Home » Fachbeiträge » Cybersecurity » Goldgrube Zugangsdaten

Das Geschäftsmodell der Traffers: Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

·

Redaktion IT-SICHERHEIT (cs)

3 Min. Lesezeit
Anonymus Figur mit Smartphone und rotem Datenschutz-Symbol
Bild: canva.com

Dabei handelt es sich um gut organisierte cyberkriminelle Gruppen, die sich auf den Diebstahl von Zugangsdaten spezialisiert haben. Doch wie gehen sie vor? Und wie können sich Unternehmen dagegen wappnen?

Was Traffers am meisten von anderen Cyberkriminellen unterscheidet, ist ihr Geschäftsmodell, das eine spezielle Rekrutierung, Schulung und Entlohnung beinhaltet. Sie setzen verschiedene Arten von Malware ein, um Anmeldedaten zu stehlen. Um die Malware so weit wie möglich zu verbreiten, haben sie eine Struktur von Produkt- und Dienstleistungsanbietern aufgebaut sowie Marktplätze in Form von Telegram-Kanälen geschaffen. So werden die Verbreitung der Malware und der Verkauf von gestohlenen Zugangsdaten erleichtert.

Eine Rekrutierungsanzeige.
Bild: Outpost24

Eine Rekrutierungsanzeige in einem Forum, welche die verwendeten Stealer sowie die Gewinnverteilung hervorhebt

Um die Malware (Stealers) zu verteilen, locken Traffers ihre potenziellen Opfer mit Google- und Facebook-Anzeigen oder YouTube-Videos auf betrügerische Inhalte. Ihre innovative Vorgehensweise und ihre komplexe Struktur machen sie zu einer wachsenden Bedrohung im digitalen Raum.

Mitarbeiter verdienen bis zu 13.200 US-Dollar im Monat

Die Organisation von Traffers-Gruppen gleicht einer Pyramide: An der Spitze stehen die Administratoren. Ihre Aufgabe ist es, die Anfangsinvestitionen zu verwalten, beispielsweise den Kauf von Malware oder die Gründung von Premium Telegram-Konten für die Gruppe. Außerdem sind sie für die Entwicklung und das Testen der Malware, für die Infrastruktur sowie die Rekrutierung von Teammitgliedern verantwortlich. Den Hauptteil beziehungsweise die Basis der Pyramide bildet das Traffers-Team, das sich aus Personen mit grundlegenden Computerkenntnissen und bisher wenig Erfahrung in kriminellen Cyberaktivitäten zusammensetzt.

Sie werden in verschiedenen Techniken zur Erstellung und Verbreitung von Malware sowie zur Extraktion von Zugangsdaten geschult, bevor man sie in kriminelle Operationen einbindet. Neue Mitglieder, die ein Teil einer Traffer-Organisation werden wollen, müssen oftmals einen Bewerbungsprozess durchlaufen, der dem eines „legalen“ Unternehmens in nichts nachsteht. Sobald dieser Prozess abgeschlossen ist und das neue Mitglied von einem Administrator überprüft wurde, ist die Person ein fester Bestandteil der Gruppe.

Arbeitsablauf einer Traffersgruppe
Bild: Outpost24

Arbeitsablauf einer Traffersgruppe

Danach kann es auch schon losgehen: Sobald die Schadsoftware heruntergeladen wurde, kann der Angreifer damit beginnen, sie auf möglichst vielen Geräten zu verbreiten. Das geschieht in der Regel über YouTube-Videos, Google-Anzeigen sowie betrügerische Inhalte in den sozialen Medien oder im Bundle mit Tools, die sich das Opfer von dubiosen Quellen herunterlädt. Hat die Malware dann ein System erfolgreich infiziert, wird dieses nach wertvollen Daten wie Anmeldeinformationen, Browserverläufen, Session-
Cookies, vertraulichen Dateien, Systemdaten, E-Wallet-Informationen, Cryptowallets und Wi-Fi-Passwörtern durchsucht und diese zurück zum Server der Traffers gesendet. Die Cyberkriminellen bieten die gestohlenen Informationen anschließend in speziellen Telegram-Kanälen zum Kauf an. Die Preise variieren stark und reichen von wöchentlichen Abonnementgebühren von 35 US-Dollar über monatliche Gebühren von 80 US-Dollar bis hin zu einem lebenslangen Zugang ab 666 US-Dollar.

