Onderzoek onthult groeiende handel in SSL/TLS-certificaten op dark web

Amsterdam, 6 maart 2019 – Venafi heeft de resultaten bekendgemaakt van een onderzoek naar het aanbod van SSL/TLS-certificaten op het dark web en de invloed daarvan op cybercriminaliteit. Het onderzoek is uitgevoerd door academici van de Evidence-based Cybersecurity Research Group van de Andrew Young School of Policy Studies at Georgia State University en de University of Surrey en is gesponsord door Venafi. Het onthult een groeiende handel in TLS-certificaten, die zowel afzonderlijk worden verkocht als verpakt met een scala aan crimeware. Met de aangeboden diensten kunnen cybercriminelen een machine-identiteit nabootsen om websites en versleuteld verkeer af te luisteren, ‘man-in-the-middle’ aanvallen uit te voeren en gevoelige gegevens te stelen.

Belangrijke onderzoeksresultaten:

• Vijf van de onderzochte Tor-netwerken hebben een continu aanbod van SSL/TLS-certificaten, in combinatie met gerelateerde diensten en producten.
• Certificaatprijzen variëren van $ 260 tot $ 1.600, afhankelijk van het type certificaat dat wordt aangeboden en het aantal bijbehorende diensten.
• Er zijn validatiecertificaten met diensten te koop ter ondersteuning van kwaadaardige websites, zoals Google-geïndexeerde ‘oude’ domeinen, after-sales support, webdesigndiensten en integratie met verschillende betalingsverwerkers – waaronder Stripe, PayPal en Square.
• Minimaal één leverancier op BlockBooth belooft certificaten uit te geven van gerenommeerde certificaatautoriteiten, samen met vervalste bedrijfsdocumentatie – inclusief DUNS-nummers. Met dit pakket aan producten en diensten kunnen aanvallers zich op geloofwaardige wijze presenteren als een betrouwbaar Amerikaans of Brits bedrijf voor minder dan $ 2.000,–.

Onderzoeksmethode

De academische onderzoekers hebben van oktober 2018 tot januari 2019 online markten en hackerfora onderzocht die actief waren op het Tor-netwerk, I2P en het Freenet. Daar zochten ze naar advertenties van te koop aangeboden gecompromitteerde en vervalste TLS-certificaten. Tijdens genoemde periode heeft het onderzoeksteam elke week 16 zoekopdrachten uitgevoerd en daarmee bijna 60 relevante online markten op Tor en 17 webpagina’s op I2P ontdekt. Tevens hebben ze een aantal aangeboden certificaten gedetailleerd onderzocht en met enkele verkopers gecommuniceerd om beter inzicht te krijgen in de aangeboden diensten.

Gespecialiseerde markten voor TLS-certificaten

Eén representatieve zoekopdracht op deze vijf marktplaatsen heeft maar liefst 2.943 vermeldingen van ‘SSL’ en 75 van ‘TLS’ opgeleverd. Ter vergelijking, er waren maar 531 vermeldingen over ‘ransomware’ en 161 voor ‘zero days’. Het was ook duidelijk dat een aantal marktplaatsen – zoals Dream Market – zich lijkt te specialiseren in de verkoop van TLS-certificaten. Deze leveren de kopers effectieve ‘machine-identiteit-als-een-service’. Bovendien ontdekten de onderzoekers dat certificaten vaak worden verpakt met andere crimeware, waaronder ransomware.

Laagdrempelige toegang tot online geloofwaardigheid en vertrouwen

“Een  interessante ontdekking van dit onderzoek is het verpakken van TLS-certificaten met aanvullende diensten, zoals webontwerp, om aanvallers laagdrempelig toegang te geven tot hoge niveaus van online geloofwaardigheid en vertrouwen”, zegt Dr. David Maimon, security-onderzoeker, auteur van het rapport en directeur van de Evidence-based Cybersecurity Research Group. “Het was verrassend te ontdekken hoe makkelijk en goedkoop complete validatiecertificaten te kopen zijn, in combinatie met alle benodigde documentatie om zonder enige verificatie-informatie geloofwaardige bedrijven te kunnen creëren.”

Ongebreidelde verkoop TLS-certificaten

“Tijdens dit onderzoek is duidelijk bewijsmateriaal gevonden voor de ongebreidelde verkoop van TLS- certificaten op het dark web”, zegt Kevin Bocek, vice president security & threat intelligence van Venafi.

“TLS-certificaten die gebruikt worden als vertrouwde machine-identiteiten zijn een belangrijk onderdeel geworden van de gereedschappen die cybercriminelen benutten, net als bots, ransomware en spyware. Er is nog veel meer onderzoek op dit terrein nodig, maar elke organisatie moet zich nu al zorgen maken. De certificaten die ze gebruiken om het vertrouwen en de privacy op het Internet vast te stellen en te managen, worden volop verkocht aan cybercriminelen”.

Over Venafi

Venafi is marktleider in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen. Ze beschermen alle typen identiteiten door het orkestreren van cryptografische sleutels en digitale certificaten voor SSL/TLS, IoT, mobiel en SSH. Venafi maakt zowel identiteiten als daaraan gerelateerde risico’s wereldwijd inzichtelijk, binnen het eigen bedrijfsnetwerk en alle mobiele, virtuele, cloud- en IoT-apparatuur. Gebaseerd op intelligentie en een geautomatiseerde aanpak van risico’s op het gebied van beveiliging en beschikbaarheid, door zwakke of gecompromitteerde apparatuur. Verder wordt de communicatie tussen alle betrouwbare apparatuur effectief beschermd en met onbetrouwbare apparatuur voorkomen.  Met ruim 30 patenten levert Venafi innovatieve oplossingen voor ’s werelds meest veeleisende, veiligheidsbewuste Global 5000 organisaties. Tot hun klantenkring behoren de top vijf Amerikaanse ziektekostenverzekeraars, de top vijf Amerikaanse luchtvaartmaatschappijen, vier van de top vijf Amerikaanse, Britse en Zuid-Afrikaanse banken en vier van de top vijf Amerikaanse retailers. Het bedrijf wordt mede gefinancierd door: TCV, Foundation Capital, Intel Capital, QuestMark Partners, Mercato Partners en NextEquity. Zie ook: http://venafi.com.

Over de Evidence-based Cybersecurity Research Group en Andrew Young School op Policy Studies van de Georgia State University

Cybercriminaliteit is een toenemende zorg voor overheden, bedrijven en financiële dienstverleners in de wereld. Maar ook voor consumenten die computerapparatuur gebruiken voor entertainment, shoppen en werken. Via uitgebreid onderzoek zijn methoden onderzocht en voorgesteld om de groei van cybercriminaliteit tegen te gaan. Het is echter nog steeds onduidelijk of veelgebruikte interventies kunnen voorkomen dat online criminelen zich inlaten met misdrijven zoals hacken, malware verspreiden en Distributed Denial of Service aanvallen lanceren. De Evidence-based Cybersecurity Research Group van de Andrew Young School of Policy Studies van de Georgia State University heeft als doel empirisch bewijs te leveren en systematisch onderzoek te doen naar de mogelijke effecten van bestaand empirisch onderzoek naar het effect van het huidige beleid en instrumenten op het gebied van cyberveiligheid, bij het voorkomen van de ontwikkeling en progressie van cybercriminaliteit. Bezoek voor meer informatie: https://ebcs.gsu.edu