Infostealer-Markt boomt, trotz Genesis Market und RaidForums Takedowns
Mai 2023 von Secureworks®
Untersuchungen zeigen, dass gestohlene Logs auf Russian Market um 670 % zunehmen, während die Nutzung von Infostealer-Malware dominiert
In ihrem neuesten Bericht "The Growing Threat From Infostealers" (Die wachsende Bedrohung durch Infostealer) hat die Secureworks® Counter Threat Unit™ (CTU) einen florierenden Infostealer-Markt aufgedeckt, der als wichtiger Wegbereiter für die schädlichsten Formen der Cyberkriminalität wie Ransomware-Angriffe dient. Infostealer-Malware, bei der es sich um Code handelt, der Geräte ohne das Wissen des Benutzers infiziert und Daten stiehlt, ist nach wie vor über Untergrundforen und -marktplätze weit verbreitet, wobei das Volumen der zum Verkauf stehenden Logs oder Sammlungen gestohlener Daten in alarmierendem Maße zunimmt. Allein auf Russian Market betrug das Gesamtwachstum zwischen Juni 2021 und Mai 2023 670 %.
„Infostealer sind das Mittel der Wahl für Cyberkriminelle, die sich schnell Zugang zu Unternehmen verschaffen wollen, um diesen anschließend zu monetarisieren", so Don Smith, Vice President Threat Research, Secureworks CTU™. „Sie sind leicht zu erwerben und können innerhalb von weniger als 60 Sekunden nach der Installation auf einem infizierten Computer sofort eine Rendite in Form von gestohlenen Zugangsdaten und anderen sensiblen Informationen erzielen. Was sich verändert hat, sind weitreichende Verbesserungen der unterschiedlichen Methoden mit denen Cyberkriminelle Benutzer zur Installation der Infostealer verleiten. Und durch die Entwicklung spezieller Marktplätze für den Verkauf und Kauf von gestohlenen Daten hat sich der Einsatz enorm erhöht.
Wichtige Highlights des Berichts
• Die Forscher von Secureworks analysierten die neuesten Trends auf dem Markt für Infostealer, einschließlich der Tatsache, dass diese Art von Malware immer ausgefeilter und schwieriger zu erkennen ist, was eine Herausforderung für die Verteidiger von Unternehmensnetzwerken darstellt. Zu den wichtigsten Erkenntnissen gehören:
• Die Anzahl der Infostealer-Protokolle, die in Untergrundforen zum Verkauf angeboten werden, nimmt im Laufe der Zeit stetig zu. Allein auf Russian Market stieg die Zahl der zum Verkauf stehenden Logs in weniger als neun Monaten um 150 %, von zwei Millionen an einem einzigen Tag im Juni 2022 auf über fünf Millionen an einem einzigen Tag Ende Februar 2023. In einem Zeitraum von fast 2 Jahren (gemessen an einem einzigen Tag im Juni 2021 und an einem einzigen Tag im Mai 2023) betrug die Gesamtwachstumsrate für die Anzahl der auf Russian Market zum Verkauf stehenden Logs 670 %.
• Russian Market ist nach wie vor der Top-Seller für Infostealer-Logs. Zum Zeitpunkt dieses Berichts bietet Russian Market fünf Millionen Logs zum Verkauf an, etwa zehnmal mehr als sein nächster Konkurrent 2easy. Russian Market ist unter russischen Cyberkriminellen gut etabliert und wird von Bedrohungsakteuren weltweit ausgiebig genutzt. Russian Market hat kürzlich Protokolle von drei neuen Stealern hinzugefügt, was darauf hindeutet, dass sich die Website aktiv an die sich ständig verändernde E-Crime-Landschaft anpasst.
