Executive Summary

Im Darknet hat alles seinen Preis und fast alles kann offen verkauft oder gekauft werden. Obwohl es manchmal den Anschein macht, als müsse man ein Alleskönner sein, um im Bereich Cyberkriminalität erfolgreich zu sein, erfordert in Wirklichkeit fast jedes kriminelle Unterfangen verschiedene Tools und Dienste, die von einem Netzwerk anderer Mitglieder bereitgestellt werden.

Die cyberkriminelle Unterwelt ist stark vertikalisiert, wobei die Bedrohungsakteure auf bestimmte Fachgebiete spezialisiert sind. Es ist diese Verteilung von Fachwissen, die zur Widerstandsfähigkeit des Untergrundmarktes beiträgt. Ähnlich wie bei Drogenkartellen werden sofort Konkurrenten den Platz eines Bedrohungsakteurs oder -forums einnehmen, sobald dieser entfernt wird. Um eine Kampagne anzukurbeln und über die Konzeption bis hin zur endgültigen Umsetzung und Erzielung eines substanziellen Gewinns zu gelangen, muss daher zunächst ein Puzzlespiel fertiggestellt werden.

Hintergrund

In den letzten 20 Jahren hat sich der cyberkriminelle Untergrund von einer Handvoll verstreuter Foren, die sich hauptsächlich um banalen E-Commerce-Betrug drehen, der hauptsächlich von osteuropäischen Betrügern durchgeführt wird, zu einem hochkomplexen Ökosystem entwickelt, das wir heute Dark Web nennen. Heute besteht die Schattenwelt des Internets aus Gemeinschaften, die nach verschiedenen geografischen Regionen, Fachgebieten und der Erfahrung ihrer Mitglieder unterteilt sind, und ist in der Lage, sowohl Einsteiger-Script-Kiddies als auch die Drahtzieher unglaublich ausgeklügelter Angriffe zu unterstützen, wie z. B. den Geldautomatenüberfall auf Taiwan und Malware-Angriffe auf russische Banken, die Bedrohungsakteuren Dutzende von Millionen Dollar einbrachten.

Bedrohungsanalyse

Der Betrieb eines Botnetzes ist das beste Beispiel, um die Sachlage zu verdeutlichen und die Komplexität aller notwendigen Schritte zu erklären, die erforderlich sind, um für die Betreiber eine maximale Rentabilität zu erzielen. Das folgende Beispiel veranschaulicht die Vorlaufkosten für die Einführung und Aufrechterhaltung einer Cyberoperation sowie die direkten und sekundären finanziellen Erträge für die Betreiber.

• Die Lizenz eines Banking-Trojaners ist eines der teuersten Elemente einer Cyberkriminellen-Kampagne und kann von professionellen Malware-Entwicklern für 3.000 bis 5.000 US-Dollar erworben werden.
• Um dann Bankdaten abzufangen, müssen Web-Injections für jedes Zielfinanzinstitut separat erworben werden und können zwischen 150 und 1.000 US-Dollar pro Set kosten. Im vergangenen Jahr haben wir einen deutlichen Anstieg der Kosten für Web-Injections beobachtet, die auf kanadische Institute abzielen und im oberen Preissegment angeboten werden. Die Kosten für Malware, die auf US-Banken abzielt, sind dagegen gleich geblieben.
• Um eine durchgängige Transparenz des gesamten Vorgangs zu gewährleisten und ein infiziertes Computernetzwerk zu kontrollieren, ist ein absolut sicheres Hosting in einer der unfreundlichen Rechtsordnungen in China, dem Nahen Osten oder Osteuropa erforderlich. Die monatliche Miete eines Webservers in einem Rechenzentrum, das kriminellen Aktivitäten förderlich ist, beträgt normalerweise 150 bis 200 US-Dollar.
• Um eine konsistente Nutzlastübermittlung zu gewährleisten und von Antivirenprodukten unentdeckt zu bleiben, muss die ausführbare Datei täglich und im Falle eines sehr umfangreichen Vorgangs sogar mehrmals täglich „gereinigt“ und verschleiert werden. Solche Dienste sind für 20 bis 50 US-Dollar pro einzelner Payload-Verschleierung verfügbar; bei Großaufträgen können jedoch auch niedrigere Preise ausgehandelt werden.
• Zwei Hauptübertragungswege für bösartige Payloads sind eine ständige Umleitung des Webverkehrs auf die infizierte Ressource oder eine E-Mail-Spamkampagne. Während es 15 bis 50 US-Dollar kostet, tausend ahnungslose Menschen dazu zu bringen, die infizierte Webseite zu besuchen, verlangen professionelle Spam-Betreiber 400 US-Dollar pro Million erfolgreich zugestellter E-Mails.
• Wenn die Schadsoftware erfolgreich eingeschleust und die Bankdaten abgefangen wurden, muss der Täter mit einer Kette von Geldwäscheagenten und Geldwäschevermittlern zusammenarbeiten, um die endgültige Zahlung zu erhalten. Ein Geldwäscher mit einem hervorragenden Ruf und der Fähigkeit, schnell zu handeln, verlangt für jede Zahlung, die vom Konto eines Opfers überwiesen wird, eine saftige Provision von 50–60 Prozent. In manchen Fällen kann eine zusätzliche Provision von 5–10 Prozent erforderlich sein, um die Gelder zu waschen und sie dem Hauptbetreiber über die bevorzugte Zahlungsmethode wie Bitcoin, Web Money oder Western Union zu überweisen.

