IOCTA Report 2021: Cybercrime-Bedrohungen

EUROPOL hat den IOCTA Report 2021 vorgestellt. IOCTA steht für „INTERNET ORGANISED CRIME THREAT ASSESSMENT“ und versucht einen Überblick über die Bedrohungen durch organisierte Cyberkriminalität zu geben. Er ist ein ganz erheblicher Baustein, wenn man die Entwicklungen und den Aufbau von Cybercrime im aktuellen (internationalen) Kontext verstehen möchte.

IOCTA 2021

EUROPOL betont, dass weiterhin die Auswirkungen der COVID-19-Pandemie deutlich sichtbar sind. Diese führte zu einer (über-)beschleunigten Digitalisierung, während die Cybersecurity durchaus auf der Strecke blieb, was zu einer Reihe von Cyber-Bedrohungen führte bzw. bestehende Entwicklungen verstärkt hat. Man sieht hier als Schwerpunkte ganz besonders:

  • -Affiliate-Programme ermöglichen es einer größeren Gruppe von Kriminellen, große Unternehmen und öffentliche Einrichtungen anzugreifen, indem sie sie mit mehrschichtigen Erpressungsmethoden wie -Angriffen bedrohen.
  • Mobile Malware entwickelt sich weiter und Kriminelle versuchen, zusätzliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung zu umgehen.
  • Online-Shopping hat zu einem steilen Anstieg des Online-Betrugs geführt.
  • Explizites, selbst erstelltes Material ist ein zunehmendes Problem und wird auch zu Gewinnzwecken verbreitet.
  • Kriminelle missbrauchen weiterhin legitime Dienste wie VPNs, verschlüsselte Kommunikationsdienste und Kryptowährungen.

Zur Erstellung des IOCTA wurden alle Mitgliedstaaten der Europäischen Union (EU MS), eine begrenzte Anzahl von Drittländern, Mitglieder der Beratungsgruppen von Europol und interne Spezialisten befragt. Diese wurden laut EUROPOL befragt, welche Veränderungen in der Bedrohungslandschaft in den letzten 12 Monaten konkret stattgefunden haben. Durch die Beschränkung auf vier Fragen zu den letzten 12 Monaten, die sich auf Veränderungen bei der Verbreitung und dem modi operandi der Cyberkriminalität konzentrierten, wollte EUROPOL nach eigenen Angaben sicherstellen, dass sich die Untersuchung auf die wichtigsten Entwicklungen konzentriert.

Zusammenfassende Wertungen zum Cybercrime

Insgesamt steht die Digitalisierung, beeinflusst durch die Corona-Pandemie, stark im Fokus.

Ransomware

  • Ransomware-Partnerprogramme
    nutzen Supply-Chain-Angriffe, um die Netzwerke großer Unternehmen und öffentlicher Einrichtungen zu kompromittieren und neue, vielschichtige Erpressungsmethoden anzuwenden.
  • Mobile Malware hat sich zu einem
    ein skalierbares Geschäftsmodell geworden, indem Overlay-Angriffe, Störungen der Zwei-Faktor-Authentifizierung und SMS-Spamming-Funktionen eingeführt wurden.
  • DDoS-Angriffe gegen Lösegeld scheinen wieder auf dem Vormarsch zu sein, da Kriminelle die Namen bekannter APT-Gruppen (Advanced Persistent Threats) verwenden, um ihre Ziele einzuschüchtern, damit sie den Lösegeldforderungen nachkommen.

Ransomware-Gruppen, die nach wie vor eine der Hauptbedrohungen darstellen, haben sich die weit verbreitete Telearbeit zunehmend zunutze gemacht, indem sie die Netzwerke potenzieller Ziele auf unsichere Remote-Desktop-Protokoll Verbindungen (RDP) scannen und ein wachsames Auge auf aufgedeckte Schwachstellen in virtuellen privaten Netzwerken (VPN) haben.

Die Betreiber mobiler Malware haben sich die Zunahme Online-Shopping ausgenutzt, indem sie Lieferdienste als -Köder nutzen, um ihre Opfer dazu zu bringen, ihren Schadcode herunterzuladen, ihre Anmeldedaten zu stehlen oder verschiedene Formen von Lieferbetrug zu begehen. Mobile Banking-Trojaner sind aufgrund der zunehmenden Beliebtheit des mobilen Bankings zu einer besonders erwähnenswerten geworden.

