Insights
Artikel

Access Broker Economy: Wenn der Zugang zu eurem Netzwerk im Darknet zum Verkauf steht

Pattern

Initial Access Broker – ein eigener Wirtschaftszweig

Das Darknet hat eine funktionierende Arbeitsteilung entwickelt. Initial Access Broker (IABs) sind spezialisierte Akteure, die sich auf eine einzige Aufgabe konzentrieren: Zugang zu Unternehmensnetzwerken zu beschaffen und diesen Zugang weiterzuverkaufen.

Ihr Angebot ist präzise katalogisiert und umfasst VPN-Zugangsdaten mit Angaben zu Unternehmensname, Branche und Jahresumsatz, RDP-Zugänge zu bestimmten Servern, kompromittierte Admin-Accounts mit bekannten Berechtigungsstufen sowie aktive Sessions zu Citrix- oder VMware-Umgebungen. Die Käufer, darunter Ransomware-Gruppen, Spionageakteure und Erpresser, wissen so genau, was sie erhalten, noch bevor sie den Kauf abschließen.

Die Preise richten sich nach dem Wert des Ziels. Ein Zugang zu einem mittelgroßen europäischen Industrieunternehmen mit hohem Umsatz bringt deutlich mehr als ein Zugang zu einem kleinen Dienstleister. Der Markt funktioniert nach Angebot und Nachfrage.

Warum diese Arbeitsteilung gefährlich ist

Für betroffene Unternehmen bedeutet dieses Modell eine strukturelle Verschiebung: Der eigentliche Breach – der Moment, in dem jemand unbefugten Zugang erlangt – ist nicht identisch mit dem Moment, in dem der Schaden sichtbar wird.

Wenn Ransomware deployed wird, ist der initiale Zugang möglicherweise Wochen alt. In dieser Zeit hat der ursprüngliche Angreifer das Netzwerk erkundet, Zugangsdaten dokumentiert, das Listing vorbereitet und den Käufer gefunden. Der Ransomware-Akteur betritt eine bereits erschlossene Umgebung.

Klassische Reaktionsmuster greifen hier zu spät: Wer erst reagiert, wenn Dateien verschlüsselt werden, hat den entscheidenden Zeitraum bereits verpasst.

Was im Darknet über euer Unternehmen steht

IAB-Listings sind oft überraschend umfangreich. Neben Zugangsweg und Unternehmensnamen enthalten sie häufig Angaben zur Anzahl erreichbarer Systeme, zur Berechtigungsstufe kompromittierter Konten, zur eingesetzten Sicherheitssoftware und teilweise sogar Hinweise darauf, welche EDR-Lösungen bereits vorhanden sind und bei einem weiteren Angriff umgangen werden müssten.

Diese Informationen stammen nicht aus Datenbank-Leaks. Sie wurden aktiv aus dem Netzwerk extrahiert, bevor das Listing erstellt wurde. Ein IAB-Eintrag bedeutet: Jemand war bereits drin.

Wie blacklens.io IAB-Aktivität erkennt

Das Darknet-Monitoring von blacklens.io überwacht nicht nur klassische Credential-Dumps – geleakte E-Mail-Passwort-Kombinationen aus bekannten Breaches. Es erfasst auch aktive IAB-Listings auf einschlägigen Darknet-Foren und -Marktplätzen.

Wird ein Listing entdeckt, das mit der öffentlichen Domain eines Unternehmens in Verbindung steht, erfolgt umgehend eine Meldung mit allen verfügbaren Kontextinformationen zum jeweiligen Eintrag, etwa zum Zeitpunkt der Veröffentlichung oder zum betroffenen Zugangspunkt wie einer Citrix- oder VPN-Login-Seite.

Genau hier liegt der Unterschied zu klassischer, reaktiver Incident Response: Ein IAB-Fund bedeutet nicht zwangsläufig, dass der eigentliche Angriff bereits erfolgt ist. Vielmehr zeigt er, dass eine Kompromittierung bereits stattgefunden hat und ein weiterführender Angriff bevorstehen könnte – wodurch oft noch ein begrenztes Zeitfenster für gezielte Gegenmaßnahmen bleibt.

Insights

Lesen Sie unsere neuesten Nachrichten, Forschungsergebnisse und Expertenratschläge zum Thema Cybersicherheit

Artikel

blacklens.io Februar-Release: Active Directory Scanning, neue Cloud-Integrationen und mehr

blacklens.io Februar-Release: Sentry erhält Active Directory Scanning für die kontinuierliche Erkennung von Fehlkonfigurationen und Schwachstellen. Neu dabei: Cloud-Integrationen für Cloudflare und Hetzner Cloud sowie Anbindungen an GitLab, GitHub, ServiceNow und Slack. Das Ergebnis – ein ganzheitlicherer Blick auf Ihre gesamte Attack Surface, von On-Prem bis Multi-Cloud.
Artikel

Pentest vs. Bug Bounty - Struktur & Hoffnung

Bug Bounty klingen attraktiv: viele Augen suchen nach Schwachstellen – bezahlt wird nur im Erfolgsfall. Doch dieser Ansatz hat Grenzen. Wer Verlässlich-/Reproduzierbarkeit und Compliance wünscht, kommt an strukturierten Penetrationstests nur mit Abstrichen vorbei.‍
Artikel

Supply Chain Schock - CrowdStrike-Pakete kompromittiert

Der Angriff nutzt ein bösartiges `bundle.js`‑Script,welches beim Ausführen sensible Informationen abgreift und folgend persistente GithubActions in Repositorys anlegt um sensible Daten zu exfiltrieren.
Artikel

Einheitliches Cloud-Schwachstellen-Scanning: NIS2-Compliance und Cloud-Sicherheit mit blacklens.io

Einheitliches Cloud-Scanning mit blacklens.io: Über 500 CIS-konforme Checks für mehr Sicherheit, Transparenz und NIS2-Compliance.
Guides

blacklens.io Sentry – Warum internes Schwachstellen-Scanning Ihre gesamte IT-Infrastruktur umfassen muss

blacklens.io Sentry scannt nicht nur Server, sondern auch IoT- und Netzwerkgeräte – für ganzheitliches Schwachstellenmanagement ohne blinde Flecken.
Artikel

Revolutionäres Darknet Monitoring mit blacklens.io: Neue Features für umfassende Sicherheit

blacklens.io erkennt gestohlene Cookies, analysiert Identitätsrisiken per KI und klassifiziert Leaks – für sicheres Darknet Monitoring in Echtzeit.
Alle anzeigen

Bereit Ihre Sicherheit auf das nächste Level zu heben?

Erleben Sie proaktive Cybersicherheit mit der 30-tägigen kostenlosen Testversion von blacklens.io.

Jetzt TestenDemo Vereinbaren

Cookie Einstellungen

Wir verwenden Cookies und ähnliche Technologien, um Inhalte zu personalisieren, Werbung anzupassen und zu messen und ein besseres Erlebnis zu bieten.

AkzeptierenAnpassen