Verbesserung von Dark-Web-Ermittlungen durch Threat Intelligence

Der Schutz vertraulicher Daten, die Wahrung des Markenrufs und die Gewinnung des Kundenvertrauens stellen für Unternehmen ständige Herausforderungen dar. Allerdings stellt das Dark Web, eine versteckte Ecke des Internets, Cybersicherheitsexperten vor besondere Herausforderungen. In diesem „dunklen“ Bereich des Internets florieren kriminelle Aktivitäten wie der Verkauf gestohlener Zugangsdaten und die Planung gezielter Angriffe.

In diesem Blogbeitrag werden einige der Bedrohungen untersucht, die aus dem Darknet stammen, und es wird erläutert, wie externe Lösungen zur Bedrohungsaufklärung es Unternehmen ermöglichen können, sich proaktiv zu verteidigen.

Seit seiner Entstehung Anfang der 2000er Jahre hat sich das Dark Web zu einem Zentrum illegaler Aktivitäten entwickelt. Es erleichtert den Handel mit Hacking-Methoden und kompromittierten Anmeldeinformationen sowie die Verbreitung von Malware und Ransomware. Darüber hinaus entwickelt sich die Bedrohung ständig weiter: Jeden Tag entdecken Bedrohungsakteure neue Schwachstellen und Exploits, geben diese weiter und nutzen sie aus.

In der Anfangsphase des Dark Web florierten geheime Foren und Filesharing-Plattformen, die einer zwielichtigen Version von Reddit oder Etsy ähnelten. Die berüchtigte Silk Road, die im Buch „American Kingpin“ ausführlich beschrieben wird, und das Aufkommen von Kryptowährungen wie Bitcoin waren ausschlaggebend für die Entwicklung des Dark Web und führten zur Entstehung hochentwickelter Untergrundmärkte ähnlich einem „Dark eBay“.

Berüchtigte Ransomware-Gruppen wie LockBit und ALPHV waren auf Darknet-Plattformen aktiv, nahmen die Verantwortung für ihre Aktionen auf sich und gaben ihre Ziele preis. Darüber hinaus hat sich Telegram als beliebte Plattform für geheime Auseinandersetzungen etabliert und erleichtert und ermöglicht eine Reihe von Aktivitäten von der Kommunikation über die Koordination bis hin zur Verbreitung bösartiger Inhalte.

Angriffe, die auf Gespräche, Informationsaustausch und Transaktionen im Darknet zurückzuführen sind, haben bei Unternehmen weltweit zu finanziellen und betrieblichen Verlusten sowie zu Reputationsschäden geführt. Durch die Verbesserung ihrer Dark Web-Überwachungsfunktionen können Unternehmen jedoch Bedrohungen für ihr Unternehmen, ihre Kunden und ihre Lieferkette proaktiv eindämmen.

Welche Auswirkungen hat das Dark Web auf Organisationen?

Das Dark Web an sich ist für die meisten Organisationen nicht allzu gefährlich, aber die Vorgänge dort sollten das Interesse von Verteidigern wecken. Das Dark Web bietet Ransomware-Gruppen eine Plattform für ihre Aktivitäten und böswilligen Akteuren für den Verkauf und Austausch von Malware, kompromittierten Anmeldeinformationen, Exploit-Kits und gestohlenen Zahlungskarten.

Ransomware

Das Dark Web ist eine bekannte Heimat für Ransomware-Gruppen, die auch 2023 weiterhin verheerende Schäden in Organisationen anrichteten. Im vergangenen Jahr stiegen die Lösegeldzahlungen durch Ransomware auf 1,1 Milliarden US-Dollar (The Record) und einem Bericht von Delinea zufolge zahlten 76 % der Opfer ein Lösegeld. Das Dark Web bietet Ransomware-Gruppen eine sichere und anonyme Umgebung für die Kommunikation, Zusammenarbeit und Durchführung ihrer illegalen Aktivitäten.