IOCTA Report 2021: Cybercrime-Bedrohungen - Rechtsanwalt Ferner
Grafische Darstellung von organisierten Ransomware-Angriffen (Quelle IOCTA 2021, Seite 14)

Kriminelle haben weiterhin COVID-19-Aufhänger für den Online-Verkauf gefälschter medizinischer Produkte sowie Vishing, um Anmeldedaten zu stehlen, genutzt. Es gibt auch Berichte, dass DDoS-Angriffe (Distributed Denial of Service) zur von Lösegeld aufgrund der zunehmenden Abhängigkeit von Online-Diensten ein Comeback erleben. Während der Sperrzeiten verbringen Kinder einen noch größeren Teil ihres Tages im Internet, was zu einem starken Anstieg des Online-Groomings geführt hat. Minderjährige produzieren und verbreiten nun häufiger explizites Material, um sich online einen Ruf zu verschaffen, Geld zu verdienen oder um gezwungen zu werden.

Die Bedrohungsakteure sind nicht nur erfolgreich opportunistisch, sondern auch in ihren Methoden und ihrer Organisation weiter gereift. Cyberkriminelle gehen weiterhin zu einer kalkulierteren Zielauswahl über und Ransomware-Partnerprogramme, die die Zusammenarbeit mit Hackern und anderen Malware-Entwicklern suchen, nehmen zu. Ransomware-Operationen konzentrieren sich zunehmend auf hochwertige Angriffe auf große Unternehmen und deren Lieferketten, während Social Engineers ihre Aufmerksamkeit auf die obere Führungsebene richten. Diese Trends gibt es schon länger, aber der Wandel vollzog sich laut EUROPOL schneller als von vielen erwartet, da in den letzten 12 Monaten zahlreiche groß angelegte Einbrüche wie die von Microsoft Exchange Server, SolarWinds und Kaseya bekannt wurden.

Die Täter gehen dabei immer skrupelloser und methodischer vor. Letztes Jahr schrieb Europol über den Anstieg von Ransomware-Krews, die doppelte Erpressungsmethoden anwenden, indem sie die Daten der Opfer exfiltrieren und mit deren Veröffentlichung drohen. In den letzten 12 Monaten hat sich das Arsenal der Erpressungsmethoden um Kaltakquise-Anrufe bei Journalisten, Kunden der Opfer, Geschäftspartnern und Mitarbeitern erweitert. Darüber hinaus setzen viele der berüchtigtsten Ransomware-Partnerprogramme DDoS-Angriffe gegen ihre Opfer ein, um sie unter Druck zu setzen, der Lösegeldforderung nachzukommen.

Doppelte Angriffe

Diese Methoden des „doppelten Abgreifens“ werden auch bei Kriminellen, die Anlagebetrug betreiben, immer beliebter, was die europäischen Strafverfolgungsbehörden als eine der Hauptbedrohungen bezeichneten. Die Organisatoren dieser Machenschaften richten lokale Callcenter ein, um ihre Glaubwürdigkeit bei Opfern, die eine andere Sprache sprechen, zu erhöhen und ihre „Kunden“ neu anzusprechen. Sobald eine Person bemerkt hat, dass ihre Investitionen gestohlen wurden, kontaktieren die Betrüger sie erneut unter dem Vorwand, Anwaltskanzleien oder Strafverfolgungsbehörden zu vertreten, und bieten ihnen an, ihnen bei der Wiederbeschaffung ihrer Gelder zu helfen.

In Anbetracht dieser Entwicklungen boomt der Markt für kriminelle Waren und Dienstleistungen. Persönliche Informationen und Anmeldedaten sind sehr gefragt, da sie die Erfolgsquote aller Arten von Social-Engineering-Angriffen erhöhen.

