Wie der europäische
Wirtschaftsraum angegriffen wird

Big-Game-Hunting — kriminelle Bedrohungsakteure wissen um die Notwendigkeit kritischer Wirtschaftsbereiche und deren reibungslosen Betrieb. Eine Kompromittierung zielt in den meisten Fällen auf deren Relevanz ab, da ein Ausfall der Infrastruktur eine gesellschaftliche Notlage bedeuten könnte.
AWS-Logo
Überblick
Underground-Economy
Unregulierte Märkte
Kriminelle Bedrohungsakteure versammeln sich auf Plattformen, die aufgrund ihrer wirtschaftlichen Ausrichtung als "Underground-Economy" bezeichnet werden. Dabei bilden sich auf dieser Grundlage ein oder mehrere international vernetzte, organisierte und logische kriminelle Konzepte die das Ziel haben, durch kriminelle Aktivitäten der europäischen Wirtschaft zu schaden und finanziell zu profitieren. Auf solchen Plattformen werden alle notwendigen Utensilien angeboten, um kriminellen Aktivitäten nachzugehen: Kreditkarten, Bankdaten, Zugänge zu Diensten, Bankkonten, VPN-Dienste, Proxies, Drogen und jede Art von weiteren Leistungen wie beispielsweise Cybercrime-as-a-Service (CCaaS). Charakteristisch für den Marktplatz im Untergrund ist die Verbindung von Wertschöpfungsketten. Daten werden zunächst auf kriminelle Weise entwendet, um als Basis für weitere kriminelle Aktivitäten zu dienen. Es können mit dem Kauf und Weiterverkauf dieser Daten und deren unterschiedliche Nutzung Gewinne an verdienen Punkten dieser Ketten generiert werden.
Die sechs Säulen
Foren und XMPP-Server
Besagte Plattformen dienen kriminellen Bedrohungsakteuren als Sammelstelle sowohl für entwendete Daten wie beispielsweise Kreditkarten und Bankinformationen als auch für Dienste wie CCaaS.
BP-Hosting und CDN
Eine robuste Infrastruktur wird durch ein Bulletproof-Hosting als auch durch einen Content-Delivery-Network (CDN)-Dienst erreicht. Dadurch schützt sich der Betreiber einer kriminellen Plattform vor Strafbehörden, da  BP-Hoster und CDN-Dienstleister in der Regel nicht kooperativ sind.
Crypting und Obfuscating
Crypting beschreibt den Prozess der Verschlüsselung (Run- und Scantime) maliziöser Software, welcher nicht durch den Entwickler sondern durch einen Crypter übernommen wird. Dieses Verbessern der Malware dient der Tarnfähigkeit gegenüber Antiviren-Software.
Malware-Delivery und Spam
Das Verteilen und Installieren von Malware stellt einen elementaren Schritt in der Verwertungskette dar. Die Kosten der Distribution orientieren sich an der Art der Malware, die Dauer und die Vervielfältigungsanzahl. Die Streuung erfolgt durch Spam, infizierte und infiltrierte Websites, Drive-By-Downloads und oder durch P2P-Netzwerke.
Drops und Cash-Out
Geldmittel die durch kriminelle Aktivitäten erwirtschaftet wurden müssen durch kriminelle Bedrohungsakteure aus dem risikoreichen Zyklus abgehoben werden. Diese Zahlungen werden an falsche Bankkonten (Bankdrops) weitergeleitet um anschließend am Geldautomaten per EC-, Debit-, oder Kreditkarte abgehoben zu werden.
Geldwäsche durch Exchanging
Das erwirtschaftete Geld muss in eine Währung (in den meisten Fällen Cryptowährung wie Bitcoin) umgewandelt werden, damit Behörden dem kriminellen Bedrohungsakteur keine konkreten Straftaten zugeordnet werden können.

