Home » Fachbeiträge » Cybersecurity » Goldgrube Zugangsdaten

Das Geschäftsmodell der Traffers: Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

3 Min. Lesezeit
Bild: canva.com

Dabei handelt es sich um gut organisierte cyberkriminelle Gruppen, die sich auf den Diebstahl von Zugangsdaten spezialisiert haben. Doch wie gehen sie vor? Und wie können sich Unternehmen dagegen wappnen?

Was Traffers am meisten von anderen Cyberkriminellen unterscheidet, ist ihr Geschäftsmodell, das eine spezielle Rekrutierung, Schulung und Entlohnung beinhaltet. Sie setzen verschiedene Arten von Malware ein, um Anmeldedaten zu stehlen. Um die Malware so weit wie möglich zu verbreiten, haben sie eine Struktur von Produkt- und Dienstleistungsanbietern aufgebaut sowie Marktplätze in Form von Telegram-Kanälen geschaffen. So werden die Verbreitung der Malware und der Verkauf von gestohlenen Zugangsdaten erleichtert.

Bild: Outpost24

Eine Rekrutierungsanzeige in einem Forum, welche die verwendeten Stealer sowie die Gewinnverteilung hervorhebt

Um die Malware (Stealers) zu verteilen, locken Traffers ihre potenziellen Opfer mit Google- und Facebook-Anzeigen oder YouTube-Videos auf betrügerische Inhalte. Ihre innovative Vorgehensweise und ihre komplexe Struktur machen sie zu einer wachsenden Bedrohung im digitalen Raum.

Mitarbeiter verdienen bis zu 13.200 US-Dollar im Monat

Die Organisation von Traffers-Gruppen gleicht einer Pyramide: An der Spitze stehen die Administratoren. Ihre Aufgabe ist es, die Anfangsinvestitionen zu verwalten, beispielsweise den Kauf von Malware oder die Gründung von Premium Telegram-Konten für die Gruppe. Außerdem sind sie für die Entwicklung und das Testen der Malware, für die Infrastruktur sowie die Rekrutierung von Teammitgliedern verantwortlich. Den Hauptteil beziehungsweise die Basis der Pyramide bildet das Traffers-Team, das sich aus Personen mit grundlegenden Computerkenntnissen und bisher wenig Erfahrung in kriminellen Cyberaktivitäten zusammensetzt.

Sie werden in verschiedenen Techniken zur Erstellung und Verbreitung von Malware sowie zur Extraktion von Zugangsdaten geschult, bevor man sie in kriminelle Operationen einbindet. Neue Mitglieder, die ein Teil einer Traffer-Organisation werden wollen, müssen oftmals einen Bewerbungsprozess durchlaufen, der dem eines „legalen“ Unternehmens in nichts nachsteht. Sobald dieser Prozess abgeschlossen ist und das neue Mitglied von einem Administrator überprüft wurde, ist die Person ein fester Bestandteil der Gruppe.

Bild: Outpost24

Arbeitsablauf einer Traffersgruppe

Danach kann es auch schon losgehen: Sobald die Schadsoftware heruntergeladen wurde, kann der Angreifer damit beginnen, sie auf möglichst vielen Geräten zu verbreiten. Das geschieht in der Regel über YouTube-Videos, Google-Anzeigen sowie betrügerische Inhalte in den sozialen Medien oder im Bundle mit Tools, die sich das Opfer von dubiosen Quellen herunterlädt. Hat die Malware dann ein System erfolgreich infiziert, wird dieses nach wertvollen Daten wie Anmeldeinformationen, Browserverläufen, Session-
Cookies, vertraulichen Dateien, Systemdaten, E-Wallet-Informationen, Cryptowallets und Wi-Fi-Passwörtern durchsucht und diese zurück zum Server der Traffers gesendet. Die Cyberkriminellen bieten die gestohlenen Informationen anschließend in speziellen Telegram-Kanälen zum Kauf an. Die Preise variieren stark und reichen von wöchentlichen Abonnementgebühren von 35 US-Dollar über monatliche Gebühren von 80 US-Dollar bis hin zu einem lebenslangen Zugang ab 666 US-Dollar.

Bild: Outpost24

Anzeige zum Verkauf der Logs via Abomodell

Das Vier-Phasen-Prinzip

Um Malware möglichst schnell und weit zu verbreiten, gehen Kriminelle nach einem Vier-Phasen-Prinzip vor.

  • Die erste Phase umfasst die Quellen und Techniken, also Schadsoftware, Phishing, Man-in-the-Middle, Brute-Force, DNS-Hijacking sowie das Ausnutzen von Sicherheitslücken und andere technische und nichttechnische Methoden.
  • Die zweite Phase ist die Filterung und Extraktion.
  • Der dritte Abschnitt steht dann für die Validierung. Das machen die Traffers in der Regel nicht selbst, sondern beauftragen andere Gruppen, die sich darauf spezialisiert haben. So entstehen ganze Wertschöpfungsketten rund um die gestohlenen Daten.
  • In der vierten und letzten Phase nutzen die Cyberkriminellen die gestohlenen Zugangsdaten schließlich für Erpressungen, Ransomware-Angriffe, Identitätsdiebstahl oder einfach nur für den Zugang zu Werbe- und YouTube-Accounts, die der weiteren Verbreitung der Malware dienen.

Fazit

Um sich vor dem Diebstahl von Anmeldeinformationen und besonders vor Traffers und deren Malware zu schützen, können Sicherheitsverantwortliche Cyber-Threat-Intelligence-Lösungen einsetzen, die das Dark Web nach gestohlenen Daten durchsuchen und rechtzeitig Gegenmaßnahmen sowie Präventivmaßnahmen einleiten, um weitere Vorfälle zu verhindern.

Darüber hinaus liefern Informationen aus dem Dark Web Indikatoren dafür, ob die Organisation möglicherweise im Visier von Cyberkriminellen steht. Denn Cyber-Threat-Intelligence sammelt, verarbeitet und analysiert auch die Motive und Taktiken sowie Techniken und Verfahren potenzieller Angreifer. So können Sicherheitsverantwortliche frühzeitig fundierte Entscheidungen zur Bekämpfung von unternehmens- oder branchenspezifischen Bedrohungen treffen.

Bild: Outpost24

Gestiegene Malwarepreise fordern Arbeitsteilung und Spezialisierung bei der Distribution und Verwertung der gestohlenen Credentials

Stephan Halbmeier ist Product Specialist bei Outpost24.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Pentests: Fusionen, Übernahmen und Expansionen absichern

Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.

Welche Backup-Lösung für Microsoft 365?

Bei der Abwehr von Cyberangriffen spielt die Datensicherung eine zentrale Rolle. Im Fall eines Angriffs müssen Unternehmen schnell reagieren können, indem sie ihre wichtigsten Daten und Anwendungen schützen und wiederherstellen. Unser Autor erklärt, wie Unternehmen ihre Daten in Microsoft-365-Produkten sichern können und worauf sie beim Kauf einer Backup-Lösung für den Dienst achten sollten.