malicious code

Leider kein Scherz: Cybercrime as a Service

27. September 2021

Autor: Birgit Hofmann

Kürzlich stieß ich bei Recherchen zu Cybersicherheit auf den Begriff „Cybercrime as a Service“ und fand ihn zuerst irgendwie originell.

Ich hielt ihn für eine scherzhafte Ableitung der Managed Services, wie sie auch VALUZE anbietet: Infrastructure as a Service, Software as a Service, Platform as a Service und wie sie alle heißen. Schnell wurde mir klar, dass es sich nicht um einen Scherz handelte. Die Cyberstraftat als Dienstleistung ist beängstigend. Es ist ein Geschäftsmodell, das nahezu jeden halbwegs intelligenten Kriminellen mit PC und Internetzugang in die Lage versetzt, ohne tiefere IT-Kenntnisse Cyberstraftaten zu begehen, indem er sich die Expertise dazu einkauft.

CCaas „basiert auf der professionellen, lose strukturierten, arbeitsteiligen sowie am finanziellen Gewinn orientierten kriminellen Gemeinschaft der Underground Economy“, heißt es laut Bundeslagebild Cybercrime 2020 des BKA.

Den Techies und Nerds unter Ihnen mag das lange bekannt sein, Allgemeinwissen ist es aber sicher nicht. Ich glaube, dass die meisten Menschen keine Vorstellung davon haben, wie verwundbar viele unserer IT-Systeme und kritischen Infrastrukturen sind, welchen ausgefeilten Attacken sie tagtäglich ausgesetzt sind und wie erschreckend professionell die Bad Guys der Underground Economy organisiert sind. Ich finde, das muss sich schnellstmöglich ändern. Es sind ja zumeist nicht die Techies und Nerds, die in die Cyberfalle tappen, sondern ganz normale Menschen wie ich. Und für genau diese Menschen möchte ich mit diesem Artikel ich einen kleinen Beitrag dazu leisten, für das Thema zu sensibilisieren.

Da ich davor zurückschrecke, im Netz intensiv nach Serviceleistungen zur Begehung von Cyberstraftaten zu suchen – wer weiß, wer dadurch auf mich aufmerksam wird – bediene ich mich primär der oben genannten Publikation des Bundeskriminalamts als Informationsquelle.

Was ist die Underground Economy?

Laut BKA ist „die Underground Economy ein krimineller Spiegel der realweltlichen und globalisierten Gesellschaft. Angebot und Nachfrage beherrschen den kriminellen Markt, der stetig wächst“.

Im Kontext der Cyberkriminalität können Sie sich die Underground Economy als ein Netzwerk illegaler Internet-Handelsplätze vorstellen, auf denen Kriminelle illegale Waren und Dienstleistungen anbieten und kaufen. Wie real das ist, zeigen die Ermittlungserfolge bei dem bundesweiten polizeilichen Action Day gegen die Underground-Economy-Szene am 23. Juni 2020:

Im Zuge dessen wurden 32 Personen vorläufig festgenommen und insgesamt 11 Haftbefehle vollstreckt. Bei Durchsuchungen von Wohn- und Nebengebäuden wurden Betäubungsmittel, Datenträger mit einem Datenvolumen von mehr als 300 Terabyte, über 700 elektronische Geräte wie Laptops und Mobilfunktelefone, Bargeld im mittleren fünfstelligen Bereich, diverse Waffen, digitale Währungen, sowie Unterlagen von mutmaßlichen Cyberkriminellen sichergestellt. Koordiniert wurde der bundesweite Action Day gegen die Nutzer von crimenetwork.co von der bei der Generalstaatsanwaltschaft Bamberg errichteten Zentralstelle Cybercrime Bayern und dem Landeskriminalamt Brandenburg.“

Quelle: Presseerklärung der Generalstaatsanwaltschaft Bamberg und des Polizeipräsidiums Land Brandenburg vom 24.06.2020

Welche Cybercrime-Services werden angeboten?

