Bedrohungsbewertung der organisierten Kriminalität im Internet (IOCTA) 2024

Im Jahr 2023 blieben Ransomware-Angriffe und Online-Betrug die größten Bedrohungen für die Cybersicherheit in der EU. Dieses Bild umfasst sowohl Einzeltäter als auch kriminelle Netzwerke, die sowohl innerhalb als auch außerhalb der EU agieren. Obwohl die Regulierungsrahmen gestärkt werden, bleibt der menschliche Faktor das schwächste Glied. Mehrstufige Betrugsmodelle und neue Technologien wie KI verbessern das Social Engineering und erleichtern Betrug. Auch der Einsatz von Deepfakes nimmt zu, insbesondere bei KI-generiertem Betrug. 

Als nächstes werden die häufigsten Arten von Bedrohungen im Jahr 2023 analysiert:

Kryptowährungen und das Dark Web

Im Jahr 2023 wurde der kriminelle Einsatz von Kryptowährungen deutlicher, und die bei Europol eingegangenen Ersuchen um Ermittlungsunterstützung nahmen zu. Finanzkriminalität, vor allem Anlagebetrug und Geldwäsche, sind die Bereiche, in denen Kryptowährungen am häufigsten vorkommen. Einige Stablecoins ermöglichen es den Strafverfolgungsbehörden, verdächtige Gelder einzufrieren, was die Ermittlungen erleichtert.

Ransomware-Betreiber fordern typischerweise Bitcoin als Lösegeld, obwohl sie manchmal auch andere Kryptowährungen wie Monero verlangen. Der kriminelle Einsatz von Altcoins nimmt zu, wobei die Fälle, in denen es um Bitcoin und Altcoins geht, fast gleichauf sind. Neue EU-Vorschriften für Geldtransfers haben die Meldepflichten für Krypto-Asset-Service-Provider (CASPs) ausgeweitet, was voraussichtlich die Menge der für Untersuchungen in der EU verfügbaren Informationen verbessern wird.

Andererseits sind Dark-Web-Foren die Hauptkanäle zur Werbung für dunkle (illegale) Märkte, deren Währung Kryptocoins sind. Administratoren begrenzen die Größe und Lebensdauer ihrer Marktplätze, um digitale Überwachung zu vermeiden und gleichzeitig einen guten Ruf aufrechtzuerhalten, um Kunden anzulocken. Im Dark Web sind Kryptowährungen weiterhin attraktiv, da es schwierig ist, diese Art von Vermögenswerten zu verfolgen.

Cyberangriffe

Ransomware-Gruppen, die nach dem Ramsonware-as-a-Service (RaaS)-Modell operieren, haben versucht, aus dem Niedergang ihrer Konkurrenten Kapital zu schlagen, um Partner anzulocken. Nach der Einstellung der Hive-Dienste bewarb BlackCat/ALPHV seine Sicherheits- und No-Log-Richtlinie, um ehemalige Hive-Partner anzulocken. Die Schließung der BlackCat/ALPHV-Standorte im Dezember 2023 schadete jedoch ihrem Ruf, und im März 2024 stellten sie offenbar ihren Betrieb ein und betrog ihre Partner. Strafverfolgungsmaßnahmen gegen Ransomware-Betreiber beeinträchtigen deren Ruf und Betrieb, entlarven Partner und verursachen Ressourcenverluste. Diese Anfälligkeit hat einige Partner dazu veranlasst, mithilfe von KI-Tools ihre eigene Malware zu entwickeln. LockBit, einer der bekanntesten RaaS-Anbieter, wurde im Februar 2024 durch eine koordinierte Aktion von LEAs demontiert, was seine Kapazitäten erheblich beeinträchtigte. LockBit hatte neue Varianten wie LockBit Black und LockBit Green veröffentlicht und entwickelte Verschlüsselungsprogramme für MacOS. Eine neue RaaS-Gruppe, Akira, die mit der aufgelösten Conti-Gruppe verbunden ist, hat sich als wachsende Bedrohung herausgestellt.