Referenzen

Darknet-Märkte und -Foren sind beliebte Ziele für First Access Broker und Bedrohungsakteure, die gültige Anmeldeinformationen verkaufen und kaufen möchten. Gültige Anmeldeinformationen sind bei Bedrohungsakteuren so beliebt geworden, dass unter den ersten Zugriffsvektoren von MITRE ATT&CK „Valid Accounts“ (T1078) sowohl laut Recorded Future als auch IBM X-Force der Top-TTP war.

Anhand von Informationen aus unserem Identity Intelligence- Modul stellten die Forscher von Recorded Future fest, dass die Gesamtzahl der erfassten Anmeldeinformationen um 135 % gestiegen ist und dass bei Anmeldeinformationen, die mit Cookies verknüpft sind, ein Anstieg um 166 % zu verzeichnen war . Darüber hinaus stellten Forscher bei IBM einen Anstieg der Verwendung von Infostealern um 266 % fest . Mit den richtigen Zugriffsrechten und Kontakten könnte jemand für nur 10 US-Dollar gültige Zugangsdaten erwerben, mit denen er sich bei einem Unternehmensnetzwerk oder einem persönlichen Konto anmelden, die Multi-Faktor-Authentifizierung umgehen und mit der Infiltration beginnen könnte.

Das Identity Intelligence- Modul von Recorded Future unterstützt Unternehmen bei der Abwehr von Mitarbeiter- und Kundenanmeldeinformationen, die durch Infostealer-Malware gestohlen wurden. Sehen Sie sich an , wie sich Toyota Motors North America gegen kompromittierte Anmeldeinformationen schützt, und machen Sie einen interaktiven Rundgang durch Identity Intelligence.

Exploit-Kits

Ähnlich wie unerfahrene Köche Essenspakete kaufen, können weniger erfahrene Bedrohungsakteure Exploit-Kits im Dark Web erwerben. Trotz ihres leichten Popularitätsrückgangs handelt es sich bei Exploit-Kits im Dark Web um vorgefertigte Tools und Frameworks, mit denen Cyberkriminelle Schwachstellen in Software und Systemen ausnutzen. Mithilfe dieser Kits können Bedrohungsakteure leichter Angriffe starten und sich unbefugten Zugriff auf die Zielsysteme verschaffen. Sie bieten Cyberkriminellen häufig ein bequemes Tor zur Ausnutzung von Schwachstellen, ohne dass hierfür fortgeschrittene technische Kenntnisse erforderlich sind.

Zahlungskarten

Im Jahr 2022 schien es, als würde der Darknet-Markt für gestohlene Kreditkarten langsamer werden. Im Jahr 2023 erholte sich das Angebot jedoch wieder auf das vorherige Niveau. Laut dem Annual Payment Fraud Intelligence Report 2023 von Recorded Future wurden im Jahr 2023 71,4 Millionen Zahlungskarten im Dark Web zum Verkauf angeboten und weitere 48 Millionen kostenlos auf verschiedenen Quellen angeboten. Eine durchschnittliche Betrugsgebühr von 79 US-Dollar verursachte 9,4 Milliarden US-Dollar an vermeidbaren Betrugsverlusten für Kartenaussteller und 35 Milliarden US-Dollar an potenziellen Rückbuchungsgebühren für Händler und Acquirer.

Wie behebt Recorded Future Bedrohungen, die aus dem Dark Web stammen?

Ransomware-Erpressungs-Websites

Bedrohungsakteure verwenden Ransomware-Erpressungswebsites, um mit der Veröffentlichung von Opferdateien zu drohen. Diese Dateien enthalten häufig Netzwerkdetails, Finanzinformationen und -dokumente, personenbezogene Daten, Mitarbeiter- oder Kundenanmeldeinformationen und andere vertrauliche Informationen, die das Opfer zur Zahlung des Lösegelds motivieren. Opfer, die nachgeben, tun dies normalerweise unter der Voraussetzung, dass ihnen versprochen wird, dass die Daten gelöscht werden. Bei Lockbit haben wir jedoch gesehen, dass dies nicht immer geschieht. Andererseits besteht bei Opfern, die nicht zahlen, die Gefahr, dass weitere Daten auf der Erpressungsseite veröffentlicht werden.

