„Ransomware-Gruppen konnten neue Talente rekrutieren und die Ressourcen aus ihren Ransomware-Operationen und aus den wahnsinnigen Einnahmen, die sie erzielen, nutzen, um sich auf das zu konzentrieren, was einst die Domäne der staatlich geförderten war [hacking] Gruppen“, sagt James Sadowski, ein Forscher bei Mandiant.
Zero-Days werden normalerweise im Schatten gekauft und verkauft, aber was wir wissen, zeigt, wie viel Geld im Spiel ist. Ein kürzlich erschienener MIT Technology Review-Bericht beschreibt, wie ein amerikanisches Unternehmen ein leistungsstarkes Zero-Day-iPhone für 1,3 Millionen US-Dollar verkauft hat. Zerodium, ein Zero-Day-Anbieter, hat ein ständiges Angebot, 2,5 Millionen US-Dollar für jeden Zero-Day zu zahlen, der dem Hacker die Kontrolle über ein Android-Gerät gibt. Zerodium dreht dann um und verkauft den Exploit zu einem erheblichen Preisaufschlag an eine andere Organisation – vielleicht einen Geheimdienst. Regierungen sind bereit, diese Art von Geld zu zahlen, weil Zero-Days ein sofortiger Trumpf im globalen Spionagespiel sein können, der möglicherweise mehr wert ist als die Millionen, die eine Behörde ausgeben könnte.
Aber sie sind eindeutig auch für Kriminelle viel wert. Eine besonders aggressive und geschickte Ransomware-Gruppe, bekannt unter dem Codenamen UNC2447, nutzte eine Zero-Day-Schwachstelle in SonicWall aus, einem Tool für virtuelle private Netzwerke, das in großen Unternehmen auf der ganzen Welt verwendet wird. Nachdem die Hacker Zugriff erhalten hatten, verwendeten sie Ransomware und setzten die Opfer unter Druck, indem sie drohten, die Medien über die Hacks zu informieren oder die Daten der Firmen im Darknet zu verkaufen.
Die vielleicht berühmteste Ransomware-Gruppe der jüngeren Geschichte ist Darkside, die Hacker, die die Abschaltung der Colonial Pipeline und letztendlich eine Treibstoffknappheit im Osten der Vereinigten Staaten verursacht haben. Sadowski sagt, auch sie hätten während ihrer kurzen, aber intensiven Tätigkeit mindestens einen Zero-Day ausgenutzt. Kurz nachdem Darkside weltberühmt geworden war und all die unerwünschte Aufmerksamkeit der Strafverfolgungsbehörden auf sich gezogen hatte, die mit Ruhm einhergeht, wurde Darkside geschlossen, aber seitdem hat sich die Gruppe möglicherweise einfach umbenannt.
Für einen Hacker ist das Nächstbeste nach einem Zero-Day möglicherweise eine ein- oder zweitägige Schwachstelle – eine Sicherheitslücke, die kürzlich entdeckt, aber noch nicht von den potenziellen Zielen dieses Hackers auf der ganzen Welt behoben wurde. Cyberkriminelle machen auch in diesem Rennen schnelle Fortschritte.
Cybercrime-Gruppen „greifen die Zero-Days staatlich geförderter Bedrohungsakteure schneller auf“, sagt Adam Meyers, Senior Vice President of Intelligence bei der Sicherheitsfirma Crowdstrike. Die Kriminellen beobachten die Nutzung der Zero-Days und sprinten dann los, um die Tools für ihre eigenen Zwecke zu kooptieren, bevor die meisten Cyber-Verteidiger wissen, was passiert.
„Sie finden schnell heraus, wie sie es verwenden, und nutzen es dann für den weiteren Betrieb“, sagt Meyers.