Der Zustand des Dark Web: Einblicke aus dem Untergrund

Der Aufstieg professioneller krimineller Banden, Malware as a Service und eine verbesserte Infrastruktur zur Durchführung krimineller Aktivitäten verändern das Dark Web. Was das für die Sicherheit von Unternehmen bedeutet, lesen Sie hier. [...]

Laut Turnage hat sich das Dark Web zu einem Zwischenraum entwickelt, in dem Cyberkriminelle minimal interagieren (c) pixabay.com

In letzter Zeit haben die Akteure im Dark Web eine Sorge mehr: von den Strafverfolgungsbehörden erwischt zu werden. Die Verfolgung illegaler Aktivitäten im Dark Web ist für die Behörden ein Katz-und-Maus-Spiel, aber am Ende erwischen sie ihre Gegner oft und beschlagnahmen das Schwarzgeld. In der Nacht der US-Präsidentschaftswahl 2020 gelang es US-Regierungsbeamten beispielsweise, eine Bitcoin-Brieftasche im Wert von 1 Milliarde Dollar zu leeren, in der sich Gelder befanden, die mit Silk Road in Verbindung standen – sieben Jahre nach der Schließung des Marktes. Silk Road war ein beliebter Untergrundmarktplatz, der mit illegalen Waren und Dienstleistungen wie Drogen, Hacking for Hire und Auftragsmord handelte.

Auflösung von cyberkriminellen Gruppen und Ausstiegsbetrug

Ereignisse wie diese haben Cyberkriminelle dazu veranlasst, neue Strategien zu entwerfen, die manchmal darin bestehen, den Laden zu schließen und abzukassieren, bevor sie auf dem Radar der Bundesbehörden erscheinen. Im Oktober 2020 hat sich die Ransomware-Gruppe Maze, die in Hunderte von Unternehmen wie Xerox, LG und Canon eingedrungen ist, über einen Zeitraum von sechs Wochen mit der Begründung zurückgezogen, dass sie ihre Aktivitäten eingestellt habe. Experten vermuten jedoch, dass dies wahrscheinlich nur eine Täuschung ist. Ransomware-Betreiber schließen oft einen Betrieb, um sich einem anderen anzuschließen, anstatt sich komplett aus dem Geschäft zurückzuziehen.

„In den letzten Jahren hat sich das Dark Net dramatisch verändert, und zwar ganz organisch durch die zunehmende Nutzung anonymer Foren und Marktplätze durch organisierte kriminelle Organisationen, die zunehmende Präsenz junger, von YouTube inspirierter ‚krimineller Möchtegerns‘ und natürlich die daraus resultierende verstärkte Präsenz der Strafverfolgungsbehörden und deren Versuche, solche Gruppen und versteckte Dienste zu infiltrieren, zu de-anonymisieren und auszuschalten“, sagt Mark Turnage, CEO von DarkOwl, einer Suchmaschine für das Dark Web.

Das Dark Web wird zum Rekrutierungskanal

Laut Turnage hat sich das Dark Web zu einem Zwischenraum entwickelt, in dem Cyberkriminelle minimal interagieren, um neue Mitglieder für ihre Gruppe abzuwerben. Anschließend verlagern sie die Kommunikation auf private, verschlüsselte Kanäle wie Telegram, Jabber und WickR. „Malware-Entwickler und Finanzbetrüger [Kriminelle] verlassen sich weniger auf Dark-Net-Marktplätze, um ihre Exploits zu verbreiten, sondern nutzen stattdessen Black-Hat-Foren im Deep Web und Darknet, um ihre Marke zu etablieren, Einfluss in der Community zu gewinnen und neue Mitglieder zu rekrutieren“, sagt Turnage. „Viele kriminelle Organisationen nutzen das Darknet lediglich, um potenzielle Partner, insbesondere in der Ransomware-as-a-Service-Branche, und ihre [Mitverschwörer] zu überprüfen.“

Turnage zufolge hat DarkOwl beobachtet, dass technisch versiertere Kriminelle verstärkt alternative dezentrale Dark Nets und Meshnets wie Lokinet und Yggdrasil nutzen. Er führt dies auf die kurze Lebensdauer von Dark-Net-Marktplätzen und -Diensten über Tor und Serverbeschlagnahmungen durch global koordinierte Strafverfolgungsbehörden zurück.

