Trend-Micro-Studie zu „Infostealern“ Oligopol auf kriminellen Datenmarktplätzen

Anbieter zum Thema

TREND MICRO Deutschland GmbH

Infinigate Deutschland GmbH

WatchGuard Technologies GmbH

DataCore Software GmbH

Infostealer-Malware ist für den größten Teil der gestohlenen Daten verantwortlich. Die Daten werden dann auf Untergrund-Marktplätzen angeboten. Ein aktuell florierendes, aber natürlich kriminelles Geschäftsmodell. Grund genug genauer hinzusehen.

Genau das tat Trend Micro in ihrem Report „Your Stolen Data for Sale“. Das Cybersecurity-Unternehmen verglich darin unter anderem die 16 aktivsten Infostealer der vergangenen Jahre im Hinblick auf ihre Methodik, die Art der Daten auf die sie abzielen und deren Verbindung mit den beiden Untergrund-Marktplätzen „russian market“ und „2easy.shop“.

Krypto-Wallets und Website-Zugangsdaten sind beliebte Ziele

Im ersten Schritt unterscheidet der Bericht nach der Art der gestohlenen Daten. Die Untersuchung ergab, obwohl die „Infostealer“ jede Art von Daten extrahieren können, entscheiden sich viele für Krypto-Wallets und Website-Zugangsdaten. Die Erklärung ist einfach: Die beiden Arten lassen sich am schnellsten zu Geld machen! Dies funktioniert beispielsweise mit WLAN-Zugangsdaten oder Desktop-Screenshots deutlich schlechter. Krypto-Wallets und Website-Zugangsdaten finden sich auch problemlos auf den beiden Untergrund-Börsen wieder, gut organisiert durch Suchfaktoren und Zip Files werden beide dort angeboten. Die Krypto-Wallets lassen sich auf „russian market“ sogar via Keyword-Suche finden.

Die Studienersteller haben sich auch das Risiko des Datendiebstahls in verschiedenen Ländern angesehen. Viel infizierte Hardware stammt aus Entwicklungsländern wie Indien, Indonesien und Pakistan. Aber unter Berücksichtigung der Internetpopulation in den jeweiligen Ländern schaffen es auch Staaten wie Portugal, Griechenland, Singapur, Spanien und die Niederlande in die Top 10.

Bei der Betrachtung der Websites nach ihrem Risiko, sind einige bekannte Seiten zu erkennen. Google, Facebook und Instagram sind beispielsweise alle in den Top 5. Aber auch Websites wie Steam, Github und Spotify stehen auf der Liste – die Studienersteller vermuten aufgrund ihrer leichter realisierbaren Monetarisierung. Daraus ergibt sich wiederum die Frage, wie machen die kriminellen dann Geld aus diesen Daten?

Dafür gibt es laut Bericht einige gängige Methoden, um beispielsweise aus Nutzer-Zugangsdaten Geld zu generieren:

• einfaches Abschöpfen der Krypto-Wallets

• Ausnutzen von Nutzer-Authentisierungen, um Transaktionen durchzuführen

• Attackieren der Kontakte der Opfer, zum Beispiel „stranded-traveler-scam“

• Eindringen und Fuß fassen in Organisationen

Wenige Diebe mit signifikanter Präsenz

Um sich genau davor zu schützen, sollten Unternehmen im ersten Schritt wissen mit wem sie es zu tun haben. Als „Infostealer“ bezeichnet der Report die Angreifer, die ihre Opfer mit einer Malware infizieren, die fähig ist personenbezogene Daten direkt zu stehlen. Die Studie bringt jene mit den Daten, die am besten zu Monetarisieren sind und der Popularität der „Infostealer“ auf den Untergrund-Börsen in einen Kontext. Das Ergebnis: Dieser kriminelle Markt wird von wenigen großen Playern dominiert. Das bestätigt David Sancho, Senior Threat Researcher bei Trend Micro: „Trotz der großen Anzahl von Infostealer-Varianten haben wir herausgefunden, dass nur einige wenige eine große Präsenz auf den Untergrund-Datenmarktplätzen haben.“ Die drei die hier das Ranking anführen sind Vidar, RedLine und Raccoon.

In diesem Zusammenhang liefert der Bericht in praktischer Hinsicht einen entscheidenden Teil des Puzzles: Um Organisationen effektiver vor Datendiebstahl zu schützen, sollten sie sich auf genau diese beliebtesten „Infostealer“ in Cyberkriminellen-Marktplätzen konzentrieren.

(ID:49786861)