Ohne Anspruch auf Vollständigkeit zu erheben, können folgende Dienstleistungen gekauft oder sogar abonniert werden:

  • Das Maßschneidern und Verteilen von Malware (Schadsoftware) nach Kundenanforderungen
  • Das Anfertigen und Verteilen von Ransomware (Erpressersoftware), oft auf der Basis von Modulen oder Tookits
  • DDos-Angriffe, die ein Netzwerk aufgrund von Überlastung außer Gefecht setzen
  • „Infection on Demand“, das heißt, das Verteilen von Schadsoftware auf Abruf
  • Vermietung von Botnetzen, auch Zombie-Netze genannt, die sich hervorragend für DDoS-Attacken eignen
  • Anonymisierungs- und Hostingdienste, um die Identität der Angreifer zu verschleiern
  • Datendiebstahl mit anschließendem Verkauf der Daten, falls gewünscht
  • Bereitstellen von Kommunikationsplattformen zum Wissenstransfer
  • Supportleistungen – kein Witz! – wie Updates für Malware und
  • Unterstützung bei technischen Problemen
  • Dropzones, um illegal erlangte Daten oder Waren abzulegen

Die neun Säulen der Cyberstraftat

Im BKA-Bericht heißt es, das Cybercrime-as-a-Service-Modell basiere auf neun Säulen, die den Verlauf einer Cyberstraftat von Anfang bis Ende abbilden. Diese Säulen lassen tief in die hochspezialisierten Dienstleistungsbereiche der Underground Economy blicken.

Nehmen wir an, ich bin ein Newbie im Hacker-Business. Mein nächster Coup soll eine Cyberattacke gegen ein Unternehmen sein. Kann ich mithilfe der Services tatsächlich so ein Verbrechen planen und durchführen? Ich fürchte, ja. Ohne Probleme.

Säule 1:

Foren und Jabber-Server

Das sind die „Gelben Seiten“ für Cyberkriminelle. Hier finden Angebot und Nachfrage, Verkäufer und Käufer zusammen.

Säule 2:

Bulletproofhosting & Proxyprovider

Bereitstellung robuster, inkriminierter Infrastrukturen, die nicht direkt durch den Provider abgeschaltet werden können. Außerdem verschleiern Proxy- und VPN-Provider die IP-Adressen der Kriminellen.

Säule 3:

Marktplätze, Shops und Automated Vending Carts (AVC)

Hier finden sich zentralisierte, weitestgehend automatisierte Vertriebsplattformen (ähnlich wie amazon oder eBay), auf denen kompromittierte Zugangsdaten verkauft werden.

Säule 4:

Malwareentwicklung & Coding

Welche Schadsoftware hätten Sie denn gern? Die Profis aus diesem Bereich programmieren maßgeschneiderte Malware gemäß Ihren Anforderungen. Die Preise beginnen ab 5.000 Euro.

Säule 5:

Malware Crypting & Obfuscation

Wer möchte, bucht nun einen „Crypter“ für den Feinschliff der Schadsoftware. Der Crypter überarbeitet und verschlüsselt die Malware, die dadurch oft auch eine Verbesserung ihrer Tarnfähigkeit (Obfuskation) erfährt.

Säule 6:

Counter-Antivirus-Services (CAV)

Damit die Schadsoftware nicht gleich den gängigen Antivirenprogrammen ins Netz geht, wird geprüft, wie gut die Verschleierung funktioniert. Diese Service kann man sogar abonnieren, damit die Prüfung regelmäßig stattfindet.

Säule 7:

Malware Delivery & Infection on Demand & PPI

Jetzt ist es an der Zeit, die Schadsoftware auszurollen und zu installieren. Die Streuung erfolgt beispielsweise über Malspam, Phishing oder Drive-by-Infection.

Säule 8:

Drops, Mules & Cashout

Zahlungen von geschädigten Unternehmen werden auf Konten geleitet und an Geldautomaten gezogen. Aus Verbrechersicht enthält die achte Säule die riskantesten Dienstleistungen, da normalerweise ein echter Mensch – sei es der Täter oder von ihm beauftragte Läufer (Runner oder Drops genannt) in der echten Welt echtes Geld abkassieren.

Säule 9:

Exchanger oder digitale Geldwäscher

Die „Exchanger“ unterbrechen oder verwischen die Spur des Geldes, die andernfalls von der Straftat bis zum Straftäter nachverfolgt werden könnte.

Quelle: Bundeslagebild Cybercrime 2020 des BKA

Und als ob das alles noch nicht beunruhigend genug wäre, sind die Preise für CCaaS-Leistungen für mein Empfinden recht günstig. Angesichts dessen, welche Summen im Cybercrime-Sektor erpresst und erschwindelt werden, ist die Kosten-Nutzen-Ratio aus Verbrechersicht wirklich gut.