Anzeige zum Verkauf der Logs via Abomodell
Bild: Outpost24

Anzeige zum Verkauf der Logs via Abomodell

Das Vier-Phasen-Prinzip

Um Malware möglichst schnell und weit zu verbreiten, gehen Kriminelle nach einem Vier-Phasen-Prinzip vor.

  • Die erste Phase umfasst die Quellen und Techniken, also Schadsoftware, Phishing, Man-in-the-Middle, Brute-Force, DNS-Hijacking sowie das Ausnutzen von Sicherheitslücken und andere technische und nichttechnische Methoden.
  • Die zweite Phase ist die Filterung und Extraktion.
  • Der dritte Abschnitt steht dann für die Validierung. Das machen die Traffers in der Regel nicht selbst, sondern beauftragen andere Gruppen, die sich darauf spezialisiert haben. So entstehen ganze Wertschöpfungsketten rund um die gestohlenen Daten.
  • In der vierten und letzten Phase nutzen die Cyberkriminellen die gestohlenen Zugangsdaten schließlich für Erpressungen, Ransomware-Angriffe, Identitätsdiebstahl oder einfach nur für den Zugang zu Werbe- und YouTube-Accounts, die der weiteren Verbreitung der Malware dienen.

Fazit

Um sich vor dem Diebstahl von Anmeldeinformationen und besonders vor Traffers und deren Malware zu schützen, können Sicherheitsverantwortliche Cyber-Threat-Intelligence-Lösungen einsetzen, die das Dark Web nach gestohlenen Daten durchsuchen und rechtzeitig Gegenmaßnahmen sowie Präventivmaßnahmen einleiten, um weitere Vorfälle zu verhindern.

Darüber hinaus liefern Informationen aus dem Dark Web Indikatoren dafür, ob die Organisation möglicherweise im Visier von Cyberkriminellen steht. Denn Cyber-Threat-Intelligence sammelt, verarbeitet und analysiert auch die Motive und Taktiken sowie Techniken und Verfahren potenzieller Angreifer. So können Sicherheitsverantwortliche frühzeitig fundierte Entscheidungen zur Bekämpfung von unternehmens- oder branchenspezifischen Bedrohungen treffen.

Stealer Price Evolution 2018-2022.
Bild: Outpost24

Gestiegene Malwarepreise fordern Arbeitsteilung und Spezialisierung bei der Distribution und Verwertung der gestohlenen Credentials

Stephan Halbmeier ist Product Specialist bei Outpost24.

Stephan Halbmeier ist Product Specialist bei Outpost24.

Andere interessante Fachbeiträge

Person nutzt Cloud Computing

Die zehn häufigsten Probleme bei der Anwendungssicherheit

Von ineffizienten DNS-Methoden bis zu ausufernden Latenzzeiten – die Bereitstellung von Anwendungen, Programmierschnittstellen (APIs) und generativer künstlicher Intelligenz (GenAI...

Cybersecurity
Hand greift nach einem KI-generierten Gesicht auf einem Bildschirm

Die KI-Flüsterer

Die Integration von künstlicher Intelligenz (KI) hat die Cybersicherheitsstrategien weltweit neu definiert. KI-gestützte Angriffe entwickeln sich rasant, was traditionelle Abwehrte...

Security Management
Autonomes AI-System

Autonome KI-Agenten für das Incident-Management

KI-Agenten erweitern die Funktionalität von Sprachmodellen und RAG-Systemen, indem sie Werkzeuge integrieren, die Echtzeitzugriff auf Informationen ermöglichen, Handlungsoptionen v...

Cybersecurity