Obwohl die Zahl der Ransomware Attacken 2021 leicht zurückging, ist bei Weitem keine Entwarnung in Sicht. Erst im November machte der Angriff auf die Elektronikmärkte MediaMarkt und Saturn Schlagzeilen. Betroffen waren die Kassen- und Warenwirtschaftssysteme in den Filialen, insgesamt 3.100 Windows-Server. Was steht am Anfang eines solchen Angriffs? Wie gelangen cyberkriminelle Gruppen überhaupt erst in die Systeme, um Ransomware einzuschleusen? Hier kommen Initial Access Broker ins Spiel, kurz: IABs.

IABs als „Vorbereiter“ für Attacken

IABs sind so etwas wie die Sherpas der Cyberkriminellen: Sie bereiten den Weg für Ransomware- Angriffe, indem sie lukrative Ziele ausmachen, Unternehmensnetzwerkzugänge via RDP-, VPNund Citrix-Gateways hacken und die Zugangsdaten anschließend auf Foren und Marktplätzen im Darknet verkaufen. Die cyberkriminelle Kundschaft kann daraufhin ungehindert in Systeme eindringen und enorme Schäden verursachen. Statt auf den nächsten Ransomware-Angriff zu warten, lohnt es sich also für Onlinehändler, das Problem bei der Wurzel zu packen und den IABs besondere Aufmerksamkeit zu schenken.

IABs agieren, wie ihr Name schon sagt, initial – also im Vorfeld – von Cyberattacken. Den Angriff an sich übernehmen andere. Was die IABs auszeichnet, ist ihr technisches Fachwissen: Das Spektrum der Expertise reicht von technisch hoch versierten Brokern bis hin zu Hobbykriminellen. Letztere sind oft nicht in der Lage, den erbeuteten Zugang selbst zu nutzen oder sie wissen nicht, wie sie ihn nutzen sollen. Andere hatten nur Glück und gelangten per Zufallsprinzip über schwache Passwörter in die Systeme – bei der nachlässigen Passwort-Hygiene vieler Unternehmen leider eine effektive Taktik.

Auf dem IAB-Marktplatz ist Retail Topseller

Da IABs wenig spezialisiert sind, sind sie in der Regel kundenunabhängig und verkaufen ihre Zugänge an den Meistbietenden. Zu den Stammkunden gehören vor allem Ransomware-Gruppen, die für die Verbreitung ihrer Erpresser-Malware nach einem geeigneten Einstiegsvektor suchen. Das bedeutet, dass jedes Unternehmen ein potenzielles Ziel für eine Netzwerk-Kompromittierung ist, unabhängig von seiner Größe, geografischen Lage oder Branche.

Trotzdem scheint ein Industriesektor bei IABs sowie Ransomware-Angreifern besonders populär. Laut dem Quartalsbericht¹ eines Threat Intelligence-Experten führt der Einzelhandel mit rund 21,6 % aller auf Foren und Marktplätzen zum Verkauf gestellten IAB-Angebote das Ranking der beliebtesten Angriffsziele im Q3 2021 zum zweiten Mal in Folge an. Insgesamt fanden die Analysten von April bis September 75 Erwähnungen. Der durchschnittliche Preis für einen Remote-Zugriff eines europäischen Retailers liegt bei 1773,50 US-Dollar. Der Preis richtet sich nach dem Umsatz des Unternehmens, der Art des verkauften Zugangs und der Anzahl der kompromittierten Geräte.
 

Was macht den Einzelhandel so attraktiv?

Für den Fokus von IABs auf den Onlinehandel spielen drei entscheidende Faktoren eine Rolle: Für finanziell motivierte Cyberkriminelle stellen Onlineshops und E-Commerce-Plattformen ein attraktives Ziel dar, um „Persönlich Identifizierbare Informationen“ (PII) wie Kreditkarten-Nummern, Bankkonten oder PayPal-Logins abzugreifen.

Darüber hinaus hat die COVID-19 Pandemie einen beispiellosen Boom im Onlinehandel ausgelöst. Konsumenten verlegten innerhalb kürzester Zeit einen Großteil ihrer Einkäufe ins Netz – seien es Lebensmittel, Kleidung, Möbel oder das Abendessen via Lieferdienst. Obwohl der Retail-Sektor hier einen Vorsprung vor anderen Branchen hatte, war nicht jeder auf den massiven Wechsel vom physischen Geschäft zum E-Commerce vorbereitet. Viele Shops hatten vor allem zu Beginn mit dem notgedrungenen Ausbau der IT-Infrastruktur und dem Schutz ihrer Onlineangebote Probleme. Die Zahl potenzieller Angriffsziele stieg für IABs somit exponentiell an. Gleichzeitig konnten sie gerade in Lockdown-Zeiten den Druck auf Einzelhändler erhöhen: Denn mit jeder Minute offline geht im Onlineshop nicht nur bares Geld, sondern auch die Geduld der Kunden verloren.

Zu guter Letzt führten niedrige Einstiegsbarrieren in der Cyberwelt dazu, dass auch technisch weniger versierte Akteure sich am Verkauf von Remote-Zugriffen versuchten. So entwickelten sich IABs zur am schnellsten wachsenden „Berufsgruppe” unter Cyberkriminellen. Ihre Ware trifft den Nerv der Zeit und bedient die Nachfrage am Markt optimal.

Was können Unternehmen tun, um sich zu schützen?

IABs sind opportunistisch und haben es auf leichte Beute abgesehen, die wenig Arbeit erfordert und einen schnellen Weg zum Ziel bietet. Für Retailer heißt das im Klartext: Wer sich schützen will, sollte es den Angreifern so schwer wie möglich machen und seine Angriffsfläche minimieren. Zu einer proaktiven Verteidigungsstrategie gegen IABs gehört in erster Linie das Monitoring. Onlinehändler, die Aktivitäten im Open, Deep und Dark Web im Blick behalten und IAB-Angebote auf einschlägigen Foren und Marktplätzen aktiv aufspüren, gehen damit bereits einen sehr wichtigen Schritt zur Prävention und Eindämmung von digitalen Risiken.

Die aktive Suche nach Angebotslisten im Darknet sollten Unternehmen auf unternehmensspezifische Variablen einschränken. Der Markt ist hoch dynamisch und verändert sich schnell. IABs wählen ihre Angriffsziele nach bestimmten Unternehmens-Merkmalen aus, z. B. Alexa Web Ranking, Geschäftsberichte, Branche, Anzahl der Mitarbeiter. Solche Informationen lassen sich in B2B-Datenbanken und Branchenverzeichnissen finden und eignen sich somit auch gut zur Orientierung beim Monitoring.

Beispiel VPN-Schutz

Bei der konkreten Strategie zur Eindämmung von digitalen Risiken spielt die Art des jeweiligen kompromittierten Zugangs-Typs eine entscheidende Rolle. VPN (Virtual Private Network) zum Beispiel ist mit 23,55% einer der am häufigsten gehandelte Fernzugriffe. Konventionelle VPNs stellen ein virtuelles privates (in sich geschlossenes) Kommunikationsnetz bereit, über das Mitarbeiter vom Computer zu Hause auf das Firmennetz zugreifen können. Im E-Commerce sorgen VPN-Lösungen für eine sichere und standortübergreifende Vernetzung.