Startseite > Security > Das Geschäft mit der Kriminalität

Underground Hosting

Das Geschäft mit der Kriminalität

8. Dezember 2020, 8:00 Uhr | Autor: Richard Werner / Redaktion: Diana Künstler

Egal ob Unternehmen, öffentliche Einrichtungen, kritische Infrastrukturen oder Privatpersonen – Cybercrime durchdringt die gesamte Gesellschaft und macht nicht vor ausgewählten Gruppen halt.

Jeder kann zur Zielscheibe von Cybercrime werden. Die Mittel, derer sich Cyberkriminelle bedienen, sind (noch) nicht hinlänglich bekannt. Doch für einen besseren Schutz vor Cyberattacken ist es hilfreich zu verstehen, wie Angreifer arbeiten. Ein Blick auf die (Infra-)Strukturen im Untergrund.

Für gewöhnlich besteht das Geschäft von Cyberkriminellen darin, auf Kosten ihrer Opfer Geld zu verdienen. Dazu setzen sie auf unterschiedliche Angriffsmethoden, beispielsweise den Diebstahl von Daten, Identitäten und Kreditkartennummern oder die Verschlüsslung von Daten und Erpressung von Lösegeld. Als Rückgrat für alle Aspekte dieses Geschäftsmodells dienen Hosting Services und die dazugehörige Infrastruktur im cyberkriminellen Untergrund. Sie hosten die Command-and-Control-Server (C&C-Server), die von Hackern zum Zugriff auf die Rechner ihrer Opfer genutzt werden. Zudem beherbergen sie Foren und Chat-Dienste, die zur Kommunikation mit Mittätern und anderen Cyberkriminellen genutzt werden, ebenso wie Untergrund-Marktplätze, auf denen gestohlene Daten oder Hacking-Dienstleistungen zu Geld gemacht werden. Auf jeder Ebene der cyberkriminellen „Wertschöpfungskette“ ist eine zuverlässige Infrastruktur von entscheidender Bedeutung.

Es liegt in der Natur der Sache, dass diese Infrastrukturen nur wenig bekannt sind – trotz ihrer großen Bedeutung für die Cyberkriminalität. Nur in seltenen, besonders spektakulären Fällen, nimmt die Öffentlichkeit Notiz davon. So geschehen im September 2019, als Ermittlungsbehörden ein unterirdisches Rechenzentrum im deutschen Traben-Trarbach auflösten, welches als Schaltstelle krimineller Dienste im Darknet genutzt wurde. Doch für besseren Schutz vor Cyberangriffen ist es wichtig, zu verstehen, wie Cyberkriminelle arbeiten. Um die (Infra-)Strukturen im Untergrund genauer zu beleuchten, hat Trend Micro seit dem Sommer eine Serie von Forschungsberichten erstellt. Der erste Report gibt einen Überblick über cyberkriminelle Foren und Untergrund-Marktplätze sowie über die dort angebotenen Produkte. Die weiteren Artikel der Serie geben einen Einblick über die wichtigsten Arten von Infrastrukturen, die von Cyberkriminellen genutzt werden, sowie eine Auflistung von Geschäftsmodellen und Überlebensmethoden, mit denen für die kriminelle Infrastruktur geworben wird.

Was ist Underground Hosting?

Underground Hosting lässt sich als Dienst definieren, der Host-Komponenten oder -Infrastrukturen bereitstellt, um böswillige und kriminelle Aktivitäten durchzuführen. Diese sehr weit gefasste Definition erlaubt es, ein breites Spektrum von Untergrundaktivitäten zu untersuchen, die mit der Bereitstellung von Infrastrukturkomponenten für Kriminelle zu tun haben. Eine der wichtigsten Methoden von Cyberkriminellen sind dabei Bulletproof Hosting Services, die vor allem zur Speicherung von Malware und gestohlenen Daten genutzt werden, sowie um bösartige Aktivitäten vor Ermittlungsbehörden zu schützen. Das Hosting ist die Kernkomponente, die die verschiedenen cyberkriminellen Komponenten miteinander verbindet. Während Botnets Hostings benötigen, um ihre C&C-Infrastruktur bereitzustellen, nutzen Untergrundforen diese für ihre Kommunikationsplattformen. Für kriminelle Gruppen bieten sie eine Möglichkeit, ihre Kommunikationssysteme zu verwalten.

