Cybercrime als Service

So günstig ist ein Hack im Darknet

26.11.2019
Von  und
Dan Swinhoe schreibt für die US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Auch kriminelle Hacker beschäftigen sich mit Betriebskosten und Return on Investment. Eine aktuelle Studie zeigt, wie billig illegale Hacks im Darknet zu haben sind.

Unternehmen investieren Unsummen, um ihre Netzwerke und Assets vor kriminellen Hackern zu schützen. Kaspersky Labs beziffert das Security-Budget im Enterprise-Umfeld auf rund neun Millionen Dollar - pro Jahr. Die Folgekosten, die durch erfolgreiche Hacks noch hinzukommen, sind hier allerdings noch nicht miteinberechnet. Vorgefertigte Hacking Toolsets, die auf illegalen Darknet-Marktplätzen gehandelt werden, senken die Einstiegshürde für Cyberkriminelle - und solche, die es werden wollen - immer weiter ab.

Auf illegalen Darknet-Marktplätzen werden diverse kriminelle Services angeboten - zu erschreckend niedrigen Preisen. Eine aktuelle Studie von Deloitte zeigt, welches Ausmaß der Cybercrime-as-a-Service-Bereich inzwischen angenommen hat.
Auf illegalen Darknet-Marktplätzen werden diverse kriminelle Services angeboten - zu erschreckend niedrigen Preisen. Eine aktuelle Studie von Deloitte zeigt, welches Ausmaß der Cybercrime-as-a-Service-Bereich inzwischen angenommen hat.
Foto: bohlam - shutterstock.com

Security-Luxus vs. Hacking-Schnäppchen

Während Cyberkriminelle inzwischen für relativ kleines Geld an Zugangsdaten oder Cybercrime Tools kommen, liegen die Kosten für Unternehmen, die ihre IT gegen Eindringlinge absichern möchten, um ein Vielfaches höher. Das Portal Top 10 VPN schätzt die Kosten für die komplette, digitale Identität einer Person (inklusive Zugangsdaten für populäre Plattformen wie Amazon, Uber, Spotify, Gmail, Paypal oder Twitter) auf ungefähr 1000 Dollar. Ein einzelner dieser Zugänge kostet weniger als 100 Dollar, zumindest wenn es sich dabei nicht um ein Online-Shopping- oder Finanzportal handelt.

Eine Studie von Armor, die sich mit den illegalen Angeboten auf Hacker-Marktplätzen beschäftigt, kommt zu dem Ergebnis, das personenbezogene Daten für rund 200 Dollar über den virtuellen Ladentisch illegaler Darknet-Marktplätze gehen. Kreditkartendaten gibt es bereits ab 10 Dollar - sogar Zugangsdaten für Online-Banking kosten durchschnittlich nur 1000 Dollar (selbst wenn das betreffende Konto ein Guthaben von mehr als 15.000 Dollar aufweist). Ältere Informationen und Daten werden in manchen Fällen sogar kostenlos abgegeben. Das steht in krassem Gegensatz zu den Geldstrafen, die Unternehmen bei Datenverlusten drohen. Laut dem aktuellen "Cost of Data Breach" Report von IBM kostet der Verlust eines einzelnen Datensatzes ein Unternehmen durchschnittlich 233 Dollar. In Branchen, die starken Regulationen unterworfen sind, können diese Kosten weitaus höher ausfallen.

Malware ist laut Top 10 VPN bereits ab 45 Dollar erhältlich. Entsprechende Tutorials, die zeigen, wie man einen Hack initiiert, gibt es für ein Taschengeld von fünf Dollar. Wirklich teuer wird es für kriminelle Hacker nur, wenn es ein Zero Day Exploit (ab circa 3000 Dollar) oder beispielsweise ein "Cell Tower Simulation Kit" (circa 28.000 Dollar) sein soll, mit dem sich Anrufdaten abfangen lassen.

Das kostet ein Hack im Darknet

Natürlich reicht der Einkauf eines Phishing Kits längst nicht aus, um einen Hackerangriff einzuläuten. Solche Angriffe brauchen Hosting, Kanäle, über die die Ausbreitung stattfindet und einige weitere Elemente, um erfolgreich verlaufen zu können.

Eine neue Studie von Deloitte mit dem Titel "Black-market ecosystem: Estimating the cost of Pwnership" gibt nun erstmals Aufschluss über die Gesamtkosten von umfassenden Hackerangriffen, die auf Unternehmen gestartet werden. "Die Hacker-Banden, die hinter großangelegten Attacken stehen, brauchen verschiedene Service Layer," weiß Loucif Kharouni von Deloitte Cyber Risk Services. "Um beispielsweise einen Banking-Trojaner in Umlauf zu bringen, müssen fünf oder sechs solcher Services genutzt werden."

Wie die Ergebnisse der Recherchen zeigen, hält das Darknet eine Vielzahl von direkt einsatzfähigen Produkten und Services bereit, die sämtliche Bedürfnisse krimineller Hacker bedienen - egal, ob es nun ein kompromittierter Server für eine Phishing-Attacke sein soll oder die Remote-Einschleusung eines Trojaners.

  • Eine komplette Phishing-Kampagne, inklusive Hosting und entsprechendem Toolkit, kostet im Schnitt 500 Dollar pro Monat - der Einstiegspreis liegt bei 30 Dollar pro Monat.

  • Eine Keylogging-Kampagne, die darauf ausgelegt ist, Zugangsdaten abzugreifen, kostet inklusive Malware, Verbreitung und Hosting im Schnitt 723 Dollar - wobei der Einstiegspreis mit 183 Dollar auch hier deutlich niedriger liegt.

