Login-Daten im Sonderangebot: Report zu Initial Access Brokers von Check Points Cyberint

58 Prozent aller von IAB gestohlenen Zugangsdaten zu Firmennetzwerken werden für unter 1‘000 US-Dollar im Dark Net verkauft. Administrator-Konten steigen in der Angebotshäufigkeit um über 100 Prozent.

Redwood City, Kalifornien, USA, 14. April 2025 – Check Point Software Technologies Ltd. (NASDAQ: CHKP), ein Pionier und weltweit führender Anbieter von Cyber-Sicherheitslösungen, geht auf die stetig beliebter werdende Masche Cyber-Krimineller in einem eigenen Bericht der kürzlich zugekauften Experten-Firma Cyberint genauer ein. Initial Access Brokers (IAB) sind Hacker, die Netzwerke, Systeme oder Organisationen infiltrieren und diesen geknackten Zugang an andere Hacker verkaufen. Anstatt also den gesamten Cyber-Angriff auszuführen, konzentrieren sich IAB auf den ersten Einbruch und monetarisieren ihn, indem sie den Zugang zu den Systemen im Dark Net feilbieten. Sie unterstützen auf diese Weise Ransomware-Operationen, insbesondere RaaS-Systeme, indem sie solche Angriffe optimieren und die Einstiegshürden reduzieren.

Der Bericht basiert auf Daten von Cyberint – das Forschungs-Team eines Unternehmens von Check Point – die über die letzten zweieinhalb Jahre in führenden Dark-Web-Foren (nämlich Ramp, Breach, XSS und Exploit Forums) gesammelt wurden. Er hebt hervor, dass die USA im Jahr 2024 das Hauptziel von IAB waren (31 Prozent), während Frankreich und Brasilien stark ins Visier gerieten. In den Top-10-Ländern stieg die Zahl der zum Verkauf stehenden Zugänge um 90 Prozent, was darauf hindeutet, dass sich die Hacker auf bestimmte Länder konzentrieren, anstatt ihre geografischen Ziele zu streuen. Dies könnte verschiedene Gründe haben, von der gezielten Auswahl von Ländern mit höherem Wirtschaftspotenzial bis hin zu Ländern mit wertvolleren Daten. Deutschland blieb bislang etwas verschont und rangiert auf Rang 10 der am meisten betroffenen Länder.

Abbildung 1: Top 10 der betroffenen Länder 2023 und 2024 (Check Point Software Technologies Inc.).

Marco Eggerling, Global CISO bei Check Point Software Technologies, schätzt die Lage für die DACH-Region ein: «Angesichts der zunehmenden Berichterstattung über erfolgreiche Cyber-Angriffe in der DACH-Region im vergangenen Jahr ist es nur eine Frage der Zeit, bis auch Industrieländer mit einer Vielzahl wertvoller Mittelstandsunternehmen und Grosskonzerne zunehmend im Fokus solcher Angreifer stehen. Die Bedrohung durch Identitäts- und Account-Betrug wird in Zukunft zweifellos an Bedeutung gewinnen. Aus diesem Grund bleibt die oberste Priorität weiterhin, eine robuste Passwortpolitik strikt aufrechtzuerhalten und durchzusetzen. Darüber hinaus muss die Einführung von Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) für sämtliche Identity Services eine Pflichtmassnahme sein – und zwar sowohl für Cloud-Umgebungen als auch für hybride sowie On-Premise-Systeme, die kontinuierlich gepflegt und geprüft werden müssen. Darüber hinaus empfiehlt es sich, fortlaufend mit leistungsfähigen Technologien und Tools, wie von Check Points Cyberint, die Hacker-Foren im Dark Net nach gestohlenen Zugangsdaten des eigenen Unternehmens zu durchsuchen. Nur durch vorrausschauende, umfassende und mehrschichtige Sicherheitsmassnahmen kann langfristig gewährleistet werden, dass Unternehmen nicht nur in der Gegenwart, sondern auch in der Zukunft gegen die jeweils aktuellen Bedrohungen gewappnet sind.»

IAB zielen auf verschiedene Branchen, wobei der Sektor der Unternehmensdienstleistungen am häufigsten betroffen ist, ähnlich wie bei Ransomware-Trends. Der Einzelhandel ist 2023 und 2024 durchgehend unter den Top 3 geblieben, aber die Fertigungsindustrie hat sich 2024 als wachsender Schwerpunkt erwiesen und ist in die Top 3 aufgestiegen. Die Streuung der anvisierten Unternehmen hat ebenfalls zugenommen.

Abbildung 2: Top 5 der betroffenen Branchen 2024 (Check Point Software Technologies Inc.).

