WEBVTT 00:00:00.230 --> 00:00:13.142 37C3 Anspannungsmusik 00:00:13.143 --> 00:00:18.080 Engel: Ok dann freue ich mich euch alle sehr herzlich zu Hirne hacken der hackback 00:00:18.080 --> 00:00:23.280 Edition begrüßen zu dürfen. Heute unsere zwei Vortragenden Linus Neumann und Kai 00:00:23.280 --> 00:00:29.120 Biermann, beides bekannte Gesichter hier. Linus bekannt als IT security Consultant 00:00:29.120 --> 00:00:34.200 und hatte das zweifelhafte Vergnügen schon mit unterschiedlichsten Ransomware Gangs 00:00:34.200 --> 00:00:39.240 verhandeln zu dürfen oder zu müssen. Kai Biermann ist Investigativjournalist und 00:00:39.240 --> 00:00:45.000 hat unter anderem Mitglieder der Ransomware Gang Conti entdeckt aufgedeckt 00:00:45.000 --> 00:00:50.240 und heute werden sie uns ein bisschen was dazu erzählen wie man so spieltheoretisch 00:00:50.240 --> 00:00:55.960 das Ganze verhandeln mit Ransomware Hackern angehen kann und was da die 00:00:55.960 --> 00:00:59.920 spannenden Strategien sind. Bitte ein ganz herzliches Willkommen für Linus und Kai! 00:00:59.920 --> 00:01:09.866 Applaus 00:01:09.866 --> 00:01:15.040 Kai: Hallo Kongress eine Ehre hier zu sein! Danke euch! Das ist der Linus, der wurde 00:01:15.040 --> 00:01:19.320 schon kurz vorgestellt, der mag gern reiten, schwimmen und hacken so viel zu 00:01:19.320 --> 00:01:23.560 seinen Hobbys. Er wird öfters mal angerufen wenn irgendwo eine Firma 00:01:23.560 --> 00:01:29.480 gecybert wird und deswegen steht er hier. Linus: Das ist der Kai, der hat keine 00:01:29.480 --> 00:01:36.320 Hobbys die er öffentlich nennen möchte. Lachen Und ruft gerne mal an wenn jemand 00:01:36.320 --> 00:01:41.264 gecybert wird weil er im Investigativressort von Zeit und Zeit 00:01:41.264 --> 00:01:47.160 online arbeitet. Und wenn dieses Telefon so bei mir klingelt ist eigentlich der 00:01:47.160 --> 00:01:51.659 erste Satz immer so: Linus, du musst sofort helfen, wir werden erpresst! 00:01:51.659 --> 00:01:56.707 Gemurmel Und so als Einstieg möchte ich mal einen Fall von vor gar nicht allzu 00:01:56.707 --> 00:02:03.279 langer Zeit schildern, wo ein Hacker oder eine Hackerin von einer eigenen Domain 00:02:03.279 --> 00:02:08.443 eine E-Mail geschrieben hat. "Ich wurde angeheuert um Ihre Webseite zu 00:02:08.443 --> 00:02:13.410 hacken, ich habe Zugriff auf alle Kundendaten und mein Kunde also der der 00:02:13.410 --> 00:02:18.397 mich beauftragt hat zahlt zu wenig deswegen können Sie jetzt Ihre Daten 00:02:18.397 --> 00:02:21.616 zurückkaufen und ich sage in die Schwachstelle." 00:02:21.616 --> 00:02:25.252 wachsendes Lachen 00:02:25.252 --> 00:02:29.455 Linus: Klang schon mal jetzt nicht so auf Anhieb überzeugend ja? Und dann auch was 00:02:29.455 --> 00:02:34.180 ich sehr schön finde du so unmittelbare Selbstbeschuldigung: "Mir ist klar dass es 00:02:34.180 --> 00:02:38.088 ihre Daten sind und ich der Kriminelle bin der sich Zugang zu ihnen verschafft hat, 00:02:38.088 --> 00:02:41.512 werden sie jetzt aber nicht emotional, stellen Sie sich einfach nur mal den 00:02:41.512 --> 00:02:44.159 Schaden vor wenn ich veröffentliche." 00:02:44.159 --> 00:02:46.930 Lachen 00:02:46.930 --> 00:02:52.301 Linus: Ja und ich habe ja schon gesagt das war ein Erpresser ja und er hat dann seine 00:02:52.301 --> 00:02:56.456 Forderung uns mitgeteilt: "ich will 2000€". 00:02:56.456 --> 00:03:04.275 LachenLinus lacht 00:03:04.275 --> 00:03:08.880 L: Ja wir haben dann halt die SQL Injection gefixt und ich sag mal so mit 00:03:08.880 --> 00:03:14.120 ein bisschen mehr Forderung hätten wir ihn wahrscheinlich auch ernst genommen, haben 00:03:14.120 --> 00:03:18.040 uns dann aber entschieden vielleicht erstmal nicht zu antworten, worauf hin er 00:03:18.040 --> 00:03:22.480 sagte "Ich muss dem Kunden jetzt in 24 Stunden antworten und Sie müssen sich 00:03:22.480 --> 00:03:27.800 jetzt entscheiden, das ist kein Blöff." laute Lachen 00:03:27.800 --> 00:03:31.640 Da haben wir erstmals ein Tee getrunken. lachen 00:03:31.640 --> 00:03:37.205 Und dann schrieb er wieder "ich gebe ihn noch mal 24 Stunden viele lachen 00:03:37.205 --> 00:03:44.234 aber aber dann aber dann!" L: Ja doch ist ein Blöff ja haben also 00:03:44.234 --> 00:03:48.733 erstmal nichts gemacht und dann schrieb er: "also ich gebe ihnen jetzt noch ein 00:03:48.733 --> 00:03:53.490 letztes Mal 24 Stunden dann aber wirklich! Und dann wurden die Drohungen "sagt er," 00:03:53.490 --> 00:03:57.806 und sie haben können sich gar nicht vorstellen, was jetzt noch alles passiert 00:03:57.806 --> 00:04:02.447 und ja." So der Kunde wurde auch, was wenn er noch irgendwas Anderes hat und wir so 00:04:02.447 --> 00:04:06.288 na ja, wenn er noch irgendwas Anderes könnte dann wird er wahrscheinlich nicht 00:04:06.288 --> 00:04:14.360 2000€ fordern. Und wir haben uns aber gewundert, was ist das denn für Einer? Ja? 00:04:14.360 --> 00:04:18.520 Also was ist das für ein Typ der so richtig wohlformulierte lange E-Mails 00:04:18.520 --> 00:04:24.000 schreibt ja? Und uns war irgendwie nicht so klar, es war wohlformulierte Sprache, 00:04:24.000 --> 00:04:28.280 ich sag jetzt nicht welche, aber sie war schön formuliert und wir hatten zwei 00:04:28.280 --> 00:04:33.440 Hypothesen. Die eine war dass ist irgend so ein Abiturient der von zu Hause im 00:04:33.440 --> 00:04:37.080 Kinderzimmer