Initial Access Brokers
Cyber-Kriminelle bieten Firmenzugänge im Dark Net zum Schnäppchenpreis an
Neuer Bericht von Check Point und Cyberint beleuchtet das Geschäftsmodell der Initial Access Brokers
Zugangsdaten zu Unternehmensnetzwerken sind im Dark Net gefragter denn je – und dabei oft erschreckend günstig. Laut einem aktuellen Bericht von Check Point Software Technologies, erstellt von der neu integrierten Cyber-Security-Einheit Cyberint, kosten 58 Prozent aller von sogenannten Initial Access Brokers (IAB) erbeuteten Zugangsdaten weniger als 1.000 US-Dollar. Besonders gefragt: Administrator-Konten, deren Häufigkeit im Angebot um über 100 Prozent gestiegen ist.
Initial Access Brokers sind spezialisierte Hacker, die sich auf den Erstzugriff auf Netzwerke und Systeme konzentrieren. Anstatt selbst einen vollständigen Cyberangriff auszuführen, verkaufen sie ihre Zugangsmöglichkeiten an andere Cyberkriminelle – etwa Ransomware-Gruppen. Dieses Geschäftsmodell senkt die Einstiegshürden für kriminelle Akteure erheblich und fördert die Professionalisierung von Ransomware-as-a-Service (RaaS)-Strukturen.
Die Analyse basiert auf Daten, die Cyberint über zweieinhalb Jahre hinweg in bekannten Dark-Web-Foren wie Ramp, Breach, XSS und Exploit gesammelt hat. Besonders auffällig: Die USA waren 2024 das am häufigsten anvisierte Ziel von IAB (31 Prozent), während auch Frankreich und Brasilien stark betroffen waren. Insgesamt stieg das Angebot an Unternehmenszugängen in den zehn am meisten betroffenen Ländern um 90 Prozent. Die Angreifer scheinen gezielt Länder mit hohem wirtschaftlichem Potenzial oder besonders sensiblen Daten zu ins Visier zu nehmen.
Deutschland blieb bislang vergleichsweise verschont, befindet sich aber dennoch auf Platz 10 der am häufigsten betroffenen Länder – ein Warnsignal für Unternehmen, ihre Cybersicherheitsstrategien weiter zu verschärfen.
Marco Eggerling, Global CISO bei Check Point Software Technologies , schätzt die Lage für Deutschland ein:
„Angesichts der zunehmenden Berichterstattung über erfolgreiche Cyber-Angriffe in Deutschland im vergangenen Jahr ist es nur eine Frage der Zeit, bis auch Industrieländer mit einer Vielzahl wertvoller Mittelstandsunternehmen und Großkonzerne zunehmend im Fokus solcher Angreifer stehen. Die Bedrohung durch Identitäts- und Account-Betrug wird in Zukunft zweifellos an Bedeutung gewinnen. Aus diesem Grund bleibt die oberste Priorität weiterhin, eine robuste Passwortpolitik strikt aufrechtzuerhalten und durchzusetzen. Darüber hinaus muss die Einführung von Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) für sämtliche Identity Services eine Pflichtmaßnahme sein – und zwar sowohl für Cloud-Umgebungen als auch für hybride sowie On-Premise-Systeme, die kontinuierlich gepflegt und geprüft werden müssen. Darüber hinaus empfiehlt es sich, fortlaufend mit leistungsfähigen Technologien und Tools, wie von Check Points Cyberint, die Hacker-Foren im Dark Net nach gestohlenen Zugangsdaten des eigenen Unternehmens zu durchsuchen. Nur durch vorrausschauende, umfassende und mehrschichtige Sicherheitsmaßnahmen kann langfristig gewährleistet werden, dass Unternehmen nicht nur in der Gegenwart, sondern auch in der Zukunft gegen die jeweils aktuellen Bedrohungen gewappnet sind.“
IAB zielen auf verschiedene Branchen, wobei der Sektor der Unternehmensdienstleistungen am häufigsten betroffen ist, ähnlich wie bei Ransomware-Trends. Der Einzelhandel ist 2023 und 2024 durchgehend unter den Top 3 geblieben, aber die Fertigungsindustrie hat sich 2024 als wachsender Schwerpunkt erwiesen und ist in die Top 3 aufgestiegen. Die Streuung der anvisierten Unternehmen hat ebenfalls zugenommen.
Im Jahr 2024 hat sich der Fokus auf kleinere Organisationen verlagert, möglicherweise aufgrund der oft schwächeren IT-Abwehr. Die meisten Organisationen liegen im Bereich von 5 bis 50 Millionen US-Dollar, was 60,5 Prozent aller zum Verkauf stehenden Zugangslisten entspricht.
Dazu passt, dass 53 Prozent der erfolgreich attackierten Endpunkte auf den Windows Defender allein als Verteidigung setzten.
Die Konzentration auf die kleinen und mittleren Unternehmen (KMU) aber hat den durchschnittlichen Umsatz der Cyber-Kriminellen von 1,38 Milliarden US-Dollar im Jahr 2023 auf 1,28 Milliarden US-Dollar im Jahr 2024 gesenkt.
Es gibt drei Haupttypen von IAB, welche die meisten Ransomware-Angriffe derzeit antreiben. Im Jahr 2023 waren IAB, die Zugänge zu Servern anboten, welche wegen eines ungesicherten Remote Desktop Protocol (RDP) anfällig waren, am häufigsten zum Verkauf gestanden (>60 Prozent). Im Jahr 2024 nahm der VPN-Zugang jedoch stark zu (33 Prozent) während RDP-Zugänge nachließen (55 Prozent).
Zudem unterscheiden die IAB zwischen der Wertigkeit der Zugangsdaten, das heißt: Wie viele Privilegien stehen dem Käufer über das Benutzerkonto zur Verfügung? Die Top-3-Varianten legten stark zu, wobei den größten Zuwachs die normalen Domain-Nutzer verzeichneten (447 Prozent). Lokale Administratoren stiegen um 161 Prozent, Domain-Administratoren um 144 Prozent.
Die meisten IAB-Einnahmen fallen in eine Preisspanne von 500 bis 3000 US-Dollar (86 Prozent) für den Zugang zu Unternehmen, obwohl gelegentlich hochwertige Angebote erscheinen, die 10 000 US-Dollar übersteigen.
Das Fazit der Sicherheitsforscher lautet, dass eindeutig zu wenige Unternehmen auf einen mehrschichtigen Sicherheitsansatz setzen, sondern sich auf eine Ebene allein verlassen. Wird diese Überwunden, ist das Tor zum Netzwerk offen.