Cyberkriminelle verkaufen Zugänge zu gehackten Netzwerken

Die Cybersicherheitsfirma Group-IB hat bei der Analyse von Aktivitäten in Untergrundforen festgestellt, dass Hacker immer häufiger Zugänge zu kompromittierten Unternehmensnetzwerken zum Verkauf anbieten. Sehr häufig werden die Zugänge demnach für Ransomware-Angriffe benutzt.

Die Zahl der angebotenen gehackten Netzwerke verdreifachte sich den Forschern zufolge zwischen 2020 und 2021. Bei den Zugängen handelt es sich oftmals um Anmeldedaten für virtuelle private Netzwerke (VPN) und RDP-Verbindungen (Remote Desktop Protocol). Veräußert werden aber auch Web Shells, Reverse Shell und sogar Penetration-Testing-Tools wie Cobalt Strike.

2020 fanden die Forscher in Untergrund-Foren 362 Angebote für gehackte Netzwerke. In diesem Jahr sind es bereits 1099. Den Anstieg bezeichnete Group-IB als “einen der deutlichsten Trends in Untergrund-Foren”.

Die Zugänge gehören zu Unternehmen verschiedenster Branchen, darunter Fertigungsbetriebe, Bildungseinrichtungen, Finanzdienstleister und Gesundheitsanbieter. Die Preise für die Zugänge variieren zudem deutlich – manchmal liegen sie laut Group-IB im Bereich mehrerer Tausend Dollar. Vor allem für Ransomware-Gruppen rechnen sich solche Investitionen schnell bei einem erfolgreichen Angriff.

Den florierenden Handel mit gehackten Netzwerken begründen die Forscher mit der gestiegenen Nachfrage infolge des bei Cyberkriminellen inzwischen sehr beliebten Geschäftsmodells Ransomware. Um eine Erpressersoftware einzuschleusen, benötigen die Hintermänner einen Zugang zu einem Netzwerk. Es sei einfacher, einen solchen Zugang zu kaufen, als ein Netzwerk selbst zu knacken.

Die Untersuchung von Group-IB legt aber auch die Vermutung nahe, dass die Zunahme von Remote-Arbeitsplätzen ausgelöst durch die Corona-Pandemie den Handel mit gehackten Netzwerken begünstigt. Der kurzfristige Umstieg auf Remote-Arbeitsplätze habe dazu geführt, das Organisationen unbeabsichtigt unsichere oder falsch konfigurierte Anwendungen einsetzen, die wiederum leicht von Cyberkriminellen zu knacken seien.

Unternehmen können sich vor Attacken auf bekannte Schwachstellen unter anderem durch die regelmäßige und zeitnahe Installation von Patches schützen. Auch die Verwendung starker Passwörter sowie der Einsatz einer mehrstufigen Authentifizierung kann Brute-Force-Angriffe abwehren, was Unbefugten weniger Möglichkeiten bietet, ein Netzwerk zu knacken.