irgendwie meint er wäre jetzt der große Hacker, weil das könnte erklären 00:04:37.080 --> 00:04:42.320 dass er 2000€ für viel Geld hält lachen oder ist Irgendjemand mit Chat GPT in 00:04:42.320 --> 00:04:45.720 Indien oder so für den das potenziell auch viel Geld wäre. Also haben wir uns überlegt 00:04:45.720 --> 00:04:49.640 na ja lass uns doch mal rausfinden. Ja haben uns entschieden wir antworten doch 00:04:49.640 --> 00:04:53.720 mal und haben da gesagt: L: Also pass auf du solltest deine Server 00:04:53.720 --> 00:04:57.880 echt nicht in der EU hosten, weil Gelächter die Polizeibehörden hier 00:04:57.880 --> 00:05:03.760 arbeiten zusammen ja? Und diese Domain die du da hast die solltest du echt nicht mit 00:05:03.760 --> 00:05:08.680 der Kreditkarte zahlen. Linus lacht, viele Lachen 00:05:08.680 --> 00:05:13.600 Und wenn du dein SQL Map Angriffe versuch das doch mal über TOR wenigstens statt von 00:05:13.600 --> 00:05:20.040 deinem anderen VServer aus, ja? Kam erstmals nichts. einige lachen und dann 00:05:20.040 --> 00:05:23.695 hab ich gesagt: L: Pass auf in 24 Stunden 00:05:23.695 --> 00:05:29.485 sehr viele Lachen, Applaus 00:05:29.485 --> 00:05:34.360 geht unser Bericht ans LKA. Die Datenschutzmeldung haben wir ohnehin schon 00:05:34.360 --> 00:05:38.120 gemacht, was soll schon noch kommen ja? Haben wir ihm Angebot gemacht haben 00:05:38.120 --> 00:05:40.560 gesagt: L: Pass auf wenn du deine Daten löscht 00:05:40.560 --> 00:05:43.680 bekommst du McDonald's Gutschein viele lachen 00:05:43.680 --> 00:05:54.440 über 100€ und dann kam eben so, "Eh, meine offshore Server sind verschlüsselt!" L: Wie 00:05:54.440 --> 00:05:59.480 so ... was für Offshore Server? was für Verschlüsselung? 00:06:00.320 --> 00:06:08.197 "Ich will 2000€ sie haben 24 Stunden, sonst..." einige lachen 00:06:08.197 --> 00:06:11.600 L: War wieder die große Sorge, was macht er denn jetzt noch ne haben wir gewartet 00:06:11.600 --> 00:06:17.080 und dann kam dedos einzelne Gelächter dann haben wir cloudflare dazwischen 00:06:17.080 --> 00:06:21.080 geschaltet und dann waren wir fertig ja lachen 00:06:21.080 --> 00:06:25.120 weil wir haben natürlich aus zwei Gründen hier nicht bezahlt: 1. die Forderung war 00:06:25.120 --> 00:06:28.360 viel zu gering, das Geld wär viel zu schnell weg gewesen und der wäre wieder 00:06:28.360 --> 00:06:33.440 gekommen und hätte mehr gewollt und ja ist auch nichts weiter passiert. Aber 00:06:33.440 --> 00:06:37.880 natürlich sind nicht alle Diskussionen oder alle solche Fälle, wenn man mit einem 00:06:37.880 --> 00:06:41.860 verwirrten Einzeltäter zu tun hat, so glimpflich und so einfach. 00:06:41.860 --> 00:06:49.440 Kai: Und vor all so lustig. Das hier ist einer, das ist so ein Einzeltäter, der hat 00:06:49.440 --> 00:06:52.480 mutmaßlich muss ich an dieser Stelle sagen, weil er steht gerade erst vor 00:06:52.480 --> 00:06:56.120 Gericht und ist noch nicht verurteilt und er bestreitet die Tat obwohl es ziemlich 00:06:56.120 --> 00:07:00.240 gute Indizien gibt, die ihr gleich sehen werdet. Das ist so ein Einzeltäter der hat 00:07:00.240 --> 00:07:05.880 in Finnland eine Firma erpresst wastamo die Therapiezentren betreibt, 00:07:05.880 --> 00:07:13.160 psychiatrische Therapiezentren und hat sämtliche therapeutischen Unterlagen 00:07:13.160 --> 00:07:19.960 gecybert kopiert. Der hat sich alle Protokolle aus Therapiesitzungen, alle 00:07:19.960 --> 00:07:24.200 Diagnosen von vielen vielen finnischen Menschen von deren Server geholt und hat 00:07:24.200 --> 00:07:31.560 anschließend gesagt "ich will nicht 2000€ sondern 40 Bitcoin". Das waren damals, ist 00:07:31.560 --> 00:07:39.200 schon zwei Jahre her, ca 180 000€ und die Firma hat nicht reagiert. Die hat Tee 00:07:39.200 --> 00:07:46.080 getrunken und daraufhin hat er den Patienten und Patientinnen eine Mail 00:07:46.080 --> 00:07:50.840 geschickt die Daten hat er ja und hat gesagt ok, die Firma zahlt nicht dann will 00:07:50.840 --> 00:07:57.200 ich von euch Geld 200€ in Bitcoin damit eure Therapieunterlagen nicht im Netz 00:07:57.200 --> 00:08:02.520 veröffentlicht werden. Wer macht denn sowas? Hier ist so eine Selbstbeschreibung 00:08:02.520 --> 00:08:07.400 von ihm, könnt ihr mal lesen wenn ihr Zeit habt. Ein lustiger junger Mann 25 ist er 00:08:07.400 --> 00:08:14.600 inzwischen, er glaubt er ist ein großer Philanthrop und hat mit beim Umgang mit 00:08:14.600 --> 00:08:18.600 Tieren schon viel übers Leben gelernt vor allem hat er früh schon Ärger gemacht, der 00:08:18.600 --> 00:08:23.320 hat mit 15 seine erste Verurteilung kassiert, damals war er an Ddos Attacken 00:08:23.320 --> 00:08:26.360 beteiligt und an einem Hobby namens swatting, ich weiß nicht ob schon mal 00:08:26.360 --> 00:08:29.880 gehört habt. Das ist wenn man Leuten die Polizei nach Hause schickt ohne Grund, 00:08:29.880 --> 00:08:35.560 kann sehr ärgerlich sein. Zurück zum Fall, der hat in Finnland für ziemliche 00:08:35.560 --> 00:08:39.640 Aufregung gesorgt, das ist die damalige finnische Innenministerin, die fand diesen 00:08:39.640 --> 00:08:44.240 data breach ein ziemlich shocking Act. Und die Formulierung ist interessant, weil es 00:08:44.240 --> 00:08:49.040 mehr ein Fall von Data breach ist als ein Fall von hacking, denn und jetzt kommen 00:08:49.040 --> 00:08:52.840 wir zu einem 2. wichtigen Punkt in unserem Talk. Die Betroffenen sind oft nicht so 00:08:52.840 --> 00:08:59.240 ganz unschuldig an dem ganzen Problem. Der Server auf dem alle Therapieunterlagen von 00:08:59.240 --> 00:09:03.120 allen finnischen Patienten und Patientin lagen war erstens eine 00:09:03.120 --> 00:09:07.840 selbstgebaute mySQL Datenbank die hingt zweitens im Netz war drittens über Google 00:09:07.840 --> 00:09:12.220 zu finden. Und nur durch ein Standardsystem Admin Passwort geschützt. 