Recorded Future sammelt seit Jahren Informationen von Erpressungswebsites, analysiert diese und wandelt sie in verwertbare Informationen um, um Unternehmen dabei zu helfen , die Auswirkungen eines Ransomware-Angriffs proaktiv einzudämmen. Derzeit sammelt Recorded Future Informationen aus Textbeiträgen, Bildern und durchgesickerten Dateimetadaten auf über 100 Ransomware-Erpressungswebsites.

In den Metadaten von Ransomware-Opfern gefundene Informationen können bei der Identifizierung von Unternehmen und Organisationen helfen, die direkte oder indirekte Opfer eines Ransomware-Angriffs sein könnten. Durch den Zugriff auf durchgesickerte Dateimetadaten können Unternehmen Hinweise auf eine mögliche Datenfreigabe untersuchen, die sie selbst sowie relevante Dritt- und Viertparteien betreffen könnte.

Bild der Metadatenanalyse von Ransomware-Opfern von Recorded Future, die dabei hilft, Organisationen zu identifizieren, die am wahrscheinlichsten (direkt oder indirekt) Opfer eines Ransomware-Vorfalls werden.

Dark Web-Märkte

Im Gegensatz zu E-Commerce-Sites im offenen Internet machen Darknet-Märkte wie Russian Market, 2Easy und andere ihr Vermögen mit dem Verkauf kompromittierter Anmeldeinformationen, personenbezogener Daten und gestohlener Kreditkarten. Bedrohungsakteure können diese Informationen verwenden, um auf das Konto eines Mitarbeiters zuzugreifen, personalisierte Spearphishing-Kampagnen zu erstellen oder betrügerische Transaktionen durchzuführen.

Recorded Future sammelt Informationen aus zahlreichen Darknet-Märkten, um Unternehmen dabei zu helfen, alle mit dem Verkauf von Artikeln verbundenen Risiken zu mindern. Durch die Identifizierung gestohlener Kreditkarteninformationen, die auf Darknet-Märkten verkauft werden, können Kartenaussteller beispielsweise verstärkte Kontrollen bei Karten einführen, bei denen ein hohes Betrugsrisiko besteht. Zusätzliche Signale, wie etwa der Verkauf der Karte oder die Verwendung bei Transaktionen mit bekannten „Testhändlern“, können es dem Herausgeber ermöglichen, proaktiv Maßnahmen zu ergreifen, um die Karte für weitere Transaktionen zu sperren oder dem Kunden eine neue Karte auszustellen.

Laut einer großen nordamerikanischen Finanzinstitution „handelt es sich bei Transaktionen mit Kundenkarten, die von Recorded Future als im Darknet vorhanden oder bei bekannten Testhändlern verwendet identifiziert wurden, in den meisten Fällen tatsächlich um Betrug.“

Recorded Future Payment Fraud Intelligence erkennt kompromittierte Zahlungskarten, die im Dark Web zum Verkauf stehen, und ermöglicht Finanzinstituten so eine proaktive Vorgehensweise bei der Betrugsprävention.

Dark Web-Foren

In Darknet-Foren kommt es häufig zu Gesprächen zwischen Bedrohungsakteuren, solchen, die etwas zu verkaufen haben, und weniger erfahrenen Cyberkriminellen, die nach fortgeschritteneren Tools suchen. Bedrohungsakteure können Informationen, Techniken und Tools austauschen, um ihre Hacking-Fähigkeiten zu verbessern und über die neuesten Trends in der Cyberkriminalität auf dem Laufenden zu bleiben. Manche nutzen Darknet-Foren, um Partner für cyberkriminelle Aktivitäten anzuwerben, darunter die Verbreitung von Malware, den Start von Phishing-Kampagnen und die Teilnahme an Ransomware-Angriffen.

Ähnlich wie Dark-Web-Märkte dienen auch Dark-Web-Foren als Marktplätze, auf denen Bedrohungsakteure kompromittierte Anmeldeinformationen, persönliche Daten, Finanzdaten und andere wertvolle Informationen verkaufen können. Sie können außerdem den Handel mit Hacking-Tools, Exploit-Kits, Remote Access Trojanern (RATs) und anderer Schadsoftware erleichtern, mit der Systeme und Netzwerke kompromittiert werden können.