Im Jahr 2024 hat sich der Fokus auf kleinere Organisationen verlagert, möglicherweise aufgrund der oft schwächeren IT-Abwehr. Die meisten Organisationen liegen im Bereich von 5 bis 50 Millionen US-Dollar, was 60,5 Prozent aller zum Verkauf stehenden Zugangslisten entspricht.

Abbildung 3: Verteilung der betroffenen Unternehmen nach deren Umsatz (Check Point Software Technologies Inc.).

Dazu passt, dass 53 Prozent der erfolgreich attackierten Endpunkte auf den Windows Defender allein als Verteidigung setzten.

Abbildung 4: Top 10 der Anti-Virus-Produkte auf IAB-Listen (Check Point Software Technologies Inc.).

Die Konzentration auf die kleinen und mittleren Unternehmen (KMU) aber hat den durchschnittlichen Umsatz der Cyber-Kriminellen von 1,38 Milliarden US-Dollar im Jahr 2023 auf 1,28 Milliarden US-Dollar im Jahr 2024 gesenkt.

Abbildung 5: Durchschnittlicher Umsatz von IAB-Geschäften im Vergleich 2023 und 2024 (Check Point Software Technologies Inc.).

Es gibt drei Haupttypen von IAB, welche die meisten Ransomware-Angriffe derzeit antreiben. Im Jahr 2023 waren IAB, die Zugänge zu Servern anboten, welche wegen eines ungesicherten Remote Desktop Protocol (RDP) anfällig waren, am häufigsten zum Verkauf gestanden (>60 Prozent). Im Jahr 2024 nahm der VPN-Zugang jedoch stark zu (33 Prozent) während RDP-Zugänge nachliessen (55 Prozent).

Abbildung 6: Vergleich der Top-3-Zugangsmöglichkeiten, die verkauft werden 2023 und 2024 (Check Point Software Technologies Inc.).

Zudem unterscheiden die IAB zwischen der Wertigkeit der Zugangsdaten, das heisst: Wie viele Privilegien stehen dem Käufer über das Benutzerkonto zur Verfügung? Die Top-3-Varianten legten stark zu, wobei den grössten Zuwachs die normalen Domain-Nutzer verzeichneten (447 Prozent). Lokale Administratoren stiegen um 161 Prozent, Domain-Administratoren um 144 Prozent.

Abbildung 7: Top 3 der verschiedenen Zugangskonten mit unterschiedlichen Privilegien (Check Point Software Technologies Inc.).

Die meisten IAB-Einnahmen fallen in eine Preisspanne von 500 bis 3’000 US-Dollar (86 Prozent) für den Zugang zu Unternehmen, obwohl gelegentlich hochwertige Angebote erscheinen, die 10’000 US-Dollar übersteigen.

Abbildung 8: Preisspannen und ihre Verteilungshäufigkeit (Check Point Software Technologies Inc.).

Das Fazit der Sicherheitsforscher lautet, dass eindeutig zu wenige Unternehmen auf einen mehrschichtigen Sicherheitsansatz setzen, sondern sich auf eine Ebene allein verlassen. Wird diese Überwunden, ist das Tor zum Netzwerk offen.

Bitte beachten Sie, dass die bereitgestellten Daten auf Beobachtungen aus den Foren «Ramp», «Breach», «XSS» und «Exploit» beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.

Breach“, „XSS“ und „Exploit“ beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.

Breach“,
Bitte beachten Sie, dass die bereitgestellten Daten auf Beobachtungen aus den Foren «Ramp“, Breach“, „XSS“ und „Exploit“ beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.

XSS“ und „Exploit“ beschränkt sind. Diese Quellen sind zwar wichtig, vermitteln aber kein vollständiges Bild aller Bedrohungsaktivitäten.

Folgen Sie Check Point über:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies 
X: https://www.twitter.com/checkpointsw 
Facebook: https://www.facebook.com/checkpointsoftware 
Blog: https://blog.checkpoint.com  
YouTube: https://www.youtube.com/user/CPGlobal 

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter einer KI-gestützten, cloud-basierten Cyber-Sicherheitsplattform, die mehr als 100’000 Unternehmen weltweit schützt. Check Point nutzt die Kraft der KI überall, um die Effizienz und Genauigkeit der Cyber-Sicherheit durch seine Infinity-Plattform zu verbessern, dies mit branchenführenden Erkennungsraten, die eine Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die umfassende Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Absicherung des Arbeitsplatzes, Check Point CloudGuard zur Absicherung der Cloud, Check Point Quantum zur Absicherung des Netzwerks und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste.

Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding Check Point’s leadership transition process, future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.

Pressekontakte:

Check Point Software Technologies
Alvaro Amato
Country Manager Schweiz / Director Globals EMEA & Asia

Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com