Auch wenn Sie sich noch nicht näher mit dem Thema Initial Access Broker (IABs) befasst haben, haben Sie mit Sicherheit schon von deren Arbeit bei den jüngsten Cyberangriffen gelesen. Diese speziellen Cyberkriminellen brechen in Unternehmensnetzwerke ein und verkaufen den gestohlenen Zugang an andere Angreifer. Man kann sich die IABs als Hightech-Schlosser vorstellen, die Sicherheitssysteme knacken und die „Schlüssel“ an Ransomware-Gruppen und Cyber-Kriminelle verkaufen, die dann ihre eigenen Angriffe starten.

Um zu verstehen, wie IABs arbeiten, werfen wir einen Blick auf einen kürzlichen Angriff auf Amazon Web Services (AWS)-Kunden. Die Angreifer untersuchten die AWS-Systeme systematisch nach Schwachstellen und stahlen dabei über zwei Terabyte sensibler Daten, darunter Tausende von Zugangsdaten – angefangen von AWS-Access-Keys bis hin zu Datenbankanmeldungen. Getreu dem Geschäftsmodell des IAB verkauften sie diese gestohlenen Zugangsdaten über private Telegram-Kanäle, so dass andere Kriminelle die kompromittierten Unternehmen ins Visier nehmen konnten.

Dabei stellt sich immer die Frage: Wie kann sich Ihr Unternehmen vor IABs schützen? Im Folgenden erfahren Sie, wie IABs vorgehen, warum ihnen Benutzerdaten wichtiger sind als andere digitalen Assets und welche Maßnahmen Sie ergreifen können, um Ihre Gegenmaßnahmen zu stärken.

Das Geschäftsmodell von IABs und ihre kriminellen Taktiken

IABs arbeiten analog zu seriösen Unternehmen, komplett mit Kundendienstteams, gestaffelten Preismodellen und Geld-zurück-Garantien, wenn der gestohlene Zugang nicht funktioniert. Und sie haben für jeden im Dark Web etwas zu bieten. Für Kleinkriminelle, die zwar über Geldmittel verfügen, denen es aber an technischem Know-how mangelt, bieten IABs einen Zugang zu hochwertigen Unternehmen, in die sie auf eigene Faust niemals eindringen könnten.

Für erfahrenere Angreifer, insbesondere Ransomware-Gruppen, bieten IABs einen wertvollen Effizienzvorteil: Anstatt Wochen mit Einbruchsversuchen zu verschwenden, kaufen sie einfach einen verlässlichen Zugang und beginnen sofort mit dem Einsatz von Malware oder dem Diebstahl von Daten. Das Ergebnis ist eine effizientere Cyberkriminalität. Die IABs übernehmen die schwere Arbeit des Infiltrierens von Netzwerken, während sich ihre Kunden darauf konzentrieren, den Zugang mit ihren eigenen Angriffen zu Geld zu machen.

One-Stop-Shop

IABs bieten Cyberkriminellen eine zentrale Anlaufstelle für geplante Kampagnen. Angeboten wird alles, von einfachen VPN-Zugangsdaten über Remote-Desktop- Zugänge bis hin zu leistungsstarken Administratorkonten und Token für Cloud-Dienste. Ihre Angebote enthalten in der Regel detaillierte Informationen über die betroffene Organisation – beispielsweise den Jahresumsatz, die Branche und die Anzahl der Mitarbeiter – sodass die Käufer die für ihre Ziele am besten geeigneten Objekte auswählen können. Ein einfaches Benutzerkonto kann für ein paar Hundert Dollar verkauft werden, während die Anmeldedaten eines E-Mail-Administrators 140.000 Dollar wert sein können.

Darum sind IABs so scharf auf kompromittierte Zugangsdaten

Kompromittierte Zugangsdaten sind nach wie vor die kostbarste Ware unter allen Zugangsarten, die IABs verkaufen. Und die jüngsten Sicherheitsverletzungen bei großen Unternehmen zeigen, wie verheerend gestohlene Zugangsdaten sein können.