Die Verlagerung von Marktplätzen von Tor-Knoten zu privaten Messaging-Diensten kann auch technische Vorteile mit sich bringen, wie z.B. Schutz vor Distributed Denial of Service (DDoS). Diese technischen Sicherheitsvorkehrungen könnten Dark-Web-Admins anlocken, da Untergrund-Marktplätze wie Empire nach DDoS-Angriffen durch andere Cyberkriminelle in eher ironischen Erpressungsversuchen gezwungen waren, sich selbst abzuschalten. Durch das abrupte Ende von Empire ist auch die sogenannte „Escrow“-Garantie hinfällig geworden, was einige Kunden dazu veranlasst hat, die Schließung als „Exit-Betrug“ zu bezeichnen.

Indem sie ihre Kunden auf legitime, End-to-End-verschlüsselte Messaging-Dienste umstellen, nutzen Cyberkriminelle die zuverlässige, verteilte Infrastruktur dieser Plattformen, während sie gleichzeitig diskret bleiben und sich der Kontrolle der Strafverfolgungsbehörden entziehen. Zugegeben, Messaging-Plattformen wie Telegram sind nicht völlig immun gegen DDoS-Attacken, aber der Schutz vor solchen Angriffen liegt dann in der Verantwortung der Plattform-Besitzer und nicht der Dark Web Ops.

Nutzung von Untergrund-Chatter zum Sammeln von Informationen

Laut Raveed Laeb, Produktmanager bei KELA, repräsentiert das Dark Web von heute eine große Vielfalt an Waren und Dienstleistungen. Obwohl sich die Kommunikation und die Transaktionen im Dark Web traditionell auf Foren konzentrierten, haben sie sich auf andere Medien verlagert, darunter IM-Plattformen, automatisierte Shops und geschlossene Gemeinschaften. Bedrohungsakteure tauschen über diese Medien verdeckte Informationen über kompromittierte Netzwerke, gestohlene Daten, geleakte Datenbanken und andere monetarisierbare Produkte der Cyberkriminalität aus.

„Die Marktverschiebungen konzentrieren sich auf Automatisierung und Servitization [Abo-Modelle], die darauf abzielen, dem Cybercrime-Geschäft zu helfen, in großem Umfang zu wachsen“, sagt Laeb. „Wie der exponentielle Anstieg von Ransomware-Angriffen, die das Ökosystem der Untergrundfinanzierung nutzen, zeigt, ermöglichen die Märkte von Cyberkriminellen zu Cyberkriminellen den Akteuren, nahtlos eine Lieferkette zu schaffen, die dezentrale und effektive Cyberkriminalität unterstützt – was Angreifern einen inhärenten Vorteil verschafft.“

Positiv ist, dass Sicherheitsexperten und Bedrohungsanalysten diese Informationen nutzen können, um Systemschwachstellen zu identifizieren und zu flicken, bevor Bedrohungsakteure sie ausnutzen können. „Verteidiger können diese robusten und dynamischen Ökosysteme ausnutzen, indem sie Einblick in das Innenleben des Untergrund-Ökosystems erhalten – und so dieselben Schwachstellen, Gefährdungen und Kompromisse aufspüren, die von Bedrohungsakteuren ausgenutzt werden, und sie beheben, bevor sie ausgenutzt werden“, sagt Laeb.

Dies kann durch die Überwachung von Foren und Darknet-Seiten geschehen, auf denen sich Bedrohungsakteure höchstwahrscheinlich aufhalten, über bevorstehende Bedrohungen diskutieren und Exploits zum Verkauf anbieten. So hat ein Hacker kürzlich in einem Forum Exploits für über 49.000 verwundbare Fortinet-VPNs gepostet, von denen einige prominenten Telekommunikationsunternehmen, Banken und Regierungsorganisationen gehörten. Es folgte ein zweiter Forenbeitrag, in dem ein anderer Bedrohungsakteur die Klartext-Anmeldeinformationen für alle VPN-Geräte offenlegte, die jeder Gegner ausnutzen kann. Obwohl es sich bei der fraglichen Schwachstelle um einen zwei Jahre alten Path-Traversal-Bug handelt, den wahrscheinlich niemand mehr auf dem Radar hat, waren Tausende von Unternehmens-VPNs auf der Liste weiterhin anfällig für dieses kritische Problem.

