Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER
Zero-Day-Händler zahlt bis zu 20 Millionen Dollar für Exploits
Quelle: Depositphotos

Zero-Day-Händler zahlt bis zu 20 Millionen Dollar für Exploits

Die hohe Nachfrage sorgt für steigende Prämien: Der russische Zero-Day-Händler Operation Zero zahlt neuerdings bis zu 20 Millionen Dollar für iOS- und Android-Schwachstellen.
28. September 2023

     

Das Geschäft scheint zu brummen: Das im russischen St. Petersburg ansässige Unternehmen Operation Zero hat über X (ehemals Twitter) angekündigt, seine Prämien für Top-Tier Mobile Exploits in Android und iOS deutlich zu erhöhen. Für entsprechende Zero-Day-Lücken erhalten Lieferanten zwischen 200'000 und 20 Millionen Dollar. Grund für den Aufschlag sei die hohe Nachfrage am Markt. Auf der Website sind hingegen noch Prämien von bis zu 2,5 Millionen Dollar aufgeführt. Zudem betont Operation Zero im X Post, dass die End User des Unternehmens ausschliesslich "Nicht-Nato-Länder" seien. Auf seiner Website wird der Händler laut einem Bericht von "Techcrunch" noch konkreter: Demnach handelt es sich bei den Kunden um russische Privat- und Regierungsorganisationen.


"Die Preisbildung für bestimmte Produkte hängt stark von der Verfügbarkeit des Produkts auf dem Zero-Day-Markt ab", zitiert "Techcrunch" Operation Zero-CEO Sergey Zelenyuk. "Full-Chain-Exploits für Mobiltelefone sind derzeit die teuersten Produkte und werden hauptsächlich von staatlichen Akteuren verwendet. Wenn ein Akteur ein Produkt benötigt, ist er manchmal bereit, so viel wie möglich zu zahlen, um es zu besitzen, bevor es in die Hände anderer Parteien gelangt."
Zwar gibt es bereits zahlreiche andere Unternehmen, die für entsprechende Sicherheitslücken Prämien zahlen. Im Gegensatz zu traditionellen Bug-Bounty-Plattformen wie Hacker One oder Bugcrowd alarmieren Unternehmen wie Operation Zero aber nicht die betroffenen Hersteller, sondern verkaufen die Exploits direkt an Regierungskunden, erklärt der "Techcrunch"-Bericht.

Dabei konzentriert sich Operation Zero ausschliesslich auf Exploits für unbekannte Schwachstellen, die noch nirgends gemeldet wurden. Nicht-exklusive Verkäufe sind laut Angaben des Unternehmens auf der Plattform nicht erlaubt. An Exploit-Ketten und Umgehungen von Sicherheitsmassnahmen (DEP, ASLR, PAC, CFG, CET, etc.) sei man hingegen interessiert.


Wie hoch der Preis für die Zero Days tatsächlich ausfällt, wird letztlich zwischen dem Anbieter und den Plattform-Betreibern ausgehandelt. Die Prämie hängt dabei von Faktoren wie Zuverlässigkeit, Versionsveränderung und Ausführungszeit ab. (sta)


Weitere Artikel zum Thema

Browser-Erweiterungen sind oft riskant

 24. August 2023 - Ein SaaS-Security-Anbieter hat 300'000 Browser Extensions und OAuth-Anwendungen analysiert und festgestellt, dass über die Hälfte davon mit hohem Risiko behaftet sind.

Komplexer Cyberangriff auf Schweizer Unternehmen begann mit einem simplen Anruf

 18. August 2023 - IT-Security-Anbieter Sophos rekonstruiert, wie ein Schweizer Unternehmen Opfer eines ausgeklügelten Cyberangriffs aus Kompromittierungs- und Social-Engineering-Methoden wurde.

Hacker kapern massenweise Linkedin-Konten

 17. August 2023 - Security-Experten berichten von einer Angriffswelle auf Linkedin. Die Hacker übernehmen Konten und löschen diese teils komplett, falls die Betroffenen das geforderte Lösegeld nicht zahlen wollen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
Wi-Fi 7 setzt neue Massstäbe
Wie KI das Telefonieren verändert
Blick in die Zukunft: KI-Boost durch Quantum?
AWS Summit Zürich 2024
Dateninfrastruktur treibt KI-Erfolg voran
Starke Cyber-Resilienz basiert auf zwei Grundpfeilern
GOLD SPONSOREN
SPONSOREN & PARTNER