Bericht: Cyberkriminelle bezahlen Millionen Dollar für Zero-Day-Lücken

Der Sicherheitsanbieter Digital Shadows hat Kommunikation zu Zero-Day-Lücken in Hackerforen überwacht und ausgewertet. Dabei stellten die Forscher fest, dass für bestimmte unbekannte Schwachstellen Preise von bis zu 10 Millionen Dollar verhandelt werden, wie BleepingComputer berichtet. Solche Summen würden inzwischen nicht mehr nur von staatlich unterstützten Hackern, sondern auch von gewöhnlichen Cyberkriminellen bezahlt.

Im Mai bot demnach ein Nutzer 25.000 Dollar für einen Proof-of-Concept-Exploit für eine kritische Sicherheitslücke in Pulse Secure VPN, die bereits seit April von Angreifern ausgenutzt wurde. Ein andere Nutzer wollte indes bis zu 3 Millionen Dollar für eine Anfälligkeit bezahlen, die eine Remotecodeausführung unter Windows und Linux ermöglicht, und zwar ohne Interaktion mit einem Nutzer.

Solche Sicherheitslücken gelten tatsächlich als besonders wertvoll. So zahlt das auf den Ankauf von Zero-Day-Lücken spezialisierte Unternehmen Zerodium für einen vergleichbaren Bug in Windows 10 allerdings lediglich eine Million Dollar. Die höchsten Prämien bietet Zerodium für Schwachstellen, die es ohne Interaktion erlauben, eine Schadsoftware dauerhaft unter Android oder iOS einzurichten – 2,5 Millionen Dollar sind es für Android und 2 Millionen Dollar für iOS, wie BleepingComputer anmerkt.

Dem Bericht zufolge diskutieren Cyberkriminelle in den einschlägigen Foren aber auch Alternativen zum Kauf von Zero-Day-Lücken. So sollen sie sich auch mit dem Thema “Exploit-as-a-Service” beschäftigen, also der Möglichkeit, Zero-Day-Lücken an mehrere Parteien zu vermieten. Dies soll nach Ansicht von Digital Shadows auch eine Option sein, um eine Zero-Day-Lücke zu monetisieren, während deren Entdecker von auf einen passenden Käufer wartet.