen Überblick für Cybersicherheitsexperten mit nicht-technischem Hintergrund oder Rollen geben.

Executive Summary

Bedrohungsakteure können sich durch Infektionen mit Infostealer-Malware, Erstzugriffsvermittlungsdienste im Darknet und in Foren mit speziellem Zugang oder den Kauf von Infostealer-Protokollen in Darknet-Shops und -Marktplätzen einen Erstzugriff auf Netzwerke verschaffen. Auch andere Angriffsmethoden wie Phishing, Spearphishing und Code-Injektion sind im Darknet und in Foren mit speziellem Zugang üblich, ihre unmittelbaren Auswirkungen sind jedoch oft viel weniger öffentlich und sichtbar als der Verkauf kompromittierter Anmeldeinformationen. Am Beispiel von BlackMatter und Conti untersuchen wir die Rolle des Anmeldeinformationszugriffs bei der Ausführung des Angriffs, vom ersten Zugriff bis zur Bereitstellung der Ransomware. Wir bieten Abwehrmaßnahmen gegen Anmeldeverletzungsdelikte, Infektionen mit Infostealer-Malware und Ransomware-Angriffe sowie unsere Einschätzung zur Zukunft dieser Tools und der größeren Ransomware-Bedrohungslandschaft.

Wichtige Urteile

• Um einen erfolgreichen Ransomware-Angriff durchzuführen, benötigen Bedrohungsakteure Fernzugriff auf kompromittierte Netzwerke. Die gängigste Methode, mit der sich Bedrohungsakteure Zugriff verschaffen, ist die Verwendung kompromittierter gültiger Anmeldedatenpaare, die oft über Infostealer-Malware erlangt und im Dark Web und über Quellen mit speziellem Zugriff verkauft werden.
• Kompromittierte Anmeldeinformationen werden häufig im Darknet und in Foren und Shops mit speziellem Zugriff an Ransomware-Partner verkauft, die diese Zugriffe nutzen, um sich seitlich durch Systeme zu bewegen, Berechtigungen auszuweiten und Malware-Loader zum Bereitstellen von Ransomware zu verwenden.

Hintergrund

Bedrohungsakteure benötigen Fernzugriff auf kompromittierte Netzwerke, um erfolgreiche Angriffe durchzuführen, wie etwa die Bereitstellung von Malware-Loadern, Datenexfiltration oder Spionagekampagnen. Diese kompromittierten Zugriffsmethoden, die oft im Darknet und in Foren mit speziellem Zugriff verkauft werden, sind das Werk spezialisierter Bedrohungsakteure, die umgangssprachlich als „Initial Access Brokers“ (IAB) bezeichnet werden. IABs verwenden verschiedene Tools und TTPs, um einen solchen Zugriff zu erhalten. Dazu gehören das Erhalten gültiger Anmeldeinformationspaare und Sitzungscookies aus der erfolgreichen Bereitstellung von Infostealer-Malware, dem Kauf von Infostealer-„Protokollen“ oder „Bots“ in Darknet-Shops, Credential Stuffing, Adversary-in-the-Middle-Angriffen, Phishing, „Brute-Force-Raten“ mit dem Remote Desktop Protocol (RDP) und mehr.

Die gängigsten Anmeldedatenpaare, die im Darknet und auf Quellen mit speziellem Zugriff wie Exploit und XSS am häufigsten zum Verkauf oder in Auktionen angeboten werden, sind für virtuelle private Netzwerke (VPNs) von Unternehmen, RDP-Dienste, Citrix-Gateways, Webanwendungen und Content-Management-Systeme (CMS) sowie Webmail-Server von Unternehmen (Business E-Mail Compromise oder BEC). Weniger verbreitet, aber gefragter sind ESXi-Root- und Active Directory (AD)-Zugriffsmethoden, Zero-Day- und N-Day-Schwachstellen, Code-Injektionspunkte (HTML, SQL) und andere. In diesem Bericht wird der typische Prozess beschrieben, mit dem ein Initial Access Broker kompromittierte Zugriffsmethoden erhält und diese im Darknet und über Quellen mit speziellem Zugriff verkauft. Außerdem wird beschrieben, wie diese Methoden zur Durchführung eines erfolgreichen Ransomware-Angriffs eingesetzt werden.

Anmerkung der Redaktion: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.