00:09:12.220 --> 00:09:22.560 Gemurmel Auslieferungszustand sozusagen. Wer macht so was? Er, das ist der CEO dieser 00:09:22.560 --> 00:09:27.080 Firma Vastaamo der war ganz betroffen darüber dass jemand seine Firma ruiniert 00:09:27.080 --> 00:09:31.320 hat, die ist daraufhin nämlich pleite gegangen und wird bis heute verklagt 00:09:31.320 --> 00:09:35.440 dafür. Der ist nicht betroffen darüber dass viele viele finnische Menschen 00:09:35.440 --> 00:09:41.160 erpresst wurden, sondern darüber dass eine schöne Firma kaputt gegangen ist. Noch ein 00:09:41.160 --> 00:09:44.440 Fakt zu den Patientendaten, den ich sehr interessant finde, sie waren nicht 00:09:44.440 --> 00:09:51.280 anonymisiert und nicht verschlüsselt. Sollte man nicht machen wenn man so heikle 00:09:51.280 --> 00:09:56.040 Gesundheitsdaten hat. Und die Firma hat auch Vorgaben des finnischen 00:09:56.040 --> 00:10:01.600 Gesundheitssystems umgangen zur Datensicherung. Aber zurück zu unserem 00:10:01.600 --> 00:10:09.840 Täter weil... Also er will 40 Bitcoin was tamamo zahlt nicht da haben wir ihn wieder 00:10:09.840 --> 00:10:16.480 den kermit, daraufhin hat er eine schlaue Idee, er will um seinen Druck zu erhöhen, 00:10:16.480 --> 00:10:19.280 weil das ist für den Erpressern immer sehr wichtig wie er auch eben schon gesehen 00:10:19.280 --> 00:10:24.120 hat, er will den Druck erhöhen und sagt ok, wenn ihr nicht zahlt, dann liege ich 00:10:24.120 --> 00:10:31.200 eben jeden Tag den ihr nicht zahlt liege ich 100 Patientenakten. Das Problem dabei 00:10:31.200 --> 00:10:34.920 war, er hat es in ein finnischen imageboard gemacht, ich hoffe ich spreche das richtig 00:10:34.920 --> 00:10:39.960 aus, yillilauter heißt es, das Problem dabei war, er hat so ein paar Informationen 00:10:39.960 --> 00:10:45.280 seines Servers von dem er ausgeleakt hat mitgeleakt, K lacht, Gemurmel IP-Adressen und 00:10:45.280 --> 00:10:49.440 solche Dinge. Worauf hin die Polizei dieser Spur folgen konnte und relativ 00:10:49.440 --> 00:10:53.320 schnell dahinter kam dass da so ein Netzwerk von Servern existiert, dass Jemand 00:10:53.320 --> 00:11:02.190 mit seiner Kreditkarte bezahlt hatte. einzelne Applaus Wird noch schöner. *Kai 00:11:02.190 --> 00:11:06.480 lächelt* Das war nicht der einzige Hinweis auf ihn, den die Polizei fand also, wastamo 00:11:06.480 --> 00:11:17.280 zaht nicht ja sind keine netten Leute. Der Mann reiste viel, er war er tauchte unter. 00:11:17.280 --> 00:11:20.760 Also die Polizei hatte schon seinen Namen, sie ahnte wer es ist und suchte ihn in 00:11:20.760 --> 00:11:25.720 Finnland und er ist abgehauen ins Ausland, hat aber die nicht sehr schlaue Idee 00:11:25.720 --> 00:11:28.152 gehabt darüber im Internet zu posten. 00:11:28.152 --> 00:11:28.200 Gelächter 00:11:28.200 --> 00:11:33.400 Ja er hat wieder auf diesem imageboard JimmiLauter ein Foto gepostet wo er an der 00:11:33.400 --> 00:11:37.720 französischen Küste es sich gut gehen lässt und sich diesen blödsiniges Wasser 00:11:37.720 --> 00:11:46.680 ins Gesicht sprüht. Und hat dieses Foto da gepostet unter anderem von einem der 00:11:46.680 --> 00:11:51.000 Server die im Zusammenhang mit der Tat standen, auch nicht so clever und noch 00:11:51.000 --> 00:11:55.720 viel lustiger, dieses Foto war so gut, dass die Polizei einen Fingerabdruck nehmen 00:11:55.720 --> 00:12:06.160 konnte. Viele lachen, Applaus 00:12:06.160 --> 00:12:11.240 Die finische Polizei wusste jetzt also wo sie ihn suchen muss, in Frankreich. 00:12:11.240 --> 00:12:15.920 Übrigens an dieser Stelle möchten wir einen kurzen Gruß an Starbug schicken, der 00:12:15.920 --> 00:12:22.120 hat nämlich 2014 in einem Vortrag genau das prophezeit. Damals hat er von einem 00:12:22.120 --> 00:12:25.560 Foto von Ursula von der Leihen, das in der Bundespressekonferenz aufgenommen worden 00:12:25.560 --> 00:12:32.000 war den Daumenabdruck extrahiert und bewiesen dass das geht, danke Starbug! Die 00:12:32.000 --> 00:12:41.261 finnische Polizei hat dir zugeschaut. Applaus 00:12:41.261 --> 00:12:45.060 Nachdem wir uns jetzt mit ein paar Amateuren auseinandergesetzt haben die 00:12:45.060 --> 00:12:50.568 eure Unternehmen ruinieren können oder sich selbst oder beides, wollen wir uns mal 00:12:50.568 --> 00:12:54.407 kurz ein bisschen mit Profis auseinandersetzen. Und für mich ist das 00:12:54.407 --> 00:12:59.960 ein bisschen ärgerlich, weil ich darüber in vielen Vorträgen seit nun mehr 7 Jahren 00:12:59.960 --> 00:13:05.480 rede ja? Und zwar Ransomware es ist wirklich nichts Neues aber ich möchte kurz 00:13:05.480 --> 00:13:10.260 eine kleine verkürze subjektive Geschichte der Ransomware erzählen. Ungefähr 2016 00:13:10.260 --> 00:13:15.194 ging es los mit locky, das war so eine Ransomware fürs Privatkundengeschäft hat 00:13:15.194 --> 00:13:19.438 irgendwie so local host sofort verschlüsselt und irgendwas