• Ende 2024 nutzten Angreifer Credential Stuffing, um das Online-Tarifierungstool von Geico zu exploiten, wobei sie die Daten von 116.000 Kunden ausspionierten was zu einer Geldstrafe von 9,75 Millionen Dollar führte.
• Im gleichen Zeitraum kam es bei ADT innerhalb von nur zwei Monaten zu zwei Sicherheitsverletzungen, bei denen 30.000 Kundendaten in einem Hackerforum veröffentlicht wurden. Die Angreifer drangen mit den gestohlenen Zugangsdaten eines Geschäftspartners in die internen Systeme ein.

Diese Vorfälle verdeutlichen, dass selbst Unternehmen mit beträchtlichen Cybersecurity-Budgets durch kompromittierte Anmeldedaten angegriffen werden können.

Das Ausmaß der Gefahr durch kompromittierte Zugangsdaten

Das Volumen der kompromittierten Zugangsdaten ist erschreckend. Laut dem IBM-„Cost of a Data Breach“-Report 2024 waren gestohlene oder kompromittierte Zugangsdaten für 19 % aller Datenschutzverletzungen verantwortlich, wobei es durchschnittlich 292 Tage dauerte, um diese Vorfälle zu entdecken. Im Verizon Data Breach Investigations Report 2024 wurde außerdem ermittelt, dass gestohlene Zugangsdaten bei 24 % aller Datenschutzverletzungen das Einfallstor waren.

Wie können Cyber-Threat-Intelligence-Lösungen helfen?

Eine der besten Maßnahmen zum Schutz von Daten und Systemen ist der proaktive Einsatz von Threat-Intelligence-Tools, die dabei helfen können, kompromittierte Zugangsdaten zu finden, bevor Angreifer diese verwenden können. Moderne Threat-Intelligence-Plattformen überwachen kontinuierlich Dark-Web- Börsen, Paste-Sites und Untergrundforen, in denen Anmeldedaten gehandelt werden. Und wenn Anmeldedaten von Mitarbeitern in neuen Daten-Dumps auftauchen oder von IABs zum Verkauf angeboten werden? Eine Threat-Intelligence-Plattform kann Ihr Sicherheitsteam alarmieren, so dass es sofort die Rücksetzung von Passwörtern erzwingen, betroffene Konten sperren und verdächtigen Aktivitäten nachgehen kann.

Aber Überwachung allein reicht nicht aus – Ihr Unternehmen muss robuste Kennwortrichtlinien erstellen und umsetzen, die Mitarbeiter davon abhalten, kompromittierte Anmeldedaten zu verwenden. Lösungen wie Specops Password Policy, die dauerhaft die Active Directory-Passwörter Ihres Unternehmens mit einer täglich aktualisierten Datenbank von mehr als 4 Milliarden kompromittierten Passwörtern abgleicht, helfen Ihnen dabei. Auch die Datenbank von Specops enthält Zugangsdaten, die im Dark Web durch die Threat-Intelligence-Analysten gefunden wurden.

Durch den kontinuierlichen Abgleich Ihres Active Directory mit dieser ständig wachsenden Liste kompromittierter Passwörter fügen Sie eine zusätzliche Schutzebene hinzu, die Angreifer daran hindert, geleakte Zugangsdaten auszunutzen, um Ihr Netzwerk zu infiltrieren.

Reduzieren Sie die Gefahr durch IABs

Zwar kann keine Lösung die Gefahr, die von IABs ausgeht, vollständig beseitigen, doch wenn Sie verstehen, wie diese funktionieren, und starke Maßnahmen zum Schutz von Zugangsdaten implementieren, können Sie Ihr Risiko wirkungsvoll reduzieren. Verfolgen Sie einen proaktiven Ansatz und kombinieren Sie Bedrohungsinformationen, um zu wissen, wodurch und wann Ihre Anmeldedaten kompromittiert wurden, mit robusten Passwortrichtlinien, die verhindern, dass bereits kompromittierte Anmeldedaten zum Einsatz kommen.
Kompromittierte Zugangsdaten sind weiterhin für Angreifer einer der einfachsten Wege in Ihr Unternehmensnetzwerk – schieben Sie diesem noch heute einen Riegel vor. Testen Sie Specops Password Policy oder Outpost24 Threat Kompass noch heute!