TLS-Zertifikate mit Wrap-Around-Diensten

Venafi®, der führende Anbieter für den Schutz von Maschinenidentitäten, gibt die ersten Ergebnisse einer wissenschaftlichen Untersuchung über die Verfügbarkeit von SSL/TLS-Zertifikaten im Darknet und ihre Bedeutung für die Cyberkriminalität bekannt. Die von Venafi geförderte Forschung, wurde von Security-Forschern der Evidence-based Cyber Security Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey durchgeführt. Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten wurden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.

„Diese Untersuchung zeigt den zügellosen Verkauf von TLS-Zertifikaten im Darknet auf“, sagt Kevin Bocek, VP Security Stragegy & Threat Intelligence bei Venafi. „TLS-Zertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil von Cyberkriminal-Toolkits – genau wie Bots, Ransomware und Spyware. Es gibt noch viel mehr Forschungsarbeit in diesem Bereich zu leisten, aber jede Organisation sollte darüber besorgt sein, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nun als Ware an Cyberkriminelle verkauft werden.“

Zu den wichtigsten Ergebnissen der Studie gehören:

• Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
• Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
• Forscher haben erweiterte Validierungszertifikate gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind.
• Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen – einschließlich DUNS-Nummern – auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Eine repräsentative Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.

„Ein sehr interessanter Aspekt dieser Forschung war, dass TLS-Zertifikate mit Wrap-Around-Diensten – wie z.B. Webdesign-Diensten – verpackt wurden, um Angreifern sofortigen Zugang zu einem hohen Maß an Online-Glaubwürdigkeit und Vertrauen zu geben,“ sagt der Sicherheitsforscher Dr. David Maimon, Associate Professor und Director der Evidence-based Cybersecurity Research Group. „Es war überraschend zu entdecken, wie einfach und kostengünstig es ist, erweiterte Validierungszertifikate zu erwerben, zusammen mit allen Unterlagen, die notwendig sind, um sehr glaubwürdige Briefkastenfirmen ohne Verifizierungsinformationen zu gründen.“

Um eine Kopie des Berichts herunterzuladen, besuchen Sie bitte die Website: https://www.venafi.com/TLS-Certificates-and-Their-Prevalence-on-the-Darknet