Auszugsweise CCaaS-Preisliste im Darknet

Um zu verdeutlichen, in welchem Kostenrahmen sich CCaaS bewegt, hat das BKA einige Angebote aus dem Darknet veröffentlich:

Service

Preis in US-Dollar (gesamt oder pro Nutzungszeitraum/Einheit)

Banking Trojaner

Desktop-Version

Mobile Version

1.000 – 10.000 $

1.000 – 10.000 $

Bei Kauf

Bei Kauf

Remote Administration Tool (RAT)

89 – 530 $

Ca. 3.000 $

Monatliche Miete

Bei Kauf

Mining Bots

50 – 150 $

Monatliche Miete

Crypting

20 – 100 $

360 – 500 $

Bei Kauf von einem Crypt

Bei Wochen-Abo mit 50 Crypts/Tag

Spam

10 ct – 4 $

Pro Spam

DDoS as a Service

80 – 1.500 $

Pro Monat, bei Miete

Bulletproof Hosting

Shared

Dedicated

5 – 50 $

50 – 700 $

Monatliche Miete

Monatliche Miete

Ohne Malware (fast) kein Cybercrime

Malware ist das Herzstück der Cyberstraftat. Erst die Schadsoftware ermöglicht es, in ein IT-System einzudringen und Schaden anzurichten. Zu den am häufigsten genutzten Arten von Malware gehören:

Downloader oder Dropper
Dringt in ein System ein und öffnet den Weg für weitere Schadsoftware

Information Stealer
Stiehlt Online-Banking-Daten, Passwörter, Identitäten oder zeichnet Tastaturanschläge auf oder erstellt heimlich Screenshots

Ransomware
Erpressungssoftware verschlüsselt das infizierte System, das nur gegen eine Lösegeldzahlt wieder „freigelassen“ wird

Von einer Wertschöpfung wie der von Malware können ehrliche Geschäftsleute nur träumen:

Bundeslagebild Cybercrime 2020, BKA
Quelle: Bundeslagebild Cybercrime 2020, BKA

Unter den zahlreichen Arten von Schadsoftware nimmt Ransomware in Bezug auf Schadenspotenzial und Erlös einen Spitzenplatz ein. Das „Kidnappen“ eines Systems, für dessen Freilassung zum Teil horrende Summen gefordert werden, ist für Betroffene nicht nur in finanzieller Hinsicht kostspielig. Neben dem Lösegeld bezahlt das Unternehmen fast immer auch mit Umsatz- und Imageverlusten. Kein Wunder, dass viele Attacken gar nicht erst zur Anzeige gebracht, sondern das Lösegeld gezahlt wird, in der Hoffnung, dass die Erpressung nicht bekannt wird und die Täter die Daten auch wirklich freigeben. Ebenfalls kein Wunder ist, dass sich Ransomware as a Service im CCaaS-Portfolio als eigenes, hochspezialisiertes Geschäftsmodell mit „Franchise-System“ etabliert hat.

Auch wenn Privatpersonen nicht gegen Ransomware-Angriffe geschützt sind, stehen in der Regel finanziell lukrative Unternehmen, öffentliche Einrichtungen und kritische Infrastrukturen (KRITIS) im Fadenkreuz der Cyberkriminellen. Die Auswirkungen sind oft schwerwiegend und in vielerlei Hinsicht weitreichend.

Zahlen oder nicht zahlen, das ist hier die Frage

Diese Frage konnten Unternehmen mit zuverlässigen Backup- und Restore-Prozessen bis vor wenigen Jahren halbwegs entspannt mit „nicht zahlen“ beantworten. Wie rasant sich kriminelle Taktiken weiterentwickeln und vorhandene Schutzmechanismen überwinden, zeigt sich an der „Double-Extortion“-Methode, die sich innerhalb kürzester Zeit als Standard für Ransomware-Attacken etabliert hat. Bei der doppelten Erpressung werden nicht nur die Daten verschlüsselt, sondern es wird auch damit gedroht, gestohlene sensible Daten zu veröffentlichen oder zu verkaufen, wenn sich das Opfer zahlungsunwillig zeigt.