im Bereich von 00:13:19.438 --> 00:13:24.484 paar 100 Euro verlangt ja? Es kam dann später wannacry, das war im Prinzip auch so 00:13:24.484 --> 00:13:29.058 eine local host randsomeware aber verbunden mit dem eternal blue Exploit hat 00:13:29.058 --> 00:13:34.113 also im lokalen Netz nach SMB shares gecheckt und die auch noch mal infiziert 00:13:34.113 --> 00:13:39.239 ja. Also ging so ein bisschen weiter rein. Irgendwann 2018 müsste ryuk damit 00:13:39.239 --> 00:13:44.431 angefangen haben zu erkennen, dass das Backup der natürliche Feind der Ransomware 00:13:44.431 --> 00:13:49.526 ist und hat sich darauf konzentriert in Richtung ad compromise zu gehen also 00:13:49.526 --> 00:13:53.266 komplette Active Directory zu übernehmen und von dort aus in meisten Leute hängen 00:13:53.266 --> 00:13:57.254 ja dummerweise ihren Backup Server ins Active Directory, was die schlechteste 00:13:57.254 --> 00:14:02.064 Idee ist die man haben kann, und dann zerstören sie also erst die Backups und 00:14:02.064 --> 00:14:06.010 rollen dann über eine Group Policy die Ransomware auf allen Hosts aus. Ja das fing 00:14:06.010 --> 00:14:16.098 so ungefähr 2018 an und 2019 fing es an dass maze sich auch so ein bisschen mehr 00:14:16.098 --> 00:14:20.734 auf fileshares spezifisch konzentriert hat und auf das Modell der Double extortion. 00:14:20.734 --> 00:14:24.455 Double extortion könnt ihr euch so vorstellen dass man.. Ich erkläre es 00:14:24.455 --> 00:14:29.663 gleich ne, weil ich möchte eigentlich noch mal kurz darauf reingehen wie katastrophal 00:14:29.663 --> 00:14:34.620 es ist dass wir 2023 noch darüber reden ja? Seit 2019 mindestens ist das die 00:14:34.620 --> 00:14:39.191 gleiche Masche, seit 2016 ist es ein Geschäftsmodell und es sollte einfach so 00:14:39.191 --> 00:14:42.821 sein wie in jedem IT security lifeecycle, du hast eine Prävention wenn die 00:14:42.821 --> 00:14:46.515 fehlschlägt hast du eine Detektion und wenn die fehschlägt hast eine Recovery. 00:14:46.515 --> 00:14:50.314 Die meisten Leute gehen davon aus, dass es vielleicht nicht ganz so gut bei Ihnen 00:14:50.314 --> 00:14:53.705 aussieht ne, haben eine Prävention vielleicht eine Detektion und die Recovery 00:14:53.705 --> 00:14:58.860 eigentlich nicht ganz so gut. Aber wie es wirklich in der Realität für sie aussieht 00:14:58.860 --> 00:15:03.452 so... und wenn man das mal nicht grafisch versinicht sondern so wie dann eine 00:15:03.452 --> 00:15:08.258 Webseite aussieht, das wäre jetzt hier, ich glaube Blackcat Alfi die die vor 2 D 00:15:08.258 --> 00:15:13.375 Wochen hochgegangen sind dann sieht das ungefähr so aus du hast eine Webseite 00:15:13.375 --> 00:15:17.219 Forderung das ist ein Hidden Service und da wird dir dann erklärt wie du Bitcoin 00:15:17.219 --> 00:15:21.054 kaufen kannst. Habe ich in Hirne hacken schon ausführlich erklärt. die Leute die 00:15:21.054 --> 00:15:25.752 die Webseite sehen führen dann als nächstes ungefähr zu dieser Situation: 00:15:25.752 --> 00:15:29.402 "Have you tried paing the ransome"? Weil das die einzige Möglichkeit 00:15:29.402 --> 00:15:33.400 ist an die Dateien wieder ran zukommen. Wenn man das tut, sieht 00:15:33.400 --> 00:15:38.945 eine Seite ungefähr so aus, wo es ein bisschen Instruktionen gibt wie man die 00:15:38.945 --> 00:15:44.521 Dateien wiederherstellt und außerdem sind die Angreifer so nett, sie versprechen den 00:15:44.521 --> 00:15:48.800 kompletten Bericht, wie sie reingekommen sind und ich denke natürlich als Security 00:15:48.800 --> 00:15:52.977 Konz, alles klar ein ordentlicher Bericht ja cool so ein redteam Bericht da bin ich 00:15:52.977 --> 00:15:57.621 mal gespannt. Das ist er ja und eine Standardantwort, die kommt in dem Moment wo 00:15:57.621 --> 00:16:01.923 die Bitcoins gezahlt sind, erscheint die im Chat ja so quasi in in der gleichen 00:16:01.923 --> 00:16:06.329 Zeit. Das heißt die ist hard codet in dieser Webseite drin und das bedeutet diese Web 00:16:06.329 --> 00:16:10.453 diese Angreifer sind absolute onetrack Ponys die haben es hier mit meterpreter 00:16:10.453 --> 00:16:14.930 gemacht, ja ihr könnt euch ungefähr vorstellen wie wenig idea du brauchst, 00:16:14.930 --> 00:16:20.589 damit man meterpreter nicht erkennt ja und diese Angreifer sind onetrack Ponys und 00:16:20.589 --> 00:16:26.200 du bist ihr Opfer. Wir alle kennen diesen klugen Satz, übrigens kann man immer sagen, 00:16:26.200 --> 00:16:29.953 kann man immer sagen, nur nicht beim incident. Der kommt 00:16:29.953 --> 00:16:36.321 Lachen, Applaus 00:16:36.321 --> 00:16:48.989 also kommt nicht an, kommt nicht an. Ja learn from my fail ja? Lachen 00:16:48.989 --> 00:16:51.804 Ich habe gerade gesagt wir sprechen über double extortion, double extortion 00:16:51.804 --> 00:16:55.717 funktioniert so: die Angreifer haben gemerkt dass das Backup für sie ein 00:16:55.717 --> 00:16:59.918 Problem ist und sagen Backup haben wir auch. L lacht Und das werden wir jetzt 00:16:59.918 --> 00:17:04.416 veröffentlichen, ja? Das heißt sie erpressen dich einerseits oder sie 00:17:04.416 --> 00:17:08.670 verlangen Lösegeld für deine Daten und erpressen dich gleichzeitig mit der 00:17:08.670 --> 00:17:12.969 Veröffentlichung, haben also jetzt zwei Druckmittel gegen dich mit denen sie 00:17:12.969 --> 00:17:18.143 versuchen Geld von dir zu bekommen. Und das Ganze passiert jetzt seit vielen 00:17:18.143 --> 00:17:23.768 vielen Jahren und irgendwie Kai schreibt drüber, ich rede drüber, die Deutsche Bahn 00:17:23.768 --> 00:17:28.907 hat schon mal auf ihren Anzeigetafeln gehabt, ja? lachen Aber niemand kümmert 00:17:28.907 --> 00:17:33.816 sich drum und wenn du die Zeitung aufmachst ja, was was wird diskutiert? 