Zero-Trust-Strategien

Eine Zero-Trust-Strategie bietet vor allem in unsicheren Zeiten eine sichere Zukunft. Sie bildet das Fundament für Agilität und Verfügbarkeit von Infrastrukturen, Anwendungen sowie Services innerhalb eines technologisch fortschrittlichen Unternehmens. Unsere Experten bei NEXGAP machen Ihr Unternehmen somit resistenter gegenüber Cyber-Bedrohungen, beschleunigen die Transformation Ihrer Infrastrukturen und gestalten Ihr Unternehmen mit hochtechnologischen Assets effizienter denn je zuvor.
Einsatz von Malware
Für kriminelle Bedrohungsakteure ist der Einsatz von Malware ein elementarer Bestandteil ihres Handelns. Kaum einer Straftat wird ohne den Einsatz von Malware oder anderer missbräuchlich eingesetzter Software (wie beispielsweise Remote-Administration-Tools) begangen. Dabei ist die Bandbreite der Funktionalität der uns bekannten Malware-Familien erstaunlich groß. Kriminelle Bedrohungsakteure professionalisieren sich zunehmend, und das nicht nur in Bezug auf Malware, sondern auch auf die spezialisierende Arbeitsteilung im Untergrund. So etabliert sich eine organisierte, autonome Wirtschaft, deren Wirkung die Schädigung von elementaren Bestandteilen der Gesellschaft darstellt. Durch diese Professionalisierung steigen Quantität und Qualität von Angriffen. Während die eingesetzte Malware und die einhergehenden Kampagnen ausgefeilter und technisch komplexer werden, etablieren sich kompetente und fachkundige kriminelle Bedrohungsakteure, welche die Infrastrukturen der Foren perfektionieren und so die Grundlage für weitere, ressourcenaufwendige Angriffe ermöglichen.
Dropper und Loader
Eines der bekanntesten Dowloader ist Emotet. Diese Software dient primär als Einfallstor für weitere Malware. Emotet setzt sich im infizierten System fest und lädt weitere Malware nach.
Kryptominer
Miner schürfen auf fremden Systemen nach Cryptowährungen. Dabei wird sowohl die Rechenleistung des Systems als auch die Bandbreite des Internetanbieters in Anspruch genommen.
Remote Administration Tool
Remote-Administration-Tools (RAT) sind keine Malware im engeren Sinne sondern missbräuchlich eingesetzte Software die der Fernwartung von Systemen und Servern dienen.
Einsatz von Ransomware
Kompromittierungen mit Ransomware zählt auch in diesem Jahr zu den primären Bedrohungen für zahlreiche Unternehmen und öffentliche Einrichtungen. Der Vorteil von Ransomware ist, dass sich diese Art von Malware äußerst einfach verbreiten lässt und ein unglaubliches Schadenpotenzial hat. Eine Kompromittierung mit Ransomware und eine damit zusammenhängende Verschlüsselung eines oder mehrerer Systeme kann für jedes Unternehmen zu massiven und kostenintensiven Unterbrechungen führen. Die Vergangenheit zeigt, dass sich Malware auch innerhalb kritischen Infrastrukturen großer Konzerne verbreiten kann. Kompromittierungen von äußerst kritischen und für die Gesellschaft wichtigen Infrastrukturen wie beispielsweise Krankenhäuser oder Kraftwerke, zeigen, dass bei Erfolg der Kompromittierung dramatische Folgen für die Bevölkerung nach sich ziehen können. Kriminelle Bedrohungsakteure fokussierten sich im Zuge der Pandemie vermehrt auf das "Big-Game", das heißt auch große Unternehmen und wichtige öffentliche Einrichtungen.
Double-Extortion
Als Double-Extortion wird die Verschlüsselung der Systeme bei gleichzeitiger Erpressung des Unternehmens mit der Veröffentlichung kritischer Unternehmens- und Kundendaten bezeichnet.
Lösegeldforderungen
Die durchschnittliche Forderung bei einer Kompromittierung steigt kontinuierlich an. Die derzeitige Spannweite liegt gemäß einer Befragung aus 2019 zwischen 10 und 100 Millionen Euro.
Schäden durch Ransomware
Ransomware verursacht jährlich einen Schaden im siebenstelligen Euro-Bereich. In dieser Statistik sind keine Reputationsschäden oder Folgeschäden durch die Veröffentlichung kritischer Daten vorhanden.
Big-Game-Hunting
Big-Game
Hunting erklärt
Kriminelle Bedrohungsakteure wissen um die Notwendigkeit kritischer Wirtschaftsbereiche und deren reibungslosen Betrieb. Eine Kompromittierung zielt in den meisten Fällen auf deren Relevanz ab, da ein Ausfall der Infrastruktur eine gesellschaftliche Notlage bedeuten könnte — lernen Sie die andere Seite des Internets kennen.
Vektor
Die unkompliziertesten Vektoren bleiben Spam, kompromittierte Infrastrukturen und Phishing. Die Nutzung von CVE beziehungsweise Exploits ermöglichen weiteres Voranschreiten.
Mehr erfahren
Motivation
Das Hauptmerkmal eines kriminellen Bedrohungsakteurs kann selbstverständlich politisch motivierter Natur sein, in den meisten Fällen geht es jedoch um die erwirtschafteten Geldmittel.
Mehr erfahren
Ziel
Kriminelle Bedrohungsakteure greifen wirtschaftlich starke Unternehmen, kritische Infrastrukturen und öffentliche Einrichtungen an. Notlagen durch den Ausfall werden durch die Akteure in Kauf genommen.
Mehr erfahren
APT-Aktivitäten
Advanced-Persistent-Threats (APT)
Kompromittierungen von öffentlichen Institutionen, Gesundheitswesen, Finanzwesen oder wirtschaftlich relevanten Unternehmen weisen auf, dass Deutschland ein beliebtes Ziel von Advanced-Persistent-Threats (APT) sei. Innerhalb des deutschen Wirtschaftsraums haben sich kriminelle Vereinigungen gebildet, für die das Land eine lukrative Einnahmequelle darstellt wegen der politischen Relevanz und der Macht, die von Deutschland ausgeht. Vereinbaren Sie eine Session mit unseren Experten und erleben Sie eine Kompromittierung in Echtzeit. Lernen Sie die andere Seite des Internets kennen und verstehen Sie, wie kriminelle Bedrohungsakteure tagtäglich Unternehmen angreifen.
Weitere Ressourcen
Logo
NEXGAP © 2021. Alle Rechte vorbehalten.
Big-Game-Hunting

