Eine Zero-Day-Lücke kostet bis zu 10 Millionen Dollar… noch

22. November 2021, 10:04
  • security
  • lücke
  • studie
  • international
  • cybercrime
image

Der Markt für offiziell unentdeckte Lücken war bislang vor allem staatlichen Akteuren vorbehalten. Neue Vertriebsmodelle könnten dies bald ändern.

Sicherheitsforscher von Digital Shadows warnen vor einer beunruhigenden Entwicklung im Markt der Cyberkriminellen, nachdem sie sich durch diverse Darknet-Foren gelesen haben. In einem "Vulnerability Intelligence Report" beschreiben sie Bewegungen im hochpreisigen Segment der Zero-Day-Lücken. Diese von den Herstellern noch nicht entdeckten Schwachstellen sind unter Cyberkriminellen hochbegehrt.
Zero Days versprechen längerfristigen Zugang zu Systemen und lassen sich kaum verteidigen. Laut den Security-Spezialisten von Digital Shadows sollen für eine solche Schwachstelle bis zu 10 Millionen Dollar fliessen. Klar, dass dieser Markt bislang vor allem staatlichen oder staatlich unterstützten Gruppen vorbehalten war, während die Lücken für den gewöhnlichen Cyberkriminellen unerschwinglich blieben.
Das hat in der Vergangenheit immer wieder zu Diskussionen über Geheimdienste geführt, die mit ihrer Geheimhaltung der Lücken und mit ihren aktiv dafür entwickelten Exploits massgeblich zur Unsicherheit im Internet beigetragen haben. Erinnert sei etwa an die berüchtigten Shadow Broker, die 2016 NSA-Tools veröffentlichten. Mit verheerenden Auswirkungen. Nun könnte aber alles noch viel verflixter werden.
Mittlerweile treten Ransomware-Banden mit ihren grossen Vermögen, das sie in ihren Raubzügen angesammelt haben, als Käufer auf. Zugleich haben sich die Zero-Day-Anbieter neue Vertriebsmodelle einfallen lassen, um weiteres Geld zu erschliessen. Sie sollen Exploit-as-a-Service-Modelle diskutieren. In diesem Rahmen könnten auch finanzschwächere Akteure die begehrten Schwachstellen mieten, um ihre Angriffe durchzuführen. 
Man sehe "mehr und mehr finanziell motivierte Bedrohungsakteure mit gefährlichen Tools", schreiben die Forscher in ihrem Bericht. Die Anbieter würden ihre Zero-Day-Lücken häufig in Foren von Kriminellen in Auktionen verkaufen. Das ist übrigens ein weiteres Argument für Bug-Bounty-Programme: Wenn die offiziellen Prämien für unentdeckte Lücken höher sind als die Gebote der Kriminellen, gäbe es wenige Gründe, sie nicht zu melden. 

Loading

Mehr zum Thema

image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022