Die angebotenen Services

Im Untergrund angebotene Dienste können, abhängig von der geplanten Nutzung, folgendermaßen klassifiziert werden:

Spezielle und virtuelle Hosting-Provider: Dazu gehört Bullet Proof Hosting, Netzwerke mit schnellem Datenfluss und andere Arten der Hosting-Bereitstellung.
Anbieter von Anonymisierung- und Dienstschutz: Dazu zählen VPNs, Proxys, Reverse-Proxy-Dienste, Anonymisierungsdienste und Dienste zur Traffic-Beschleunigung. Diese Kategorie umfasst nicht nur dedizierte Proxys, sondern auch solche von kompromittierten privaten IP-Adressen, mobilen und Internet of Things (IoT)-Geräten.
Bereitstellung zusätzlicher Infrastruktur, darunter ungewöhnlich genutzte Infrastrukturleistungen wie telekommunikationsbezogene Dienste zu denen beispielsweise Anrufe, SMS-Spamming und In-Browser-Botnet-Dienste gehören.
Legitime Dienste oder Systeme, die für böswillige Zwecke genutzt und ausgenutzt werden, zum Beispiel Dienste wie kostenloses DNS-Hosting, dynamisches DNS-Hosting, kostenlose Bereitstellung von SSL-Zertifikaten und Cloud-Dienste.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Cybercrime in Deutschland auf dem Vormarsch
100.514 Fälle von Cybercrime im engeren Sinne registrierte die deutsche Polizei 2019. Das sind 15 Prozent mehr als noch 2018 (87.106 Fälle) und ein neuer Höchststand. Die Schäden, die durch entsprechende Taten entstehen, sind hoch. So schätzt der Branchenverband Bitkom, dass der Wirtschaft 2019 ein Schaden von über 100 Milliarden Euro durch Cyberangriffe entstanden ist. Neben Wirtschaftsunternehmen sind öffentliche Einrichtungen bevorzugte Ziele der Täter, die sich hier hohe kriminelle Gewinne erwarten. Die größte Gefahr geht weiterhin von Angriffen mittels sogenannter Ransomware aus. Diese Software verschlüsselt die Daten auf dem angegriffenen Rechner. Für deren Entschlüsselung fordern die Täter meist einen Geldbetrag, der in der Regel in Form von Bitcoins zu entrichten ist. Seit dem vergangenen Jahr beobachtet das BKA mit der sogenannte „Double Extortion“ einen neuen Modus Operandi, bei dem die Täter die IT-Systeme ihrer Opfer nicht nur mittels Ransomware verschlüsseln, sondern im Zuge der Attacken auch sensible Daten erbeuten und damit drohen, diese zu veröffentlichen. Weitere Erkenntnisse der Polizei: Insgesamt wurden 2019 22.574 Tatverdächtige festgestellt – über zwei Prozent mehr als noch in 2018 (22.051 Tatverdächtige). Cyberkriminelle sind in der Regel international vernetzt und agieren arbeitsteilig. Hinzu kommt, dass sie sich neuen Situationen dynamisch anpassen. Diese Flexibilität ließen die Täter auch im Zusammenhang mit der Covid-19-Pandemie erkennen, wie aus der Sonderauswertung „Cybercrime in Zeiten der Covid-19-Pandemie“ hervorgeht. (DK)

Cybercrime in Deutschland auf dem Vormarsch

100.514 Fälle von Cybercrime im engeren Sinne registrierte die deutsche Polizei 2019. Das sind 15 Prozent mehr als noch 2018 (87.106 Fälle) und ein neuer Höchststand. Die Schäden, die durch entsprechende Taten entstehen, sind hoch. So schätzt der Branchenverband Bitkom, dass der Wirtschaft 2019 ein Schaden von über 100 Milliarden Euro durch Cyberangriffe entstanden ist. Neben Wirtschaftsunternehmen sind öffentliche Einrichtungen bevorzugte Ziele der Täter, die sich hier hohe kriminelle Gewinne erwarten. Die größte Gefahr geht weiterhin von Angriffen mittels sogenannter Ransomware aus. Diese Software verschlüsselt die Daten auf dem angegriffenen Rechner. Für deren Entschlüsselung fordern die Täter meist einen Geldbetrag, der in der Regel in Form von Bitcoins zu entrichten ist. Seit dem vergangenen Jahr beobachtet das BKA mit der sogenannte „Double Extortion“ einen neuen Modus Operandi, bei dem die Täter die IT-Systeme ihrer Opfer nicht nur mittels Ransomware verschlüsseln, sondern im Zuge der Attacken auch sensible Daten erbeuten und damit drohen, diese zu veröffentlichen.
Weitere Erkenntnisse der Polizei: Insgesamt wurden 2019 22.574 Tatverdächtige festgestellt – über zwei Prozent mehr als noch in 2018 (22.051 Tatverdächtige). Cyberkriminelle sind in der Regel international vernetzt und agieren arbeitsteilig. Hinzu kommt, dass sie sich neuen Situationen dynamisch anpassen. Diese Flexibilität ließen die Täter auch im Zusammenhang mit der Covid-19-Pandemie erkennen, wie aus der Sonderauswertung „Cybercrime in Zeiten der Covid-19-Pandemie“ hervorgeht. (DK)