00:17:33.816 --> 00:17:39.904 Cyberwar... Was wäre wie fürchterlich wäre das Kai, wenn der Cyberwar jetzt käme? 00:17:39.904 --> 00:17:43.383 Kai: Ja schrecklich oder? L: Das wäre doch total schlimm ja. 00:17:43.383 --> 00:17:48.013 K: Ich mir wird langsam langweilig über Ransomeware zu schreiben ganz ehrlich weil es so 00:17:48.013 --> 00:17:52.520 vorhersagbar ist. Und wenn man sich nur einen kurzen Moment vorstellen würde 00:17:52.520 --> 00:17:56.788 überall in Deutschland würden maskierte Menschen in große und kleine Firmen 00:17:56.788 --> 00:18:02.757 reinrennen ja? Würden die Computer nehmen und wieder rausrennen, was wäre in diesem 00:18:02.757 --> 00:18:08.556 Land los? Also bei großen Firmen ja, Metro und wenzo, Continental und wen so alles 00:18:08.556 --> 00:18:12.091 erwischt hat da rennen 100 Leute rein ja, reißen alle Rechner aus der Wand und 00:18:12.091 --> 00:18:16.311 verschwinden, was wäre in diesem Land los wenn das jeden Tag dreimal passiert, ja? 00:18:16.311 --> 00:18:20.289 Wir hätten den Kriegszustand den Cyberwar! Keinen interessiert, weil es digital 00:18:20.289 --> 00:18:24.750 passiert und das verstehe ich immer nicht. L: Ich denke also der Cyberwar, den sich 00:18:24.750 --> 00:18:28.704 vor dem sich alle fürchten übrigens ein absolut fürchterlicher Begriff, den ich 00:18:28.704 --> 00:18:32.222 mir nicht zu eigen machen möchte, die Schrecken des Krieges sind unvergleichbar 00:18:32.222 --> 00:18:36.226 mit ein paar Scharmützeln im Internet. Ja das ist klar vorweg zu sagen, aber wenn wir 00:18:36.226 --> 00:18:40.018 uns davor fürchten digital angegriffen zu werden, dann könnten wir wahrscheinlich im 00:18:40.018 --> 00:18:43.878 Moment irgendwann mal zu der Ansicht kommen, dass wir das falsche fürchten und 00:18:43.878 --> 00:18:47.903 es jetzt schon schlimmer ist, als wir fürchten und wir müssen die bittere 00:18:47.903 --> 00:18:52.418 Erkenntnis sehen, dass wir längst dagegen hätten etwas unternehmen können und wenn 00:18:52.418 --> 00:18:56.244 irgendwann einmal der große Cyberwar losgeht, werden die Angreifer auch nicht 00:18:56.244 --> 00:19:00.652 anders vorgehen als die Angreifer, die uns heute schon Millionen und Milliarden 00:19:00.652 --> 00:19:05.857 Schäden verursachen. Deswegen gibt es in diesem Vortrag die einzig wichtige Folie, 00:19:05.857 --> 00:19:11.257 die ich einmal kurz runterrattern möchte bevor wir uns wieder den Angreifern widmen 00:19:11.257 --> 00:19:15.224 und den schönen Verhandlungen mit ihnen. Was ihr in einer solchen Situation 00:19:15.224 --> 00:19:18.801 braucht, wenn ihr von Ransomware getroffen seid, ist ein priorisiertes 00:19:18.801 --> 00:19:23.417 Wiederherstellungskonzept. Euer Problem ist nicht, dass alle Dateien weg sind, euer 00:19:23.417 --> 00:19:27.446 Problem ist dass die Dateien von gestern und von vor zwei Wochen weg sind. Das 00:19:27.446 --> 00:19:31.183 langzeitarchiv ist gar nicht das Problem, das Problem was diese Unternehmen haben 00:19:31.183 --> 00:19:34.786 ist dass die Produktion oder der Geschäftsbetrieb unmittelbar sofort 00:19:34.786 --> 00:19:39.860 stillsteht und das kostet sehr viel Geld. Was gibt's also für Best Practices für 00:19:39.860 --> 00:19:43.974 eure Backups? Sie müssen unveränderbar sein Write only Backups, ein NutzerIn darf 00:19:43.974 --> 00:19:47.962 nicht in der Lage sein ihre eigenen Backups zu löschen und es darf auch nicht 00:19:47.962 --> 00:19:52.390 ein Admin oder eine Admina in der Lage sein diese Backups zu löschen zumindest 00:19:52.390 --> 00:19:56.733 nicht mit den Rechten im AD vergeben werden. Es muss unabhängig sein auf einer 00:19:56.733 --> 00:20:01.294 eigenen Infrastruktur, es muss isoliert sein, also komplett getrenntes identity 00:20:01.294 --> 00:20:05.883 Access Management, keinesfalls im Active Directory. Wer den Backup Server 00:20:05.883 --> 00:20:10.571 administriert, geht mit einer Tastatur und einem Bildschirm in den Serverraum und 00:20:10.571 --> 00:20:14.258 steckt die da dran. Keine remote administration von dem Backup Server, 00:20:14.258 --> 00:20:18.721 keine Verbindung in euer ad. Wir machen natürlich versionierte Backups, damit wir 00:20:18.721 --> 00:20:22.426 auch frühere Zustände wiederherstellen können, wir machen verifizierte Backups. 