Eine Zero-Day-Lücke kostet bis zu 10 Millionen Dollar… noch
22. November 2021 um 10:04
Der Markt für offiziell unentdeckte Lücken war bislang vor allem staatlichen Akteuren vorbehalten. Neue Vertriebsmodelle könnten dies bald ändern.
Sicherheitsforscher von Digital Shadows warnen vor einer beunruhigenden Entwicklung im Markt der Cyberkriminellen, nachdem sie sich durch diverse Darknet-Foren gelesen haben. In einem "Vulnerability Intelligence Report" beschreiben sie Bewegungen im hochpreisigen Segment der Zero-Day-Lücken. Diese von den Herstellern noch nicht entdeckten Schwachstellen sind unter Cyberkriminellen hochbegehrt.
Zero Days versprechen längerfristigen Zugang zu Systemen und lassen sich kaum verteidigen. Laut den Security-Spezialisten von Digital Shadows sollen für eine solche Schwachstelle bis zu 10 Millionen Dollar fliessen. Klar, dass dieser Markt bislang vor allem staatlichen oder staatlich unterstützten Gruppen vorbehalten war, während die Lücken für den gewöhnlichen Cyberkriminellen unerschwinglich blieben.
Das hat in der Vergangenheit immer wieder zu Diskussionen über Geheimdienste geführt, die mit ihrer Geheimhaltung der Lücken und mit ihren aktiv dafür entwickelten Exploits massgeblich zur Unsicherheit im Internet beigetragen haben. Erinnert sei etwa an die berüchtigten Shadow Broker, die 2016 NSA-Tools veröffentlichten. Mit verheerenden Auswirkungen. Nun könnte aber alles noch viel verflixter werden.
Mittlerweile treten Ransomware-Banden mit ihren grossen Vermögen, das sie in ihren Raubzügen angesammelt haben, als Käufer auf. Zugleich haben sich die Zero-Day-Anbieter neue Vertriebsmodelle einfallen lassen, um weiteres Geld zu erschliessen. Sie sollen Exploit-as-a-Service-Modelle diskutieren. In diesem Rahmen könnten auch finanzschwächere Akteure die begehrten Schwachstellen mieten, um ihre Angriffe durchzuführen.
Man sehe "mehr und mehr finanziell motivierte Bedrohungsakteure mit gefährlichen Tools", schreiben die Forscher in ihrem Bericht. Die Anbieter würden ihre Zero-Day-Lücken häufig in Foren von Kriminellen in Auktionen verkaufen. Das ist übrigens ein weiteres Argument für Bug-Bounty-Programme: Wenn die offiziellen Prämien für unentdeckte Lücken höher sind als die Gebote der Kriminellen, gäbe es wenige Gründe, sie nicht zu melden.
Loading
Knapp zwei Drittel der Schweizer Firmen von Cyberangriffen betroffen
Für besseren Schutz sollen dieses Jahr die Cybersecurity-Budgets um 10% steigen.
Smartphones: Occasionen werden kaum gekauft, repariert wird auch selten
Schweizerinnen und Schweizer kaufen im Schnitt alle 3 Jahre ein neues Smartphone.
Ferrari-Kundendaten bei Cyberangriff geklaut
Bei einer Cyberattacke auf den italienischen Autobauer kamen Namen, Adressen, E-Mail-Adressen und Telefonnummern von Kunden abhanden. Eine Lösegeldforderung ist eingetroffen.
Daten im Web: Banken verlassen sich auf Viseca
Obwohl Kreditkarten-Abrechnungen monatelang offen im Web zugänglich waren, verzichten Viseca und betroffene Banken darauf, Kunden zu informieren. Eine handvoll Firmen sind betroffen.