Leider floriert der Markt für persönliche Informationen, da Ransomware und mobile Datendiebe eine Fülle von vermarktbarem Material als Nebenprodukt des primären Angriffs produzieren. Es ist für EUROPOL auch kein Zufall, dass
dass Malware-as-a-Service (MaaS)-Angebote zugenommen haben, wobei Ransomware-Affiliate-Programme den Ton angeben.

  • COVID-19 hat auch im zweiten Jahr der Pandemie einen erheblichen Einfluss auf die europäische Betrugslandschaft.
  • Phishing und Social Engineering sind nach wie vor die wichtigsten Vektoren für Zahlungsbetrug und nehmen sowohl an Umfang als auch an Raffinesse zu.
  • Der Anlagebetrug floriert, da die Bürger verheerende Verluste erleiden, aber auch die Kompromittierung von Geschäfts-E-Mails (BEC) und CEO- bleiben wichtige Bedrohungen;
  • Kartenbetrug scheint unter Kontrolle zu sein, da die COVID-19-Beschränkungen reisebezogene Betrugsarten einschränken.

Nutzung von Kryptowährungen durch Cyberkriminelle

Obwohl derzeit die bevorzugte für Dark Web-Benutzer und -Anbieter bleibt, werden Monero und andere Kryptowährungen immer beliebter. Kriminelle konvertieren ihre illegalen Einnahmen aus Bitcoin zunehmend mit Methoden zur Verschleierung von Kryptowährungen wie Swap-Diensten, Mixern und Coinjoins. Material über sexuellen Kindesmissbrauch (CSAM) wird aktiv in Peer-to-Peer-Netzwerken (P2P) und im Dark Web gehandelt, wo Kryptowährungen auch für Zahlungen verwendet werden, wobei die Strafverfolgungsbehörden über eine Zunahme des gewinnorientierten Vertriebs berichten.

Entwicklung der Online-Marktplätze

Die zunehmende Aktivität der Strafverfolgungsbehörden in den letzten Jahren hat Verwalter bzw. Betreiber der kriminellen Online-Märkte dazu veranlasst, ihre operative Sicherheit zu verbessern, um ihre Gewinne zu schützen.

Sie haben neue Mechanismen zum Schutz vor DDoS-Angriffen von Konkurrenten eingeführt und hosten ihre Dienste bevorzugt in Ländern, in denen die internationale justizielle Zusammenarbeit bei der Strafverfolgung schwieriger ist. Darüber hinaus haben viele Plattformen die Automatisierung ihrer Pretty Good Privacy (PGP)-Verschlüsselung eingestellt, um die Entschlüsselung der ausgetauschten Nachrichten zu verhindern, falls die Behörden den Markt beschlagnahmen.

Sexuelle Gewalt gegen Kinder

  • Die Online-Grooming-Aktivitäten in den sozialen Medien und auf Online-Spielplattformen haben stark zugenommen.
  • Die Produktion von selbst erstelltem Material ist eine zentrale Bedrohung. In diesem Material werden zunehmend jüngere Kinder gezeigt.
  • Die Gesamtaktivität im Zusammenhang mit der Verbreitung von Material über sexuellen Kindesmissbrauch (CSAM)
    in P2P-Netzwerken hat erheblich zugenommen.
  • Das Dark Web bleibt eine wichtige Plattform für den Austausch von CSAM.

Die wichtigsten Trends und Bedrohungen im Zusammenhang mit der sexuellen Ausbeutung von Kindern im Internet sind während des gesamten Berichtszeitraums relativ stabil geblieben. Zwar haben eine Reihe von Faktoren die Entwicklung dieser kriminellen Aktivitäten beeinflusst haben, konnten die Strafverfolgungsbehörden keine wesentlichen Veränderungen feststellen. Die Herstellung und Verbreitung von Material zum sexuellen Missbrauch von Kindern wurde durch die zunehmende unbeaufsichtigte Anwesenheit von Kindern im Internet beeinflusst. Die Verbreitung von verschlüsselten Messaging-Anwendungen und Social-Media-Plattformen hat Auswirkungen auf die Grooming-Methoden und die Verbreitung von CSAM unter den Tätern.