00:20:22.426 --> 00:20:26.751 Man könnte das ja einfach mal prüfen bevor man es braucht, ja! Wie viel Geld könnte 00:20:26.751 --> 00:20:31.540 man da sparen, wenn man auch noch einen Fehler entdeckt, wir überwachen das Backup 00:20:31.540 --> 00:20:36.008 also ist ein Backup erfolgt und ist der der Datenbestand auf dem fallserver 00:20:36.008 --> 00:20:39.920 integer! Und vor allem machen wir unsere Backups risikobasiert also die 00:20:39.920 --> 00:20:44.984 Wiederherstellung des Geschäftsmodells wird priorisiert. Die meisten Daten die 00:20:44.984 --> 00:20:49.851 Ihr nicht bra.. Ihr Backup werdet ihr im akuten Fall nicht brauchen, ja wenn ihr 00:20:49.851 --> 00:20:53.258 mal jemanden seht, der dann so ankommt sagt, wir haben alles auf Tape und du 00:20:53.258 --> 00:20:57.453 denkst okay weißt du wie lange das dauert dieses Tape einzuspielen? lächelt Dann 00:20:57.453 --> 00:21:04.182 verstehst du dass potentiell auch Leute diese Zahlungen in Erwägung ziehen die 00:21:04.182 --> 00:21:08.606 Backups haben. Also bitte bitte bitte das sind alle Lehren die es hier zu ziehen 00:21:08.606 --> 00:21:12.040 gibt, und das das was wir gleich über Verhandlungen berichten, das vergesst ich 00:21:12.040 --> 00:21:15.671 am besten wieder ganz schnell, das war nur um euch hierher zu locken, weil uns Leute 00:21:15.671 --> 00:21:18.987 immer danach fragen, wie denn so eine Verhandlung läuft. einzelne Applaus 00:21:18.987 --> 00:21:27.902 K: Ich entschuldige mich für diesen Vortrag. Applaus 00:21:27.902 --> 00:21:31.950 K: Es war etwas lehrerhaft aber ich glaube es musste sein. Kommen wir zurück zu den 00:21:31.950 --> 00:21:36.004 lustigen Leuten. Wir sind ja durch eine Verkettung unwahrscheinlicher Zufälle 00:21:36.004 --> 00:21:40.637 beide Psychologen mal gewesen und haben noch dazu dasselbe an delben Uni studiert, 00:21:40.637 --> 00:21:43.979 wie wir später festgestellt haben, deswegen interessieren uns natürlich die 00:21:43.979 --> 00:21:48.316 psychologischen Effekte dahinter und auch die Psyche der Täter, deswegen wollen wir 00:21:48.316 --> 00:21:52.025 hier so ein paar vorstellen, damit ihr eine Vorstellung dafür kriegt, was sind das für 00:21:52.025 --> 00:21:56.364 Leute eigentlich ja? Warum sind die kriminell, was tun die so. Und wir fangen 00:21:56.364 --> 00:22:02.803 mit einem sehr Prominenten und schillernen Fall an, ihr seht da Maxim Jakubetz, das 00:22:02.803 --> 00:22:08.121 ist ein junger Russe. Ich habe ihn hier sowas wie der Pate genannt, weil er ist 00:22:08.121 --> 00:22:11.357 eine Ausnahme, er ist ein sehr klischeehafter krimineller Typ, wie ihr 00:22:11.357 --> 00:22:16.200 gleich noch sehen werdet. Also nicht nur ja das ist ein Lamborghini Huracan, den er 00:22:16.200 --> 00:22:20.365 da fährt, das ist seiner. Das Klischee geht noch viel weiter, wenn ihr das 00:22:20.365 --> 00:22:24.839 Nummernschild betrachtet, falls ihr russisch könnt, da steht W o R nicht Bor, 00:22:24.839 --> 00:22:30.907 sondern wor und wor übersetzt heißt Dieb lächelt. Seine ganze Gang fuhr mit 00:22:30.907 --> 00:22:34.465 diesen Nummernschildern rum. einzelne Gelächter 00:22:34.465 --> 00:22:38.848 Das konnte er problemlos tun, weil er hat die Tochter eines FSB Offiziers geheiratet 00:22:38.848 --> 00:22:46.380 und muss in Russland nicht viel fürchten. Klischeehaft weil er so richtig Bling 00:22:46.380 --> 00:22:52.809 Bling protzt mit seinem Reichtum und er und seine Freunde sowas machen. Das ist 00:22:52.809 --> 00:22:57.756 die Lomonosof Universität mitten in Moskau, niemand stört sie dabei, wie 00:22:57.756 --> 00:23:03.060 gesagt FSB Offizier. Polizei bestochen und so weiter. Diese Gang, die sind sowas wie 00:23:03.060 --> 00:23:07.198 die Großväter der Ransomware, die nannten sich evil Cop, auch da waren sie relativ 00:23:07.198 --> 00:23:11.851 eindeutig in ihrer Bezeichnung. Gelächter 00:23:11.851 --> 00:23:14.760 Die haben schätzungsweise, es sind immer Schätzungen von Ermittlern, deswegen wer weiß 00:23:14.760 --> 00:23:19.220 ob es stimmt und wie viel es wirklich war, die haben mit ihrem Banking Trojaner 00:23:19.220 --> 00:23:24.786 namens Zeus oder süß ca 70 Millionen Dollar erpresst indem sie Online Banking 00:23:24.786 --> 00:23:29.761 Informationen abgesaugt und dann ausgenutzt haben. Und ja die werden 00:23:29.761 --> 00:23:36.332 gesucht, ne? Also das FBI hätte sie gern, sie sitzen in Russland, werden da auch 00:23:36.332 --> 00:23:41.071 nicht wegfahren. Und sicher auch kein Urlaub wo anders machen als auf der Krim. 00:23:41.071 --> 00:23:45.507 Das Interessante ist, weswegen wir sie hier drin haben, sie sind wirklich so was wie 00:23:45.507 --> 00:23:50.721 die Großväter der Ransomware Modelle, die uns heute plagen. Also die Wirtschaft 00:23:50.721 --> 00:23:55.860 mehrheitlich. Sie haben RAS erfunden Ransomware As a Service also sie haben 00:23:55.860 --> 00:24:00.268 irgendwann aufgehört das Zeug selber einzusetzen, sie haben es vermietet 00:24:00.268 --> 00:24:05.535 verkauft. Hier sind sie noch mal ein bisschen größer nette junge Leute. Sie 00:24:05.535 --> 00:24:09.666 haben angefangen ihre kriminellen Fähigkeiten aufs Programmieren zu 00:24:09.666 --> 00:24:13.848 beschränken und anschließend in kriminellen Forum ihre Tools anzubieten, 00:24:13.848 --> 00:24:18.290 und wie sehen Leute aus die sowas dann weiter verkaufen? So 00:24:18.290 --> 00:24:20.795 Gelächter 00:24:20.795 --> 00:24:27.690 das ist Daniel Schukin, der wurde so noch nicht öffentlich genannt, der ist einer 00:24:27.690 --> 00:24:30.960 der Menschen die davon lebt diese Vermietung zu organisieren, 00:24:30.960 --> 00:24:34.526 höchstwahrscheinlich, muss ich an der Stelle sagen, er ist auch nicht 00:24:34.526 --> 00:24:37.795 verurteilt, hat auch Russland bis jahrelang nicht verlassen. Das da ist in 00:24:37.795 --> 00:24:41.634 Antalia, da glaubt er noch reisen zu können, da hat er diese Yacht gemietet mit 00:24:41.634 --> 00:24:48.850 Freunden zusammen. Wer ist dieser Mensch? Auch ein junger Russe, etwas begabt was 