Digitale Unterwelt Cyberkriminelle: Mit KI auf Fahndung in Darknet-Foren

Sophos hat gemeinsam mit Flare und der Université de Montréal ein Forschungsprojekt gestartet, das mit Hilfe von künstlicher Intelligenz Schlüsselpersonen in der digitalen Unterwelt identifiziert. So können Cyberkriminelle in Darknet-Foren aufgespürt werden.

Sophos hat Methodik und Ergebnisse aus dem internationalem Forschungsprojekt in die laufende Bedrohungsanalyse eingebaut. Grundlage war ein Methodenmix aus IT-Sicherheit, Data Science und Kriminologie. In dem internationalen Forschungsprojekt identifizierten Sophos, die Université de Montréal und das Unternehmen Flare mit Hilfe künstlicher Intelligenz Schlüsselpersonen in der digitalen Unterwelt. Sophos wird die Ergebnisse für die Bedrohungsanalyse in der Sophos Counter Threat Unit (CTU) nutzen.

Cyberkriminelle und ihre Aktivitäten systematisch erkennen

Kriminelle Internetforen bieten umfangreiche Einblicke in Bedrohungen und Schwachstellen. Das Team der Sophos Counter Threat Unit (CTU) wertet solche Quellen bereits manuell aus. Ziel des gemeinsamen Projekts war es, diese sehr aufwendige Auswertung von Darknet-Foren durch automatisierte Analysen zu ergänzen und zentrale Akteure des Cybercrime-Ökosystems in kriminellen Darknet-Foren systematisch aufzuspüren.

Das Forschungsteam sammelte mithilfe der Threat-Intelligence-Plattform von Flare über 11.000 Beiträge von 4.441 Nutzern aus 124 E-Crime-Foren (Zeitraum: 2015–2023). Aus den Beiträgen wurden über 6.000 Sicherheitslücken (CVEs) extrahiert. Diese wurden für die Erstellung eins bimodalen sozialen Netzwerks mit Angriffsmustern (CAPECs) des MITRE-Standards verknüpft, um zu erkennen, welche Nutzer sich besonders intensiv und fachlich mit bestimmten Angriffstechniken auseinandersetzen.

Kombination eines Klassifikationsmodells mit Netzwerkanalysen

Drei Merkmale standen im Fokus, nämlich technische Kompetenz, thematische Fokussierung und Aktivitätsmuster. Die Forscher kombinierten sozialwissenschaftliche Methoden – darunter ein Klassifikationsmodell aus der Kriminologie – mit sozialen Netzwerkanalysen und Community-Clustering-Algorithmen. So konnten sie Nutzer nach ihrem technischen Know-how, ihrer Aktivität und ihrer thematischen Spezialisierung gruppieren.

Das Ergebnis: Nur 14 von 359 detailliert untersuchten Dark-Web-Nutzern erfüllten die Kriterien für die Einstufung als hochqualifizierte Schlüsselakteure („Professionals“) mit tiefgehendem Know-how, Spezialisierung und langfristiger Präsenz. Diese zeichneten sich durch hohes technisches Können, beispielsweise im Umgang mit komplexen Angriffsmethoden, gezielte Beteiligung an spezialisierten Themen sowie lange Aktivität bei gleichzeitig moderater Beitragsfrequenz aus. Sie sind „stille Experten“, die mit hoher Effizienz und oft außerhalb des Radars klassischer Analysemodelle operieren.

Wichtige Cyberkriminelle im Darknet finden

Das Projekt zeigt, wie interdisziplinäre Forschung – hier aus IT-Sicherheit, Kriminologie und Data Science – in Kombination mit künstlicher Intelligenz dabei hilft, im Informationsdschungel des Darknets die entscheidenden Akteure zu finden. Francois Labreche, Senior AI Researcher bei Sophos, erklärt: „Diese Forschungsarbeit bringt uns der automatisierten Identifikation von strukturell relevanten Bedrohungsakteuren einen wichtigen Schritt näher. Gerade im Kontext zunehmend vernetzter Angriffsökosysteme ist es entscheidend, nicht nur Angriffe, sondern auch die Akteure dahinter zu erkennen.“

Sophos wird die gewonnenen Erkenntnisse in seine laufenden Bedrohungsanalysen einbinden, um bestehende manuelle Analysen gezielt zu ergänzen, relevante Zielpersonen frühzeitig zu erkennen und effektiver gegen organisierte Cyberkriminalität vorzugehen. Sophos als Anbieter von Managed Detection and Response Services (MDR)  unterstützt mehr als 28.000 Organisationen. Die Sophos-Central-Plattform enthält Endpunkt-, Netzwerk-, E-Mail- und Cloud-Sicherheitslösungen.

Sophos Active Adversary Report

Cyberangriffe: In 56 Prozent der Fälle Eintritt per Log-in