Services für Cyberkriminelle
Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten wurden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.
„Diese Untersuchung zeigt den zügellosen Verkauf von TLS-Zertifikaten im Darknet auf“,
sagt Kevin Bocek, VP Security Stragegy & Threat Intelligence bei Venafi.
„TLS-Zertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil von Cyberkriminal-Toolkits - genau wie Bots, Ransomware und Spyware. Es gibt noch viel mehr Forschungsarbeit in diesem Bereich zu leisten, aber jede Organisation sollte darüber besorgt sein, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nun als Ware an Cyberkriminelle verkauft werden.“
Zu den wichtigsten Ergebnissen der Studie gehören:
- Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
- Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
- Forscher haben erweiterte Validierungszertifikate gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern - einschließlich Stripe, PayPal und Square - ausgestattet sind.
- Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen - einschließlich DUNS-Nummern - auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.
Angreifern wird es leicht gemacht
Eine repräsentative Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze - wie Dream Market - auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.
„Ein sehr interessanter Aspekt dieser Forschung war, dass TLS-Zertifikate mit Wrap-Around-Diensten - wie z.B. Webdesign-Diensten - verpackt wurden, um Angreifern sofortigen Zugang zu einem hohen Maß an Online-Glaubwürdigkeit und Vertrauen zu geben,“
sagt der Sicherheitsforscher Dr. David Maimon, Associate Professor und Director der Evidence-based Cybersecurity Research Group.
„Es war überraschend zu entdecken, wie einfach und kostengünstig es ist, erweiterte Validierungszertifikate zu erwerben, zusammen mit allen Unterlagen, die notwendig sind, um sehr glaubwürdige Briefkastenfirmen ohne Verifizierungsinformationen zu gründen.“
Über Venafi
Venafi ist der Marktführer für Cybersicherheit im Bereich des Schutzes von Maschinenidentitäten, der die Verbindung von Maschine zu Maschine und die Kommunikation sichert. Venafi schützt Maschinenidentitätsarten durch die Orchestrierung kryptographischer Schlüssel und digitaler Zertifikate für SSL/TLS, IoT, Mobile und SSH. Venafi bietet einen globalen Überblick über die Maschinenidentitäten und die damit verbundenen Risiken für das erweiterte Unternehmen - vor Ort, mobil, virtuell, Cloud und IoT - bei Maschinengeschwindigkeit und -größe. Venafi setzt diese Erkenntnisse mit automatisierter Fehlerbehebung um, die die Sicherheits- und Verfügbarkeitsrisiken im Zusammenhang mit schwachen oder gefährdeten Maschinenidentitäten reduziert, den Informationsfluss zu vertrauenswürdigen Maschinen sichert und die Kommunikation mit nicht vertrauenswürdigen Maschinen verhindert.
Mit über 30 Patenten liefert Venafi innovative Lösungen für die anspruchsvollsten, sicherheitsbewusstesten Global 5000 Organisationen und Regierungsbehörden der Welt, darunter die fünf führenden US-Krankenversicherer, die fünf besten US-Fluggesellschaften, vier der fünf besten Banken in den USA, Großbritannien, Australien und Südafrika sowie vier der fünf besten US-Einzelhändler. Venafi wird von erstklassigen Investoren unterstützt, darunter TCV, Foundation Capital, Intel Capital, QuestMark Partners, Mercato Partners und NextEquity.
Weitere Informationen finden Sie unter: www.venafi.com.