CSAM wird in der Regel online oder lokal auf passwortgeschützten Laufwerken gespeichert. Die Täter nutzen häufig verschlüsselte Kommunikationskanäle, Social-Media-Plattformen und Imageboards, um illegale Inhalte auszutauschen. Private Gruppen, die sich dem Austausch von CSAM widmen, breiten sich in Messaging-Anwendungen weiter aus.

Peer-to-Peer (P2P) File-Sharing-Netzwerke sind nach wie vor ein wichtiger Kanal für den Austausch von CSAM von Benutzer zu Benutzer oder innerhalb kleiner Gruppen. Einige Länder haben einen erheblichen Anstieg der Nutzung von P2P-Verbreitungsnetzen gemeldet. Dieser Trend stimmt mit dem Spitzenwert überein, der in der Anfangsphase der COVID-19-Pandemie19 gemeldet und später beim Vergleich der Daten aus den Jahren 2019 und 2020. In der IOCTA 2020 wurde jedoch ein Rückgang der P2P-Aktivitäten gemeldet.

Trotz erfolgreicher Strafverfolgungsmaßnahmen bei der Zerschlagung von Plattformen, die sich auf sexuellen Kindesmissbrauch konzentrieren, breiten sich Gruppen, die den Austausch von CSAM im Dark Web erleichtern, weiter aus und stellen eine anhaltende Bedrohung dar. Die Täter tauschen in diesen Gruppen häufig illegale Inhalte über direkte Links zu Bildhosts im Clearnet und Dark Web aus, wo die CSAM gespeichert sind. In einigen Fällen nutzen sie auch Cyberlocker-Websites, auf denen die Nutzer die Anbieter von Inhalten für jede Anmeldung und jeden nachfolgenden Download ihrer Inhalte bezahlen.

Entwicklungen im Darknet

Die illegalen Märkte haben sich aufgrund der zunehmenden rechtlichen Maßnahmen der Strafverfolgungsbehörden auf verschiedene verschlüsselte Kommunikationskanäle ausgedehnt. Dazu gehören Kanäle wie Telegram und Wickr.

  • Dark-Web-Nutzer nutzen zunehmend Wickr und Telegram als Kommunikationskanäle oder zur Umgehung von Marktgebühren.
  • Dark-Web-Nutzer verwenden zunehmend anonyme Kryptowährungen wie Monero und Tauschdienste.
  • Die Nutzer verlassen sich auf eine immer ausgefeiltere operative Sicherheit und migrieren schnell zu anderen (benutzerlosen) Märkten oder Märkten, die nach Takedowns manuelles PGP erzwingen.
  • Die graue Infrastruktur hilft den Nutzern des Dark Web zunehmend beim Gedeihen.

Die Arten von Waren und Dienstleistungen, die im Dark Web zum Verkauf stehen, sind im letzten Jahr laut EUROPOL weitgehend gleich geblieben. Allerdings hat die Präsenz von Ransomware-Gruppen auf speziellen versteckten Diensten im Dark Web zugenommen, die ihre Malware als Dienstleistung („as a Service“) anbieten.

Im letzten IOCTA-Bericht hat Europol die Entwicklung von Tätern aufgezeigt, die damit drohen, bei einem Ransomware-Angriff verschlüsselte Daten zu verkaufen oder zu löschen. Mehrere Länder berichteten, dass die Preisgabe von Daten von Einzelpersonen und Unternehmen als Geschäftsmodell für Ransomware-Gruppen im Dark Web weiter an Bedeutung gewonnen hat. Die Regierungen haben ähnliche Warnungen vor solchen fortgeschrittenen Erpressungen geäußert, die sich auf Ransomware-Gruppen beziehen, die nicht nur Daten verschlüsseln, sondern auch mit DDoS-Angriffen und der Weitergabe gestohlener Daten drohen, wenn das Lösegeld nicht gezahlt wird.

Aus meiner Sicht rollt mit dem Darkmarket-Takedown eine Lawine an Verfahren auf die europäische Justiz zu. Es wabert durch verschiedene Kanäle, dass die Nutzerdaten nicht so sicher waren, wie man meinte – und EUROPOL verweist auf über 300.000 aufgedeckte Transaktionen bei gut einer halben Million User.