Wie die europäische Wirtschaft angegriffen wird

Big-Game-Hunting — kriminelle Bedrohungsakteure wissen um die Notwendigkeit kritischer Wirtschaftsbereiche und deren reibungslosen Betrieb. Eine Kompromittierung zielt in den meisten Fällen auf deren Relevanz ab, da ein Ausfall der Infrastruktur eine gesellschaftliche Notlage bedeuten könnte.
AWS-Logo

Underground-Economy

Kriminelle Bedrohungsakteure versammeln sich auf Plattformen, die aufgrund ihrer wirtschaftlichen Ausrichtung als "Underground-Economy" bezeichnet werden. Dabei bilden sich auf dieser Grundlage ein oder mehrere international vernetzte, organisierte und logische kriminelle Konzepte die das Ziel haben, durch kriminelle Aktivitäten der europäischen Wirtschaft zu schaden und finanziell zu profitieren. Auf solchen Plattformen werden alle notwendigen Utensilien angeboten, um kriminellen Aktivitäten nachzugehen: Kreditkarten, Bankdaten, Zugänge zu Diensten, Bankkonten, VPN-Dienste, Proxies, Drogen und jede Art von weiteren Leistungen wie beispielsweise Cybercrime-as-a-Service (CCaaS). Charakteristisch für den Marktplatz im Untergrund ist die Verbindung von Wertschöpfungsketten. Daten werden zunächst auf kriminelle Weise entwendet, um als Basis für weitere kriminelle Aktivitäten zu dienen. Es können mit dem Kauf und Weiterverkauf dieser Daten und deren unterschiedliche Nutzung Gewinne an verdienen Punkten dieser Ketten generiert werden.
Marktplätze
im kriminellen Untergrund
Die europäische Underground-Economy ist ein krimineller Spiegel unserer globalisierten Gesellschaft. Angebot und Nachfrage beherrschen restriktiv den kriminellen Markt, welcher von Jahr zu Jahr wächst.
Mal- und
Ransomware
Der Einsatz von Mal- und Ransomware bleibt auch 2021 elementarer Bestandteil des kriminellen Handelns eines jeden Akteurs. Jede Kompromittierung beginnt mit der Nutzung eines solchen Builders.
Angriffe auf
die reale Wirtschaft
Bedrohungsakteure greifen dort an, wo es sich finanziell lohnt. Besonders wirtschaftlich starke Unternehmen, Institutionen mit kritischen Infrastrukturen und öffentliche Einrichtungen sind betroffen.

