Analyse der Kosten cyberkrimineller Operationen

Executive Summary

Im Darknet hat alles seinen Preis und fast alles kann offen verkauft oder gekauft werden. Obwohl es manchmal den Anschein macht, als müsse man ein Alleskönner sein, um im Bereich Cyberkriminalität erfolgreich zu sein, erfordert in Wirklichkeit fast jedes kriminelle Unterfangen verschiedene Tools und Dienste, die von einem Netzwerk anderer Mitglieder bereitgestellt werden.

The cybercriminal underground is quite verticalized, with threat actors specializing in particular areas of expertise. It is this distribution of expertise that contributes to the underground market’s resiliency. Similar to drug cartels, once you remove one threat actor or forum, rivals will immediately take its place. As a result, to kickstart a campaign and move beyond a concept to the final execution and substantial profit, a puzzle game has to be completed first.

Hintergrund

In den vergangenen zwanzig Jahren hat sich die cyberkriminelle Unterwelt von einer Handvoll verstreuter Message Boards, die sich meist um banalen E-Commerce-Betrug drehten, der vor allem von Betrügern aus Osteuropa begangen wurde, zu einem höchst komplexen Ökosystem entwickelt, das wir heute als Dark Web bezeichnen. Heute besteht die Schattenwelt des Internets aus Communities, die sich nach geografischen Regionen, Fachgebieten und Erfahrung ihrer Mitglieder unterscheiden. Sie bietet sowohl Script-Kiddies auf Anfängerniveau als auch den Drahtziehern unglaublich komplexer Angriffe Unterstützung. Beispiele hierfür sind der Geldautomatenraub in Taiwan und die Malware-Angriffe auf russische Banken, bei denen den Bedrohungsakteuren Dutzende Millionen Dollar erbeutet wurden.

Bedrohungsanalyse

Der Betrieb eines Botnetzes ist das beste Beispiel, um die Sachlage zu verdeutlichen und die Komplexität aller notwendigen Schritte zu erklären, die erforderlich sind, um für die Betreiber eine maximale Rentabilität zu erzielen. Das folgende Beispiel veranschaulicht die Vorlaufkosten für die Einführung und Aufrechterhaltung einer Cyberoperation sowie die direkten und sekundären finanziellen Erträge für die Betreiber.

• Die Lizenz eines Banking-Trojaners ist eines der teuersten Elemente einer Cyberkriminellen-Kampagne und kann von professionellen Malware-Entwicklern für 3.000 bis 5.000 US-Dollar erworben werden.

• Um dann Bankdaten abzufangen, müssen Web-Injections für jedes Zielfinanzinstitut separat erworben werden und können zwischen 150 und 1.000 US-Dollar pro Set kosten. Im vergangenen Jahr haben wir einen deutlichen Anstieg der Kosten für Web-Injections beobachtet, die auf kanadische Institute abzielen und im oberen Preissegment angeboten werden. Die Kosten für Malware, die auf US-Banken abzielt, sind dagegen gleich geblieben.

• Um eine durchgängige Transparenz des gesamten Vorgangs zu gewährleisten und ein infiziertes Computernetzwerk zu kontrollieren, ist ein absolut sicheres Hosting in einer der unfreundlichen Rechtsordnungen in China, dem Nahen Osten oder Osteuropa erforderlich. Die monatliche Miete eines Webservers in einem Rechenzentrum, das kriminellen Aktivitäten förderlich ist, beträgt normalerweise 150 bis 200 US-Dollar.

• Um eine konsistente Nutzlastübermittlung zu gewährleisten und von Antivirenprodukten unentdeckt zu bleiben, muss die ausführbare Datei täglich und im Falle eines sehr umfangreichen Vorgangs sogar mehrmals täglich „gereinigt“ und verschleiert werden. Solche Dienste sind für 20 bis 50 US-Dollar pro einzelner Payload-Verschleierung verfügbar; bei Großaufträgen können jedoch auch niedrigere Preise ausgehandelt werden.

• Zwei Hauptübertragungswege für bösartige Payloads sind eine ständige Umleitung des Webverkehrs auf die infizierte Ressource oder eine E-Mail-Spamkampagne. Während es 15 bis 50 US-Dollar kostet, tausend ahnungslose Menschen dazu zu bringen, die infizierte Webseite zu besuchen, verlangen professionelle Spam-Betreiber 400 US-Dollar pro Million erfolgreich zugestellter E-Mails.