So verständlich es ist, dass Unternehmen dazu neigen den Forderungen der Erpresser nachzukommen, ist es nicht unbedingt klug, Verbrechern zu vertrauen. Und weitsichtig ist es auch nicht. Denn: Die Zahlung des Lösegelds garantiert nicht, dass die Daten wieder entschlüsselt werden oder nach der „Freilassung“ unbeschädigt sind. Schlimmer noch: Die Zahlung des Lösegelds macht weitere Ransomware-Attacken nur wahrscheinlicher – auf andere und auf dasselbe Unternehmen.

Aus der Gewinnmaximierungsperspektive gewinnt das Erpressungs-Business mit jeder Lösegeldzahlung an Attraktivität und Raffinesse, da Kapital in technische und organisatorische Verbesserungen investiert wird. Allein im Mai 2021 erbeuteten Cyberkriminelle mit Ransomware-Attacken auf US-Unternehmen Lösegelder in Höhe von 40 Millionen US-Dollar, 11 Millionen US-Dollar und knapp 4,5 Millionen US-Dollar von einem Versicherungsunternehmen, einem Lebensmittelproduzenten und einem Pipelinebetreiber. Und das sind nur die bekannten Fälle, die Schlagzeilen machten.

Mehr und moderne Sicherheit zahlt sich aus

Die Kombination aus Digitalisierung auf breiter Front und Cybercrime as a Service macht es immer wahrscheinlicher, privat oder beruflich mit organisierter Cyberkriminalität in Berührung zu kommen. Präventionsstrategien, die Cyberattacken im Keim ersticken, bevor Daten gestohlen und/oder verschlüsselt werden, sind das Gebot der Stunde.

Laut Trend Report vom Juli 2021 reagieren deutsche Unternehmen trotz steigender Cybercrime-Delikte jedoch verblüffend träge. Es scheint „eine Mentalität vorzuherrschen, erst dann in wirksame Sicherheitsmaßnahmen zu investieren, wenn der Schadensfall bereits eingetreten ist. Oder bestenfalls dann, wenn beispielsweise ein Geschäftspartner angegriffen wurde.“ Vielleicht ändert sich das, wenn sich Verantwortliche bewusst machen, dass sie es nicht mit dem einen oder anderen Hacker zu tun haben, sondern mit professionell und global vernetzten Verbrecherbanden. Dass Cybercrime as a Service eben kein Witz ist, sondern ein florierendes Geschäft, das nicht verschwinden wird, nur weil man es ignoriert.

Der erste Schritt, den ich mir als Laie vorstelle, ist eine professionelle Risikobewertung im Unternehmen durchführen zu lassen und etablierte Sicherheitslösungen, die möglicherweise seit Jahren in Betrieb sind, auf den Prüfstand zu stellen. Es gibt moderne, zeitgemäße Managed Cyber Defense Services, die von der Beratung über technische Maßnahmen bis zu IT-Sicherheitsschulungen Cyberattacken effektiv verhindern.

Zwingend erforderlich sind kontinuierliche und aus dem echten Leben gegriffene Schulungen, die Cybersecurity in den Köpfen der Belegschaft verankern. Nicht zu vergessen praktische Handlungsrichtlinien, was im Falle von suspekten E-Mails, seltsamen Vorkommnissen und einer laufenden Attacke konkret zu tun ist. Das Arbeiten aus dem Homeoffice oder in hybriden Modellen ist hier ein ganz großes Thema, da es Beschäftigte anfälliger macht, Cyberkriminellen auf den Leim zu gehen (siehe auch unser Blog zu Cyberkriminalität im Homeoffice).

Last but not least sind zuverlässige Backup und Restore-Lösungen weiterhin zwingend erforderlich, um befallene IT-Systeme schnell säubern und wieder hochfahren zu können.

Und bitte: Melden Sie Cyberattacken der Polizei. Der BKA-Bericht hat viele Erfolge bei der Verfolgung und Inhaftierung von Cyberattacken und Tätern zu vermelden. Das ist nur möglich, wenn diese Straftaten auch zur Anzeige gebracht werden.

Wenn Sie mehr über das Thema Cybersicherheit oder Security Awareness erfahren oder mit uns darüber diskutieren möchten, freuen wir uns über Ihre Kontaktaufnahme!