• Raccoon, Vidar und Redline gehören weiterhin zu den drei am häufigsten zum Verkauf stehenden Infostealer-Protokollen. An einem einzigen Tag im Februar betrug die Anzahl der Protokolle oder Datensätze gestohlener Anmeldeinformationen unter diesen beliebten Infostealern auf Russian Market:
Raccon: 2.114.549
Vidar: 1,816, 800
Redline: 1.415.458
• Die jüngsten Strafverfolgungsmaßnahmen gegen Genesis Market und Raid Forums haben sich auf das Verhalten von Cyberkriminellen ausgewirkt. Telegram war ein Nutznießer davon, da mehr Logs für beliebte Stealer wie RedLine, Anubis, SpiderMan und Oski Stealer gekauft und verkauft wurden, die auf dedizierte Telegram-Kanäle verlagert wurden. Trotz der Verhaftungen mehrerer Benutzer und der Entfernung von 11 Domains, die mit Genesis Market in Verbindung stehen, bleibt die Tor-Site in Betrieb, wobei die Protokolle immer noch zum Verkauf angeboten werden. Die Aktivitäten auf dem Marktplatz sind jedoch so gut wie ausgetrocknet, da Kriminelle begonnen haben, die Situation in Untergrundforen zu diskutieren und Zweifel an der Vertrauenswürdigkeit des Marktplatzes zu äußern.
• Ein wachsender Markt ist entstanden, um die Nachfrage nach After-Action-Tools zu befriedigen, die beim Parsen von Protokollen helfen, einer manuellen und herausfordernden Aufgabe, die oft erfahreneren Cyberkriminellen überlassen wird. Da die Anzahl der Infostealer und der verfügbaren Protokolle zunimmt, wird erwartet, dass diese Tools immer beliebter werden und dazu beitragen werden, die Einstiegshürde zu senken.
Ähnlich wie das allgemeine Ökosystem der Cyberkriminalität hängt die erfolgreiche Entwicklung und der Einsatz von Infostealern von Personen mit einem breiten Spektrum an Fähigkeiten, Rollen und Verantwortlichkeiten ab. Der Aufstieg von Malware-as-a-Service hat Innovationen unter Entwicklern gefördert, um ihre Produkte zu verbessern und ein breiteres Kundenspektrum anzusprechen. Zum Beispiel bietet Russian Market Benutzern jetzt die Möglichkeit, gestohlene Anmeldeinformationen für eine bestimmte Organisation, ein bestimmtes Unternehmen oder eine bestimmte Anwendung vorzubestellen, und alles, was erforderlich ist, ist eine Einzahlung von 1.000 US-Dollar in das Treuhandsystem der Website. Der Vorbestellungsservice bietet keine Garantien, ermöglicht es Cyberkriminellen jedoch anstatt opportunistisch nun zielgerichtet zu agieren.
"Was wir sehen, ist eine ganze Schattenwirtschaft und eine unterstützende Infrastruktur, die um Infostealer herum aufgebaut ist, was es für relativ gering qualifizierte Bedrohungsakteure nicht nur möglich, sondern auch potenziell lukrativ macht, sich zu engagieren. Koordinierte globale Maßnahmen der Strafverfolgungsbehörden haben einige Auswirkungen, aber Cyberkriminelle sind geschickt darin, ihre Wege zum Markt neu zu gestalten", so Smith weiter. "Die Implementierung einer Multi-Faktor-Authentifizierung, um so den durch den Diebstahl von Anmeldeinformationen verursachten Schaden zu minimieren, darauf zu achten, wer Software von Drittanbietern installieren kann und von wo sie heruntergeladen wird, und die Implementierung einer umfassenden Überwachung über Host, Netzwerk und Cloud hinweg sind Schlüsselaspekte einer erfolgreichen Verteidigung gegen die Bedrohung durch Infostealer."
Infostealer können einfach über Phishing, infizierte Websites, Downloads bösartiger Software und Google-Anzeigen auf einem Computer oder Gerät installiert werden. Im Jahr 2022 machten gestohlene Zugangsdaten fast jedes zehnte Incident-Response-Engagement aus, an dem Secureworks beteiligt war, und war von April 2022 bis April 2023 der Initial Access Vector (IAV) für mehr als ein Drittel (34 %) der Ransomware-Einsätze.