IOCTA Report 2021: Cybercrime-Bedrohungen - Rechtsanwalt Ferner

Jens Ferner

IT-Strafverteidiger
IOCTA Report 2021: Cybercrime-Bedrohungen - Rechtsanwalt Ferner
Darkmarket-Takedown aus dem IOCTA Report, Seite 37

Illegale Waffen werden offenbar zunehmend über verschlüsselte Chat-Anwendungen wie Telegram und Wickr gehandelt, aber etwas weniger über Dark Web-Marktplätze verkauft. Europol half bei der Verhaftung eines italienischen Staatsbürgers, der verdächtigt wurde, im Dark Web einen Auftragskiller angeheuert zu haben. Darüber hinaus erwähnten mehrere EU-Strafverfolgungsbehörden, dass Auftragskiller angeheuert und im Dark Web gekaufte Waffen beschlagnahmt wurden. In den Medien wurde über mehrere ähnliche Fälle berichtet. So wurde beispielsweise in den Niederlanden eine Person zu acht Jahren Haft verurteilt, weil sie mehrfach versucht hatte, über Plattformen im Dark Web und verschlüsselte Chat-Anwendungen einen Auftragsmord zu bestellen. Außerdem wurden auf einem Dark-Web-Marktplatz, der im Mai 2021 von den französischen Behörden geschlossen wurde, Waffen verkauft. Im September 2020 wurde in Spanien eine illegale Werkstatt für den Druck dreidimensionaler Waffen ausgehoben, wobei ein neuartiger Modus Operandi aufgedeckt wurde31. Der Verdächtige lud Vorlagen für den Waffendruck aus dem dem Dark Web herunter.

Bei einer der Hausdurchsuchungen im Rahmen der gemeinsamen Operation der spanischen Steuerbehörde und der nationalen Polizei stießen die Strafverfolgungsbeamten auf verschiedene 3D-Drucker, von denen einer gerade dabei war, eine kleine Schusswaffe zu drucken. Darüber hinaus haben Anbieter die Gelegenheit genutzt, die Unsicherheit im Zusammenhang mit der Pandemie auszunutzen, indem sie gefälschte Impfstoffe und Masken zum Verkauf anboten und so die Käufer betrogen haben.

Kryptowährungen: Monero ist Bitcoin auf den Fersen

Bitcoin ist auch laut EUROPOL bei weitem die bevorzugte Kryptowährung für Nutzer des Dark Web geblieben. Allerdings hat die kriminelle Nutzung des Privacy Coins Monero auf Dark Web-Marktplätzen weiter zugenommen.

So scheint Monero die inzwischen am meisten verbreitete Kryptowährung im Dark Web zu sein. EURPOL verweist beispielsweise auf einen Marktplatz, der nur Monero als Zahlungsoption akzeptiert. Zcash wurde ebenfalls als Zahlungsoption vorgefunden, aber dessen Nutzung kam nicht an Monero heran. Während Kriminelle die meisten Zahlungen immer noch in Bitcoin tätigen, wandeln die Empfänger diese zunehmend in Monero und andere Währungen um, indem sie Swap-Dienste nutzen. Diese Dienste operieren oft im Clearnet und in einer Grauzone, indem sie Gerichtsbarkeiten mit laxer Gesetzgebung und vagen oder nicht vorhandenen KYC-Verfahren (Know-Your-Customer) nutzen. Einige andere Dienste, wie z. B. Kilos, operieren im Dark Web und geben sogar zu, dass sie „rechtliche Verfahren umgehen“. Kilos wurde bereits in der letztjährigen IOCTA erwähnt, setzt nun aber auch seine eigenen Swapper und Mixer ein, die KSwap“ bzw. Krumble“ genannt werden.

Der Einsatz von Swappern fügt sich in einen größeren Trend zur Einführung komplexerer Geldwäschemethoden ein. In den Anfängen der Dark-Web-Marktplätze transferierten die Verkäufer Kryptowährungen oft einfach direkt von einem Marktplatz zu einer Börse. In den letzten Jahren haben jedoch viele verschiedene Verschleierungsmethoden an Popularität gewonnen, wie Mixer, CoinJoin, Swapping, Krypto-Debitkarten, Bitcoin-Geldautomaten, lokaler Handel und mehr.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.