Recorded Future sammelt Informationen aus über 250 hochrangigen und mittelrangigen Dark-Web-Forenquellen, um Organisationen verwertbare Informationen bereitzustellen. Zu den Informationen kann gehören, ob Bedrohungsakteure die Marke oder Lieferkettenpartner eines Unternehmens erwähnen, ob auf neue Schwachstellen hingewiesen wird und welche Bedrohungsakteure bekanntermaßen bestimmte Foren nutzen.

Häufige Erwähnungen eines Unternehmens oder Produkts im Darknet korrelieren oft miteinander und deuten auf einen bevorstehenden Angriff, einen illegalen Verkauf von Unternehmensvermögen oder -konten oder möglicherweise komplexere Betrugssysteme hin.

Durch die Überwachung des Dark Web erhalten Sie Einblick in diese eingeschränkte Umgebung und können so den Kunden dabei helfen, Cybercrime-Kampagnen, die ihre Organisationen, ihre Lieferanten oder die von ihnen verwendeten Softwareprodukte beeinträchtigen könnten, immer einen Schritt voraus zu sein.

Telegramm

Seit seiner Einführung im Jahr 2012 hat Telegram – eine Mehrzweck-Chat-Anwendung – in der Untergrund-Community der Cyberkriminellen schnell an Popularität gewonnen. Die Sicherheit, die große Anzahl an Chat-Optionen und die Benutzerfreundlichkeit von Telegram haben zu seiner wachsenden Popularität geführt. Nur wenige Darknet-Märkte können mit der Zuverlässigkeit von Telegram mithalten.

Einigen Experten zufolge wird die Zukunft groß angelegter, hoch rollenspezialisierter krimineller Aktivitäten auf Telegram und künftigen Alternativen stattfinden. Derzeit nutzen Cyberkriminelle Telegram-Gruppen, um Transaktionen mit illegalen Waren durchzuführen, Ankündigungen aus entsprechenden Internetforen zu veröffentlichen und mit anderen Kriminellen zu kommunizieren.

Recorded Future hilft Organisationen dabei, Cyber-bezogene Gespräche auf Telegram über ihre eigenen Marken, relevante Drittparteien und andere namhafte Organisationen zu verstehen. Da Bedrohungsakteure ihre Aktivitäten häufig auf Telegram diskutieren – sei es, dass sie geplante Angriffe melden, Informationen austauschen oder Erkenntnisse teilen –, ermöglicht Transparenz es Unternehmen, Bedrohungen immer einen Schritt voraus zu sein und sich gegen unerwartete Risiken zu wappnen.

Recorded Future hat einem Kunden dabei geholfen, offengelegte Anmeldeinformationen auf einem Telegram-Kanal zu erkennen, und konnte so sowohl die Bedrohung identifizieren als auch die Dringlichkeit zur Behebung des Risikos erhöhen. Ein anderer Kunde aus der Finanzdienstleistungsbranche konnte mithilfe der optischen Zeichenerkennung (OCR) von Recorded Future einen betrügerischen Scheck auf einem Telegrammkanal identifizieren. Der Analyst meldete den Vorfall seinem internen Betrugsmanagementteam, um die Einlösung des Schecks zu verhindern.

Wie Recorded Future hilft, Bedrohungen im Dark Web einzudämmen

Bedrohungsakteure nutzen schon seit langem Darknet-Websites und -Foren, um anonym zu bleiben und sich einen Vorteil gegenüber ihren Zielen zu verschaffen. Es ist nicht zu erwarten, dass sich daran so schnell etwas ändern wird. Um dieser Herausforderung zu begegnen, benötigen Unternehmen proaktive Einblicke in die tiefsten Winkel des Dark Web, um sicherzustellen, dass sie Bedrohungen eindämmen können. Um Sicherheitsexperten und -leiter zu unterstützen, bietet Recorded Future umfassende Informationen über eine große Bandbreite von Darknet-Kanälen, die über Warnmeldungen, Playbooks und von Menschen zusammengestellte Geheimdienstberichte bereitgestellt werden können.