Die sechs Säulen

Foren und XMPP-Server
Besagte Plattformen dienen kriminellen Bedrohungsakteuren als Sammelstelle sowohl für entwendete Daten wie beispielsweise Kreditkarten und Bankinformationen als auch für Dienste wie CCaaS.
BP-Hosting und CDN
Eine robuste Infrastruktur wird durch ein Bulletproof-Hosting als auch durch einen Content-Delivery-Network (CDN)-Dienst erreicht. Dadurch schützt sich der Betreiber einer kriminellen Plattform vor Strafbehörden, da  BP-Hoster und CDN-Dienstleister in der Regel nicht kooperativ sind.
Crypting und Obfuscating
Crypting beschreibt den Prozess der Verschlüsselung (Run- und Scantime) maliziöser Software, welcher nicht durch den Entwickler sondern durch einen Crypter übernommen wird. Dieses Verbessern der Malware dient der Tarnfähigkeit gegenüber Antiviren-Software.
Malware-Delivery und Spam
Das Verteilen und Installieren von Malware stellt einen elementaren Schritt in der Verwertungskette dar. Die Kosten der Distribution orientieren sich an der Art der Malware, die Dauer und die Vervielfältigungsanzahl. Die Streuung erfolgt durch Spam, infizierte und infiltrierte Websites, Drive-By-Downloads und oder durch P2P-Netzwerke.
Drops und Cash-Out
Geldmittel die durch kriminelle Aktivitäten erwirtschaftet wurden müssen durch kriminelle Bedrohungsakteure aus dem risikoreichen Zyklus abgehoben werden. Diese Zahlungen werden an falsche Bankkonten (Bankdrops) weitergeleitet um anschließend am Geldautomaten per EC-, Debit-, oder Kreditkarte abgehoben zu werden.
Geldwäsche durch Exchanging
Das erwirtschaftete Geld muss in eine Währung (in den meisten Fällen Cryptowährung wie Bitcoin) umgewandelt werden, damit Behörden dem kriminellen Bedrohungsakteur keine konkreten Straftaten zugeordnet werden können.

Wie Malware eingesetzt wird

Für kriminelle Bedrohungsakteure ist der Einsatz von Malware ein elementarer Bestandteil ihres Handelns. Kaum einer Straftat wird ohne den Einsatz von Malware oder anderer missbräuchlich eingesetzter Software (wie beispielsweise Remote-Administration-Tools) begangen. Dabei ist die Bandbreite der Funktionalität der uns bekannten Malware-Familien erstaunlich groß. Kriminelle Bedrohungsakteure professionalisieren sich zunehmend, und das nicht nur in Bezug auf Malware, sondern auch auf die spezialisierende Arbeitsteilung im Untergrund. So etabliert sich eine organisierte, autonome Wirtschaft, deren Wirkung die Schädigung von elementaren Bestandteilen der Gesellschaft darstellt. Durch diese Professionalisierung steigen Quantität und Qualität von Angriffen. Während die eingesetzte Malware und die einhergehenden Kampagnen ausgefeilter und technisch komplexer werden, etablieren sich kompetente und fachkundige kriminelle Bedrohungsakteure, welche die Infrastrukturen der Foren perfektionieren und so die Grundlage für weitere, ressourcenaufwendige Angriffe ermöglichen.
Dropper und Loader
Eines der bekanntesten Dowloader ist Emotet. Diese Software dient primär als Einfallstor für weitere Malware. Emotet setzt sich im infizierten System fest und lädt weitere Malware nach.
Kryptominer
Miner schürfen auf fremden Systemen nach Cryptowährungen. Dabei wird sowohl die Rechenleistung des Systems als auch die Bandbreite des Internetanbieters in Anspruch genommen.
Remote Administration Tool
Remote-Administration-Tools (RAT) sind keine Malware im engeren Sinne sondern missbräuchlich eingesetzte Software die der Fernwartung von Systemen und Servern dienen.