Werbung für den Sparta-Anrufdienst in der russischsprachigen Darknet-Community.

• Falls für die Durchführung einer Geldüberweisung eine zusätzliche telefonische Bestätigung erforderlich ist, wird diese von einem der Untergrund-Telefondienste durchgeführt. Die Kosten betragen zwischen 10 und 15 US-Dollar pro Anruf.
• Wenn zur Durchführung der Geldüberweisung ein zusätzliches Dokument und eine telefonische Bestätigung erforderlich sind, stehen Ihnen verschiedene unterstützende Anbieter zur Verfügung. Ein gefälschter Führerschein kann innerhalb weniger Stunden für 25 US-Dollar geliefert werden, während ein aufwendigeres Video-Selfie 100 US-Dollar kostet.
• Um die Wahrscheinlichkeit zu minimieren, dass ein Kontoinhaber eine nicht autorisierte Transaktion bemerkt, um SMS-Bestätigungen abzufangen oder um das Telefon des Kontoinhabers für die Dauer des Angriffs völlig unerreichbar zu machen, kann für 20 US-Dollar ein E-Mail-/Telefon-„Flooding“ erworben werden. Allerdings sind die Kosten für eine geklonte SIM-Karte mit 150–300 US-Dollar deutlich höher.

Abgesehen von den Geldern, die aus kompromittierten Bankkonten gestohlen wurden, wird der dauerhafte Zugriff auf ein ausgedehntes Netzwerk von Opfern auf der ganzen Welt zwangsläufig ein beträchtliches Resteinkommen generieren.

• Das Nachschlagen von Anmeldeinformationen für Ressourcen, auf die es die Angreifer nicht direkt abgesehen haben, kann Untergrundkämpfern angeboten werden und kann pro Satz zusätzliche 100 bis 200 US-Dollar einbringen. Ein solcher Dienst ist bei Nischenkäufern gefragt, die wahrscheinlich an kommerziellen und staatlichen Spionagekampagnen beteiligt sind.
• Über einen der Darknet-Marktplätze können Kreditkarteninformationen schnell für 5 bis 10 US-Dollar pro Stück verkauft werden.
• Die Nachfrage nach verschiedenen E-Commerce-Anmeldeinformationen ist konstant. Durch die jüngste Zunahme groß angelegter Kampagnen zur Übernahme von Konten ist jedoch ein Überangebot an verfügbaren Daten entstanden, wodurch der Preis auf 1 bis 5 US-Dollar pro Satz Anmeldeinformationen gesunken ist.
• In einigen Fällen kann es vorkommen, dass ein Angreifer die gewünschten Ergebnisse nicht erzielen kann und die Malware auf Abruf anderen Kriminellen für etwa 1 US-Dollar pro Installation angeboten wird.
• Am Ende ihrer angemessenen Haltbarkeitsdauer können zufällig ausgewählte Botnet-Protokolle, die aus gesammelten unstrukturierten Daten bestehen, problemlos für 20 US-Dollar pro Gigabyte Daten verkauft werden.

Ausblick

Obwohl in diesem Beispiel nur eine einzige gängige Angriffsmethode untersucht wurde, könnte eine ähnliche unterstützende Infrastruktur auch zum Einleiten anderer cyberkrimineller Operationen verwendet werden, darunter Ransomware- und Phishing-Kampagnen. Es wird selten vorkommen, dass ein Cyberangriff einer einzelnen, isoliert agierenden Person zugeschrieben wird, denn um einen Angriff erfolgreich von der Konzeption bis zum Profit zu führen, ist die Expertise mehrerer Fachbereiche erforderlich. Die Mittel hierfür sind alle kostenpflichtig. Die Kosten hängen lediglich davon ab, wie anspruchsvoll die Kampagne vom jeweiligen Akteur gewünscht wird.

Sie können Andrei auf Twitter unter @DeepSpaceEye folgen.