  • Ransomware-Kampagnen oder Trojaner-Angriffe sind im Schnitt ab 1000 Dollar zu haben.

  • Die Verbreitung eines Banking-Trojaners kostet im günstigsten Fall 1400 Dollar, kann aber auch mit bis zu 3500 Dollar zu Buche schlagen.

Sinkende Cybercrime-Einstiegsbarrieren

Selbst ein wirklich günstiger Cyberangriff für 34 Dollar kann nach Einschätzung von Deloitte einen Profit von circa 25.000 Dollar pro Monat einbringen. Teurere und raffiniertere Attacken, die einige tausend Dollar kosten, bringen es entsprechend schnell auf "Einnahmen" in Millionenhöhe. Auf der anderen Seite liegen die durchschnittlichen Kosten eines solchen Angriffs auf Unternehmensseite bei durchschnittlich 3,86 Millionen Dollar, wie IBM ermittelt hat.

Die niedrigen Einstiegskosten und Hürden, die es zu überwinden gilt, um einen Hackerangriff zu starten sowie die hohen Profite führen dazu, dass kriminelle Akteure in diesem Bereich nicht mehr von technischen Skills limitiert werden: "Wenn man sich die Einstiegsbarrieren von vor drei Jahren ansieht, hat sich sehr viel verändert. Viele der sehr spezialisierten Services gab es entweder noch gar nicht oder diese waren erst in der Entstehung", weiß Keith Brogan von Deloitte Cyber Risk Services.

Während auf der Seite der Kriminellen niedrige "Betriebskosten" und enorm hohe Profitraten zu verbuchen seien, entstünden auf der Gegenseite massive Kosten, um den angerichteten Schaden zu reparieren, wie Oliver Rochford, Director of Research bei Tenable, erklärt. Als Beispiel nennt der Experte Ransomware: Selbst bei einer Erfolgsrate von 0,05 Prozent liege der Return on Investment (ROI) schätzungsweise jenseits von 500 Prozent, so Rochford. "Die weltweiten Einnahmen durch Cybercrime liegen bei circa 1,5 Billionen Dollar, die durch die Angriffe verursachten Schäden übersteigen die Summe von sechs Billionen Dollar."

Vor dem Hintergrund, dass Gartner das Volumen des gesamten Cybersecurity-Marktes für das Jahr 2019 auf 136 Milliarden Dollar beziffert, würde das bedeuten, dass zwölf Dollar Cybercrime-Einnahmen lediglich ein Dollar Cybersecurity-Investitionsvolumen gegenübersteht. Der Markt für Cybercrime Services quillt vor Kleinanbietern über, das Darknet hat sich laut vorgenannter Deloitte-Studie "zu einer hocheffizienten Untergrund-Wirtschaft entwickelt, die von spezialisierten Produkt- oder Service-Angeboten getrieben wird, statt von technischem Know-how".

Laut dem Deloitte-Experten Brogan macht das durchaus Sinn: "Es ist günstiger und bedeutet weniger Aufwand für die Kriminellen, wenn sie nur einige weniger Dinge wirklich gut können müssen. Außerdem müssen sie so auch weniger Kontakte innerhalb ihrer kriminellen Netzwerke einbinden, was wiederum die Wahrscheinlichkeit von Leaks oder einem Fehlschlag reduziert."

Verschiedene Akteure stellen dabei unterschiedliche Arten von Produkten und Services zur Verfügung. Für die kriminellen Hacker ist es dann oft das komplexeste Unterfangen, die unterschiedlichen Komponenten, die zum Einsatz kommen sollen, zu einem zielgerichteten, umfassenden Angriff zu kombinieren.

Was CISOs über Darknet-Märkte wissen müssen

Simple Attacken stellten für IT-Abteilungen im Regelfall kein Problem dar, meint Brogan: "Wenn Ihre IT Security gut aufgestellt ist, wird das Gros der typischen 100-Dollar-Attacken bereits von Standard-Tools und -Maßnahmen abgefangen. Sie sollten sich also vor allem Gedanken um die raffinierter ausgestalteten IT-Bedrohungen machen. Daran schließt sich die Überlegung an, für welche Art von kriminellen Akteuren Ihr Unternehmen besonders interessant sein könnte und welche Daten dabei besonders schutzwürdig sind."

Es sei empfehlenswert, so Brogan weiter, so viel wie nur möglich über die Anbieter von kriminellen Services und ihren Vorgehensweisen in Erfahrung zu bringen. Oft fehle nämlich der Blick auf das große Ganze: "Vielen fehlt der Weitblick, um zu erkennen, dass viele kleine Angriffe auch Teil einer einzelnen, großangelegten Kampagne sein können."

Als CISO sollten Sie zudem alles daransetzen, die Betriebskosten der kriminellen Hacker in die Höhe zu treiben. Geht es beispielsweise um Account Checker, sollten Sie deren Funktionsweise analysieren und anschließend Wege finden, diese Tools zu blockieren oder zumindest in ihrer Effektivität deutlich einzuschränken. Wenn die Betriebskosten der Cyberkriminellen steigen, sinkt auch ihr ROI, was die Attraktivität eines potenziellen Ziels wiederum drastisch reduziert.

Tenable-Experte Rochford bringt es auf den Punkt: "Es geht hier um smartes Lifecycle Management. CISOs sollten die Sache strategisch angehen und speziell in Sachen Patching und Legacy IT keine Nachlässigkeiten dulden. Darüber hinaus können auch Bug Bounties dazu beitragen, das Security-Niveau anzuheben."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.