Ransomware-Gruppen haben ihre Angriffe vor allem auf kleine und mittlere Unternehmen (KMU) konzentriert, während große Unternehmen ihre Cybersicherheit verbessert haben. Angreifer wählen ihre Ziele anhand der Größe, der Zahlungswahrscheinlichkeit und des erforderlichen Aufwands aus, um Systeme zu kompromittieren, indem sie gestohlene Anmeldeinformationen verwenden oder Schwachstellen in öffentlich zugänglichen Technologien ausnutzen. Ransomware-Betreiber setzen auf bestimmte Technologien spezialisierte Initial Access Brokers (IABs) ein, um brauchbare Angriffsflächen zu identifizieren und so die Zielauswahl zu beeinflussen. Betreiber nutzen weiterhin vielschichtige Erpressungstaktiken, bei denen die Drohung, gestohlene Daten zu veröffentlichen oder zu versteigern, effektiver geworden ist, da viele Unternehmen mittlerweile regelmäßig Backups durchführen.

Im Jahr 2023 erfuhr die Malware-as-a-Service (MaaS)-Landschaft mehrere Veränderungen. Nach dem Zusammenbruch der Qakbot-Malware-Infrastruktur wandten sich Angreifer schnell an andere etablierte oder aufstrebende Dropper/Loader-Anbieter wie IcedID, SystemBC, Pikabot, DanaBot und Smokeloader. Cobalt Strike wurde zunächst als Hintertür und Kommando- und Kontrollzentrum (C2) eingesetzt. Auch KI-gestützte Frameworks wie PentestGPT werden in böswilliger Absicht eingesetzt, um die anfängliche Kompromittierung von Informationssystemen zu erleichtern.

Online- und Zahlungsbetrugssysteme

Im Jahr 2023 hat die Bedrohung durch Kontoübernahmen (ATOs) deutlich zugenommen und sich als eine Schlüsselform von Criminal-as-a-Service (CaaS) herausgestellt. Kriminelle greifen weiterhin auf Online-Konten wie Banken, E-Mails und soziale Netzwerke zu, um Geld zu erbeuten und vertrauliche Informationen zu erhalten, die sie dann monetarisieren. Da Banken Verluste durch 2FA/MFA-Anmeldedatenbetrug als Fahrlässigkeit des rechtmäßigen Inhabers behandeln, bleiben Betrügereien, die auf einzelne Konten abzielen, für Kriminelle weiterhin eine risikoarme und gewinnbringende Aktivität.

Angreifer nutzen Remote Administration Tools (RAT) und Anwendungen, die in legitimen Geschäften erhältlich sind, um diese Betrugsfälle zu generieren. Business Email Compromise (BEC)-Angriffe, insbesondere Betrugsversuche gegen CEOs, sind nach wie vor weit verbreitet, wobei Phishing-E-Mails dank generativer Sprachmodelle (LLMs) immer überzeugender werden. Auch gezielte Betrügereien stellen nach wie vor eine erhebliche Bedrohung dar. Mithilfe von KI-Tools können Betrüger mehr Opfer kontaktieren und ihre Social-Engineering-Techniken verfeinern.

Was ist in Zukunft zu erwarten?

Die weit verbreitete Einführung von KI-Tools und -Diensten durch Angreifer führt zu neuen Bedrohungen, darunter sowohl der Missbrauch legitimer Tools und Dienste als auch die Erstellung bösartiger Ad-hoc-Versionen. Die Verbreitung neuer ungefilterter Sprachmodelle wird die durch KI generierte betrügerische Werbung vervielfachen und potenzielle Opfer anlocken. Kriminelle werden in der Lage sein, KI zu nutzen, um kriminelle Methoden zu verbessern und Sprachbarrieren zu überwinden, wodurch Manipulationen in mehreren Sprachen erleichtert werden.

Durch die Priorisierung der Kriminalprävention können Strafverfolgungsbehörden und politische Entscheidungsträger die Cyberkriminalität an der Wurzel packen und langfristige, nachhaltige Lösungen zum Schutz dieser Umgebungen schaffen. Indem sie sich auf die Ursachen konzentrieren, die Menschen dazu veranlassen, sich an solchen Aktivitäten zu beteiligen, wie mangelndes Bewusstsein, finanzielle Anreize oder sozioökonomische Faktoren, können Behörden die Online-Kriminalitätsraten effektiv senken. Investitionen in die Prävention mindern nicht nur unmittelbare Risiken, sondern fördern auch eine Kultur der Cybersicherheit und schaffen so eine sicherere digitale Umgebung.