• Wenn die Schadsoftware erfolgreich eingeschleust und die Bankdaten abgefangen wurden, muss der Täter mit einer Kette von Geldwäscheagenten und Geldwäschevermittlern zusammenarbeiten, um die endgültige Zahlung zu erhalten. Ein Geldwäscher mit einem hervorragenden Ruf und der Fähigkeit, schnell zu handeln, verlangt für jede Zahlung, die vom Konto eines Opfers überwiesen wird, eine saftige Provision von 50–60 Prozent. In manchen Fällen kann eine zusätzliche Provision von 5–10 Prozent erforderlich sein, um die Gelder zu waschen und sie dem Hauptbetreiber über die bevorzugte Zahlungsmethode wie Bitcoin, Web Money oder Western Union zu überweisen.

Werbung für den Sparta-Anrufdienst in der russischsprachigen Darknet-Community.

• Falls für die Durchführung einer Geldüberweisung eine zusätzliche telefonische Bestätigung erforderlich ist, wird diese von einem der Untergrund-Telefondienste durchgeführt. Die Kosten betragen zwischen 10 und 15 US-Dollar pro Anruf.

• Wenn zur Durchführung der Geldüberweisung ein zusätzliches Dokument und eine telefonische Bestätigung erforderlich sind, stehen Ihnen verschiedene unterstützende Anbieter zur Verfügung. Ein gefälschter Führerschein kann innerhalb weniger Stunden für 25 US-Dollar geliefert werden, während ein aufwendigeres Video-Selfie 100 US-Dollar kostet.

• Um die Wahrscheinlichkeit zu minimieren, dass ein Kontoinhaber eine nicht autorisierte Transaktion bemerkt, um SMS-Bestätigungen abzufangen oder um das Telefon des Kontoinhabers für die Dauer des Angriffs völlig unerreichbar zu machen, kann für 20 US-Dollar ein E-Mail-/Telefon-„Flooding“ erworben werden. Allerdings sind die Kosten für eine geklonte SIM-Karte mit 150–300 US-Dollar deutlich höher.

Abgesehen von den Geldern, die aus kompromittierten Bankkonten gestohlen wurden, wird der dauerhafte Zugriff auf ein ausgedehntes Netzwerk von Opfern auf der ganzen Welt zwangsläufig ein beträchtliches Resteinkommen generieren.

• Das Nachschlagen von Anmeldeinformationen für Ressourcen, auf die es die Angreifer nicht direkt abgesehen haben, kann Untergrundkämpfern angeboten werden und kann pro Satz zusätzliche 100 bis 200 US-Dollar einbringen. Ein solcher Dienst ist bei Nischenkäufern gefragt, die wahrscheinlich an kommerziellen und staatlichen Spionagekampagnen beteiligt sind.

• Über einen der Darknet-Marktplätze können Kreditkarteninformationen schnell für 5 bis 10 US-Dollar pro Stück verkauft werden.

• Die Nachfrage nach verschiedenen E-Commerce-Anmeldeinformationen ist konstant. Durch die jüngste Zunahme groß angelegter Kampagnen zur Übernahme von Konten ist jedoch ein Überangebot an verfügbaren Daten entstanden, wodurch der Preis auf 1 bis 5 US-Dollar pro Satz Anmeldeinformationen gesunken ist.

• In einigen Fällen kann es vorkommen, dass ein Angreifer die gewünschten Ergebnisse nicht erzielen kann und die Malware auf Abruf anderen Kriminellen für etwa 1 US-Dollar pro Installation angeboten wird.

• Am Ende ihrer angemessenen Haltbarkeitsdauer können zufällig ausgewählte Botnet-Protokolle, die aus gesammelten unstrukturierten Daten bestehen, problemlos für 20 US-Dollar pro Gigabyte Daten verkauft werden.

Ausblick

Obwohl in diesem Beispiel nur eine einzige gängige Angriffsmethode untersucht wurde, könnte eine ähnliche unterstützende Infrastruktur auch zum Einleiten anderer cyberkrimineller Operationen verwendet werden, darunter Ransomware- und Phishing-Kampagnen. Es wird selten vorkommen, dass ein Cyberangriff einer einzelnen, isoliert agierenden Person zugeschrieben wird, denn um einen Angriff erfolgreich von der Konzeption bis zum Profit zu führen, ist die Expertise mehrerer Fachbereiche erforderlich. Die Mittel hierfür sind alle kostenpflichtig. Die Kosten hängen lediglich davon ab, wie anspruchsvoll die Kampagne vom jeweiligen Akteur gewünscht wird.

Laden Sie den Anhang herunter, um weitere Informationen und Preise für Angriffstools zu erhalten.

Sie können Andrei auf Twitter unter @DeepSpaceEye folgen.