Wie Ransomware eingesetzt wird

Kompromittierungen mit Ransomware zählt auch in diesem Jahr zu den primären Bedrohungen für zahlreiche Unternehmen und öffentliche Einrichtungen. Der Vorteil von Ransomware ist, dass sich diese Art von Malware äußerst einfach verbreiten lässt und ein unglaubliches Schadenpotenzial hat. Eine Kompromittierung mit Ransomware und eine damit zusammenhängende Verschlüsselung eines oder mehrerer Systeme kann für jedes Unternehmen zu massiven und kostenintensiven Unterbrechungen führen. Die Vergangenheit zeigt, dass sich Malware auch innerhalb kritischen Infrastrukturen großer Konzerne verbreiten kann. Kompromittierungen von äußerst kritischen und für die Gesellschaft wichtigen Infrastrukturen wie beispielsweise Krankenhäuser oder Kraftwerke, zeigen, dass bei Erfolg der Kompromittierung dramatische Folgen für die Bevölkerung nach sich ziehen können. Kriminelle Bedrohungsakteure fokussierten sich im Zuge der Pandemie vermehrt auf das "Big-Game", das heißt auch große Unternehmen und wichtige öffentliche Einrichtungen.
Double-Extortion
Als Double-Extortion wird die Verschlüsselung der Systeme bei gleichzeitiger Erpressung des Unternehmens mit der Veröffentlichung kritischer Unternehmens- und Kundendaten bezeichnet.
Lösegeldforderungen
Die durchschnittliche Forderung bei einer Kompromittierung steigt kontinuierlich an. Die derzeitige Spannweite liegt gemäß einer Befragung aus 2019 zwischen 10 und 100 Millionen Euro.
Schäden durch Ransomware
Ransomware verursacht jährlich einen Schaden im siebenstelligen Euro-Bereich. In dieser Statistik sind keine Reputationsschäden oder Folgeschäden durch die Veröffentlichung kritischer Daten vorhanden.

Big-Game-Hunting
erklärt

Kriminelle Bedrohungsakteure wissen um die Notwendigkeit kritischer Wirtschaftsbereiche und deren reibungslosen Betrieb. Eine Kompromittierung zielt in den meisten Fällen auf deren Relevanz ab, da ein Ausfall der Infrastruktur eine gesellschaftliche Notlage bedeuten könnte — lernen Sie die andere Seite des Internets kennen.
Vektor
Die unkompliziertesten Vektoren bleiben Spam, kompromittierte Infrastrukturen und Phishing. Die Nutzung von CVE beziehungsweise Exploits ermöglichen weiteres Voranschreiten.
Mehr erfahren
Motivation
Das Hauptmerkmal eines kriminellen Bedrohungsakteurs kann selbstverständlich politisch motivierter Natur sein, in den meisten Fällen geht es jedoch um die erwirtschafteten Geldmittel.
Mehr erfahren
Ziel
Kriminelle Bedrohungsakteure greifen wirtschaftlich starke Unternehmen, kritische Infrastrukturen und öffentliche Einrichtungen an. Notlagen durch den Ausfall werden durch die Akteure in Kauf genommen.
Mehr erfahren
LogoKontakt aufnehmen