Warum reiche Cyberkriminelle zunehmend Zero-Day-Hacks nutzen

Sogenannte Zero-Day-Exploits sind der Traum für Hacker, Geheimdienste und Behörden: Sie erlauben es, Maschinen zu übernehmen, weil es für diese Sicherheitslücken noch keinerlei Gegenmittel gibt. Aktuelle Forschungsergebnisse zeigen nun, dass organisierte Cyberkriminelle, die über große finanziele Möglichkeiten verfügen, den Einsatz dieser leistungsstarken und teuren Hacking-Methoden in die Höhe treiben.

Zero-Day-Exploits, die einem Hacker Zugang zu bestimmten Zielen verschaffen, werden so genannt, weil Cyber-Verteidiger zuvor null Tage ("Zero Days") Zeit hatten, um die neu entdeckten Lücken zu schließen, was die Tools außerordentlich leistungsfähig, gefährlich und auch teuer macht. In der Spitze können Zero-Day-Exploits mehr als eine Million Dollar in Anschaffung und/oder Entwicklung kosten. Aus diesem Grund waren sie in der Vergangenheit nur in den Arsenalen der raffiniertesten Cyberspionage-Gruppen der Welt zu finden, die meist von Staaten ins Leben gerufen oder zumindest finanziert wurden.

Eine neue Studie des Cybersicherheitsunternehmens Mandiant zeigt jedoch, dass der Anteil der von Cyberkriminellen ausgenutzten Zero-Day-Exploits rekordverdächtig zunimmt. Ein Drittel aller Hackergruppen, die im Jahr 2021 diese Lücken ausnutzten, waren finanziell motivierte Gangs, im Gegensatz zu staatlich unterstützten Cyberspionage-Gruppen, so die Untersuchung. In den letzten zehn Jahren wurde nur ein sehr kleiner Teil der Zero-Day-Exploits von Cyberkriminellen eingesetzt. Experten glauben, dass der schnelle Wandel mit der mittlerweile milliardenschweren illegalen Ransomware-Industrie zu tun hat.

Computer absperren – und viel Geld verdienen

"Ransomware-Gruppen sind in der Lage, große Talente zu rekrutieren und die Ressourcen aus ihren Angriffen samt der irrsinnigen Einnahmen zu nutzen, um sich auf Dinge zu konzentrieren, die früher die Domäne von staatlich gesponserten [Hacking-]Gruppen war", erläutert James Sadowski, Forscher bei Mandiant.

Zero-Day-Exploits werden in der Regel im Verborgenen gehandelt – über spezielle Märkte. Bekannt ist, wie viel Geld im Spiel ist. Bei einer Recherche von MIT Technology Review kam heraus, dass ein amerikanisches Unternehmen einen leistungsstarken iPhone-Zero-Day für 1,3 Millionen US-Dollar verkaufen konnte. Zerodium, ein Zero-Day-Exploit-Anbieter, zahlt selbst aktuell bis zu 2,5 Millionen Dollar für jede Zero-Day-Lücke, welche die Kontrolle über ein Android-Gerät ermöglicht. Das Unternehmen veräußert die Sicherheitslücken dann zu einem beträchtlichen Aufschlag an eine andere Organisation – vielleicht an einen Geheimdienst oder eine Polizeibehörde – weiter. Regierungen sind bereit, so viel Geld zu zahlen, weil Zero-Day-Exploits im globalen Spionagespiel ein echter Trumpf sein können, der potenziell mehr wert ist als die Millionen, die sie kosten.

Aber auch für Kriminelle sind sie offensichtlich viel wert. Eine besonders aggressive und geschickte Ransomware-Gruppe, die unter dem Namen "UNC2447" bekannt ist, nutzte eine Zero-Day-Schwachstelle in SonicWall aus, einem Tool für virtuelle private Netzwerke, das in großen Unternehmen in aller Welt eingesetzt wird. Nachdem sich die Hacker Zugang zu verschiedenen Systemen verschafft hatten, setzten sie eine Ransomware ein und zwangen die Opfer zur Zahlung. Die Erpressung: Sie drohten, Medien über die Hacks zu informieren und/oder die Daten der Unternehmen im Dark Web zu verkaufen.

Hack von Pipelines

Die vielleicht berühmteste Ransomware-Gruppe der jüngeren Geschichte ist DarkSide, jene Gruppe, die den Ausfall der zentralen Colonial Pipeline und schließlich eine Treibstoffknappheit im Osten der USA verursachten. Sadowski zufolge haben auch diese Cyberkriminellen während ihrer kurzen, aber intensiven Tätigkeit mindestens eine Zero-Day-Lücke ausgenutzt. Kurz nachdem die Gruppe weltberühmt geworden war und damit unerwünschte Aufmerksamkeit der Strafverfolgungsbehörden auf sich gezogen hatten, machte DarkSide offiziell dicht. Allerdings könnte es auch sein, dass sich die Cyberkriminellen einfach mehrfach umbenannt haben.

Es muss nicht immer ein Zero-Day-Exploit sein. Die nächstbeste Angriffsmethode sind Sicherheitslücken, die erst vor wenigen Tagen entdeckt wurden und daher noch nicht überall geschlossen worden sind. Auch in diesem Rennen machen Cyberkriminelle rasante Fortschritte; Unternehmen und Privatleute, die betroffen sind, erweisen sich als zu langsam. Hinzu kommt die schnelle Übernahme von Zero-Day-Exploits, die von staatlich gesponserten Hacking-Akteuren verwendet werden. Das beobachtet auch Adam Meyers, Senior Vice President of Intelligence bei der Cybersicherheitsfirma Crowdstrike. Die Kriminellen beobachteten, wie die Zero-Day-Lücken verwendet werden – und nutzen die Tools dann für ihre eigenen Zwecke, bevor die meisten Cyber-Verteidiger wissen, was hier passiert. "Die finden schnell heraus, wie sie sie nutzen können, und setzen sie dann für eigene Operationen ein", sagt der Experte.

Cyberkriminelle werben zudem zunehmend technische Talente an – weil sie das Geld haben, sie zu bezahlen. Hier fließen immer größere Summen. Die Aussicht auf weitere Gewinne gilt als enormer Anreiz, sich Zero-Day-Exploits für kriminelle Zwecke zunutze zu machen. So begannen im letzten Jahr vermutlich von der chinesischen Regierung mitfinanzierte Hackergruppen, Microsoft-Exchange-E-Mail-Server mit Zero-Day-Angriffen ins Visier zu nehmen. Die Kampagne war breit angelegt und gehörte zum raffiniertesten, was man in Sachen Cyberspionage jemals gesehen hatte. Und wie überall, wo es Raubtiere gibt, folgten die Aasfresser: Rein finanziell motivierte Cyberkriminelle hatten innerhalb weniger Tage Zugang zu dem vormals exklusiven Tool und griffen damit Firmen an.

(jle)