Das Anzapfen solcher Foren und die Beobachtung solcher Informationen kann den Sicherheitsteams in Unternehmen einen Hinweis darauf geben, wo die Angreifer als Nächstes zuschlagen könnten. 

Aufspüren illegaler Aktivitäten, die als legitime Programme getarnt sind

APT-Gruppen (Advanced Persistent Threats) nutzen das Dark Web, um Wissen über ihre Ziele zu sammeln und dann legitime Netzwerkprotokolle und Programme für die verdeckte Datenexfiltration zu nutzen. „In der Vergangenheit haben sich Unternehmen in der Regel nur darum gekümmert, dass ihre eigenen Daten im Dark Web auftauchen, und selbst dann würden nur dann die Alarmglocken läuten, wenn bedeutende Daten gefunden würden. Viele der von chinesischen und russischen Nationalstaaten unterstützten Advanced Persistent Threat-Gruppen nutzen das Dark Net jedoch mittlerweile, um potenzielle Ziele zu erkunden und dann als Deckmantel für die Exfiltration von Daten zu dienen“, erklärt Vince Warrington, CEO bei Dark Intelligence.

„Seit Anfang 2020 ist die Nutzung von SSH durch diese APT-Gruppen um über 200 % gestiegen. Unsere Recherchen ergaben, dass APT-Gruppen SSH über Port 22 nutzen, um unbemerkt in Unternehmen einzudringen und, einmal drinnen, schlecht überwachte und gewartete Systeme – vor allem industrielle Steuerungssysteme – zu nutzen, um erhebliche Datenmengen zu stehlen. Bei mehreren kürzlich erfolgten Angriffen sollen mehr als 1 Terabyte an Daten von einzelnen Unternehmen gestohlen worden sein – eine riesige Menge, die Unternehmen nicht erkennen, weil sie nicht in der Lage sind, Dark-Net-Verbindungen effektiv zu überwachen“, sagt Warrington.

Dieser Punkt wurde durch die Entdeckung des massiven SolarWinds-Lieferkettenangriffs im letzten Monat untermauert, der der russischen Spionagegruppe APT29, auch bekannt als Cozy Bear, zugeschrieben wird. Indem sie das Vertrauen in ein legitimes Programm wie SolarWinds Orion und seine sicheren Update-Kanäle (oder Protokolle) ausnutzten, schafften es raffinierte Angreifer, unbemerkt in mehr als 18.000 der 300.000 SolarWinds-Kunden einzudringen und blieben über Monate hinweg unentdeckt. Ihre finsteren Aktivitäten, die im Rahmen dieses Angriffs durchgeführt wurden, könnten eine verdeckte Überwachung und Datenexfiltration beinhaltet haben, die keine offensichtlichen Spuren hinterlassen hat.

Dies unterscheidet sich von Fällen, in denen Bedrohungsakteure in öffentlichen oder Dark-Web-Foren Lärm machen, wenn sie Daten-Dumps durchsickern lassen. Es reicht also nicht aus, das Dark Web allein auf Anzeichen von Datenexfiltration zu überwachen.

Bedrohungsanalysten und Sicherheitsforscher sind daher aufgefordert, ihre Überwachungsstrategien neu zu bewerten. Anstatt sich nur auf die Erkennung von Anomalien innerhalb von Unternehmensnetzwerken zu konzentrieren, wie z. B. fremde IPs und seltsame Portnummern, oder darauf zu warten, dass geschützte Daten im Dark Web auftauchen, lohnt es sich, vertrauenswürdige Programme und Dienste, einschließlich ihrer Sicherheitsupdates, sowie die Software-Lieferketten Ihres Unternehmens zu überwachen, wo sich Bedrohungsakteure unbemerkt verstecken könnten.

*Ax Sharma ist ein erfahrener Cybersecurity-Profi und Technologe, der es liebt, zu hacken, ethisch zu arbeiten und über Technologie zu schreiben, um ein breites Publikum aufzuklären.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*