Warnmeldungen

Ohne rechtzeitige Alarmierung werden Geheimdienstinformationen zu einer Ansammlung von Informationen. Für viele Kunden ist die Möglichkeit, Warnmeldungen auf der Grundlage externer Bedrohungsinformationen und Risikofaktoren zu priorisieren, von entscheidender Bedeutung für die Verbesserung ihrer Sicherheitsabläufe und ihres Risikomanagements. Durch die Möglichkeit, verschiedene Warnregeln zu erstellen und Benachrichtigungen zu verwalten, können Benutzer sicherstellen, dass sie relevante und zeitnahe Warnmeldungen erhalten. Darüber hinaus helfen Recorded Future AI Insights und transparente Beweise den Benutzern dabei, schnell den Schweregrad einer Warnung zu bestimmen und die zu ergreifenden Maßnahmen zu ermitteln.

Recorded Future AI Insights helfen Unternehmen, den Untersuchungszeitaufwand zu verkürzen, indem sie automatisierten und umsetzbaren Kontext bereitstellen. Das obige Beispiel zeigt die AI Insights für RedLine Stealer. Erfahren Sie in diesem Blogbeitrag mehr über die neuesten Updates von Recorded Future AI Insights.

Ein Kunde von Recorded Future hat es als vorteilhaft empfunden, eine automatische Berichterstellung für jede Erwähnung der Marke oder der Referenzen seiner Organisation im Deep Dark Web einzurichten. Von Recorded Future generierte Warnmeldungen befreien die Analysten des Unternehmens davon, immer wieder dieselben Abfragen erstellen und ausführen zu müssen, und geben ihnen so Zeit, sich auf strategischere Aufgaben zu konzentrieren.

Playbook-Warnungen

Wenn im Darknet auf Bedrohungen gestoßen wird, müssen die Verteidiger eine Möglichkeit haben, die Informationen schnell zu verarbeiten, Warnmeldungen zu priorisieren und die Zeit bis zum Handeln zu verkürzen. Die Playbook-Warnmeldungen von Recorded Future unterstützen Verteidiger, indem sie große Phasen der Untersuchung automatisieren, Benutzer über Risikoänderungen informieren, Urteile fällen und Empfehlungen für die nächsten Schritte geben. Darüber hinaus werden Playbook-Warnmeldungen automatisch nach Schweregrad und Risiko priorisiert, sodass Unternehmen wissen, worauf sie sich konzentrieren müssen.

Kunden berichten, dass sie neue Bedrohungen 48 % schneller erkennen als zuvor. Dabei sind Playbook-Warnmeldungen ein wichtiger Faktor bei der Reduzierung der durchschnittlichen Erkennungszeit (MTTD) und der durchschnittlichen Untersuchungszeit (MTTI). Diese Warnmeldungen haben sich bei Cyber-Vorfällen mit schwerwiegenden Folgen durch Dritte als nützlich erwiesen. Sie helfen Unternehmen dabei, Probleme zu erkennen, wie z. B. aktuelle Aufmerksamkeit auf Erpressungswebsites mit Ransomware, durch Infostealer-Malware kompromittierte Anmeldeinformationen und Gerüchte über Schwachstellen, die ihren Tech-Stack beeinträchtigen könnten.

Wenn Geheimdienstinformationen weder aktuell noch verwertbar sind, sind sie schnell überholt. Um sich im heutigen komplexen Bedrohungsökosystem zurechtzufinden, benötigen Unternehmen proaktive Einblicke in das Dark Web und geschlossene Quellen, die ihnen dabei helfen, etwaige Bedrohungen für ihr Unternehmen, ihre Partner oder ihre Branche zu überwachen. Recorded Future rüstet Verteidiger mit einer umfangreichen Sammlung aktueller und verwertbarer Geheimdienstinformationen aus Darknet-Quellen mit destillierten Informationen aus, um sie gegen unerwartete Bedrohungen zu widerstandsfähiger zu machen.

Um zu sehen, wie Recorded Future die Sichtbarkeit Ihres Unternehmens im Dark Web verbessern kann, fordern Sie eine Demo an.