00:24:48.850 --> 00:24:54.153 die Technik angeht, lebt in Krasnodar, mag BMWs und Gucci und große Feste, zeigt sich 00:24:54.153 --> 00:24:59.805 gern mit seiner Frau und mit Freunden den er das Essen bezahlt, der hat Webseiten 00:24:59.805 --> 00:25:06.101 für Online Casinos und Crypto und anderen Schmuddelkram und der vermietet oder hat 00:25:06.101 --> 00:25:11.647 vermietet REvil, ein weiteres großes Ransomware, Familienmodell. Und er scheint 00:25:11.647 --> 00:25:17.051 nicht schlecht davon zu leben, hier ist er wieder, breites Lächeln. Das im Arm ist 00:25:17.051 --> 00:25:20.785 seine Frau, die tut hier nichts zur Sache, deswegen ist sie so ein bisschen 00:25:20.785 --> 00:25:26.444 ausgeblendet. Und leider wollte der nicht mit uns reden, ich weiß auch nicht warum, 00:25:26.444 --> 00:25:29.171 wir haben es versucht, also ich habe viele E-Mails geschrieben, die er nie 00:25:29.171 --> 00:25:33.983 beantwortet hat. Das Interessante an dieser Stelle, man beachte seine Uhr, 00:25:33.983 --> 00:25:39.578 falls Sie die erkennen könnt, hier ist sie größer. Das ist eine vangard encrypto also 00:25:39.578 --> 00:25:44.235 die Uhr allein kostet schon so 50 bis 70 000 € wenn man auf so hässliche Uhren 00:25:44.235 --> 00:25:50.155 steht, und statt der 12 ist da ein QR-Code eingraviert, damit wirbt die Firma dass 00:25:50.155 --> 00:25:54.105 man da seine Bitcoin Wallet eingravieren kann. 00:25:54.105 --> 00:25:58.960 Applaus, L, K und Alle lachen 00:25:58.960 --> 00:26:02.718 Die öffentliche die öffentliche das muss man sich auch erstmal leisten können. 00:26:02.718 --> 00:26:07.370 Genau, wir konnten sie leider nicht entschlüsseln, also ich habe es versucht 00:26:07.370 --> 00:26:23.801 aber wir konnten sie leider nicht lesen. Das FBI konnte es. Lachen, Applaus 00:26:23.801 --> 00:26:28.457 Das FBI hat gerade erst noch gar nicht so lange her 317000 von ihnen beschlagnahmt, 00:26:28.457 --> 00:26:33.480 ne also die Crypto sind genau in den Händen des FBI. Ich glaube übrigens FBI ist der 00:26:33.480 --> 00:26:38.820 größte Halter von Bitcoins überhaupt weltweit, oder? Viele lachen 00:26:38.820 --> 00:26:43.996 So er selbst wurde nicht gefasst aber junge Russen, die sich für unverwundbar 00:26:43.996 --> 00:26:47.676 halten, das ist ein wichtiger Aspekt dabei, weil sie entweder Behörden 00:26:47.676 --> 00:26:52.547 bestechen oder direkt in Verbindung stehen mit Behörden, die sind so relativ die 00:26:52.547 --> 00:26:57.580 bilden so eine relativ kleine Gruppe der Hinterleute dieser ganzen Ransomware 00:26:57.580 --> 00:27:03.273 Modelle, die sind aber nicht die große Masse, die sind wirklich Ausnahmen. Die 00:27:03.273 --> 00:27:11.463 die die eigentliche Arbeit machen, die sehen anders aus. Das hier ist eine 00:27:11.463 --> 00:27:16.753 Wohnung in einem relativ runtergekommenen Neubaublock in Harkiv in der Ukraine 00:27:16.753 --> 00:27:22.787 Straße ist 23 August, wen es interessiert. Den Namen nenne ich hier nicht, weil dieser 00:27:22.787 --> 00:27:27.048 Mensch nie verurteilt wurde und nicht mal angeklagt, der wurde laufen gelassen, ich 00:27:27.048 --> 00:27:32.195 erzähle gleich warum. Deswegen hier nur sein Name in dem Internet unterwegs war 00:27:32.195 --> 00:27:38.981 Jeep. Der erklärt sich auch gleich. Dieser Mann war für emotet unterwegs. Emotet 00:27:38.981 --> 00:27:46.218 ebenfalls eine riesige Ransomware Familie ja, die weltweit tausende Opfer verursacht 00:27:46.218 --> 00:27:52.474 hat. Das BKA nannte emotet einen der gefährlichsten Trojaner weltweit und BSI 00:27:52.474 --> 00:27:56.528 Chef Arne Schönbum ex BSI Chef Arne Schönbum, falls sich noch jemand an ihn 00:27:56.528 --> 00:28:03.149 erinnert, nannte es den König der Schadsoftware, aber und deswegen zeigen 00:28:03.149 --> 00:28:09.798 wir es hier auch emotet machte Fehler. Die haben einen Server in Brasilien offen 00:28:09.798 --> 00:28:14.130 gelassen, so dass dort Serverlocks rumlagen, die Ermittlungsbehörden finden 00:28:14.130 --> 00:28:18.538 konnten und dank dieser Serverlocks hangelten Sie sich durch die gesamte 00:28:18.538 --> 00:28:24.500 Infrastruktur dieser Gruppe und kamen zumindest nach Angaben des BKA zu dieser 00:28:24.500 --> 00:28:29.127 Wohnung, dort laufen alle Fäden zusammen und deswegen gab's da 2021 diese 00:28:29.127 --> 00:28:34.189 Wohnungsdurchsuchung, polizia steht da auf der Jacke, also die ukrainische Polizei 00:28:34.189 --> 00:28:38.563 bricht da gerade ein, BKA Beamte waren dabei, ja also da liefen alle Fäden von 00:28:38.563 --> 00:28:43.070 emotet zusammen hier. L: Sieht aus wie bei mir. 00:28:43.070 --> 00:28:49.045 viele lachen K: Okay du hast auch Flohmarkt zeug? lächelt 00:28:49.045 --> 00:28:53.110 K: Das ist der Schreibtisch dieses Mannes und das die Wohnung eines damals 47 Jahre 00:28:53.110 --> 00:28:58.026 alten Ukrainers, seines Zeichens Systemadministrator für Linux und der 00:28:58.026 --> 00:29:02.904 wartet Server für kleine Firmen. Und er tut das für kleines Geld. Und der hat mit 00:29:02.904 --> 00:29:08.161 uns geredet, der war sehr nett und sagte also das auf diesen Backends gefährliche 00:29:08.161 --> 00:29:12.799 trojaner waren, ich wusste es nicht, er hat sich nicht dafür interessiert 00:29:12.799 --> 00:29:19.577 wahrscheinlich. Er hat 12 Server von emotet gewartet und nahm dafür $40 pro 00:29:19.577 --> 00:29:27.640 Server und Monat $480. Ich finde es interessant, weil auch so gigantische 00:29:27.640 --> 00:29:31.574 Erpressungsmodelle ja, wir reden über gigantische Erpessungsmodelle die weltweit 00:29:31.574 --> 00:29:35.854 funktionieren, basieren auf solcher Infrastruktur. Nach Auskunft der Polizei 00:29:35.854 --> 00:29:40.580 die da in der Wohnung war, da sieht man sie noch mal, war ein Großteil davon vom 00:29:40.580 --> 00:29:48.180 Flohmarkt, Jahre alt. Übrigens könnt ihr Kyrillisch lesen? Da steht Department 00:29:48.180 --> 00:29:51.734 KeeberPolitsii, finde ich toll, falls irgendjemand hiermer so Aufkleber macht, 00:29:51.734 --> 00:29:56.565 ich hätte gern ein paar davon. Gelächter 00:29:56.565 --> 00:30:01.208 L: Kommen wir zurück zu einer anderen Ransomware Gang, ich habe ja gesagt, dass 00:30:01.208 --> 00:30:05.998 ich öfter mal die Freude habe mich mit denen auseinandersetzen zu dürfen, 00:30:05.998 --> 00:30:10.297 hauptsächlich deshalb weil Leute denken ich könnte ihn Bitcoin organisieren, ich 00:30:10.297 --> 00:30:16.749 habe keine Ahnung wie auf die Idee kommen aber irgendwie klappt's dann auch. So 00:30:16.749 --> 00:30:21.062 sieht dann so eine Ransom Note aus, die liegt auf deinem Desktop und angegeben 00:30:21.062 --> 00:30:25.732 wird halt ein Tor hinden Service und in diesem Fall ein Login und wenn man da 00:30:25.732 --> 00:30:29.572 drauf klickt kommt halt so ein Chat, ja ist etwas andere Gang jetzt in diesem 00:30:29.572 --> 00:30:35.519 Fall, mal Screenshot von blackbuster rausgesucht und die sagen also sie wollen 00:30:35.519 --> 00:30:41.210 Geld haben. Und jetzt beginnt der Moment für den sich so viele Leute interessieren, 00:30:41.210 --> 00:30:44.749 ich werde also immer nach Vorträgen gefragt, dass ich genau das mal 00:30:44.749 --> 00:30:48.128 beschreiben soll und wie ich gerade schon sagte ich beschreibe das nicht ohne vorher 00:30:48.128 --> 00:30:51.540 zu sagen, wie man sich davor schützen kann. Weil das ist die Situation in der 00:30:51.540 --> 00:30:55.200 man wirklich nicht sein möchte, ja. Der Chat geht natürlich ein bisschen länger, 00:30:55.200 --> 00:30:59.540 ich habe mich jetzt mal so inhaltlich grob zusammengefasst. Wir veröffentlichen in 10 00:30:59.540 --> 00:31:03.803 Tagen, wir haben einen Decrypter, wir wollen in diesem Beispiel 100 Millionen, 00:31:03.803 --> 00:31:07.625 ja. Hab jetzt einfach mal 100 genommen, damit ihr ungefähr die Relationen sieht, 00:31:07.625 --> 00:31:13.920 die die Verhandlung betreffen. Und man sagt natürlich erstmals, Junge, Beweis du 00:31:13.920 --> 00:31:16.962 doch bitte erstmal dass du die Dateien hast ja, also vorher stellt man sich 00:31:16.962 --> 00:31:20.680 erstmal so ein bisschen doof, es ist auf jeden Fall klug irgendwie so ein paar doofe 00:31:20.680 --> 00:31:25.374 Sachen zu fragen ne, was ist BTC irgendwie sowas um den irgendwie zu vermitteln, dass 00:31:25.374 --> 00:31:30.464 man relativ dumm ist, ja? Man sagt dann so, ok, aber Beweis doch mal bitte dass Du 00:31:30.464 --> 00:31:33.243 die Dateien hast, dann sagen die kein Thema, hier ist die Liste ja und dann 00:31:33.243 --> 00:31:39.711 kriegt man so ein Output von tree oder find oder was auch immer ja? Und dann 00:31:39.711 --> 00:31:42.881 sagen sie such dir drei Dateien aus, die schicken wir dir ja, das heißt sie geben 00:31:42.881 --> 00:31:46.830 dir die komplette Liste, du kannst dir drei aussuchen, die kriegst du zurück und 00:31:46.830 --> 00:31:54.366 damit beweisen sie dass du dass sie diese dass Sie alle Dateien haben ne. Hier ist 00:31:54.366 --> 00:32:00.201 deine x Doc X Y xlsx und zxe, das Gute ist die die Liste der Dateien kriegst du für 00:32:00.201 --> 00:32:05.445 umme ja und die brauchst du um den Schaden abzuschätzen, der beispielsweise bei einer 00:32:05.445 --> 00:32:10.160 Veröffentlichung droht, potenziell aber z.B auch für die dsgvo Meldung also diese 00:32:10.160 --> 00:32:14.723 die Liste an Dateien gibt's kostenlos und in vielen Fällen selbst, wenn man gar 00:32:14.723 --> 00:32:18.901 keine Absicht hat zu bezahlen, lohnt es sich die sich zu organisieren ja? 00:32:18.901 --> 00:32:25.086 Kostenlose Leistung, die man hier kriegt. viele lachen 00:32:25.086 --> 00:32:28.404 Und dann sagt man sowas wie du weißt du, wir stellen gerade von Tapes wieder her 00:32:28.404 --> 00:32:32.029 das dauert zwar ein bisschen, aber eigentlich sind wir hier guter Dinge. Dann 00:32:32.029 --> 00:32:36.520 sagen die, stell dir mal vor wenn wir das alles veröffentlichen und man sagt so ja 00:32:36.520 --> 00:32:42.340 eigentlich ist da jetzt nichts großartig kritisches dabei! Wir verkaufen das an die 00:32:42.340 --> 00:32:47.719 Konkurrenz! Auch immer ein sehr spannender Fall, ja, wenn man diese Gespräche führt 00:32:47.719 --> 00:32:50.470 ja und die Betroffen Unternehmen sagen, oh mein Gott die verkauft das an die 00:32:50.470 --> 00:32:53.900 Konkurrenz, oh mein Gott die Verkauf das an die Konkurrenz, wenn man sagt ok, pass 00:32:53.900 --> 00:32:58.155 auf, ich mache euch ein Angebot, ich gebe euch die Daten von der Konkurenz. Das 00:32:58.155 --> 00:33:01.861 werden wir nie machen! Ja okay aber eure Konkurrenz haltet ihr für so verkommen 00:33:01.861 --> 00:33:05.907 dass Sie von irgendwelchen Gangstern für Bitcoin eure Daten kaufen gelächter? 00:33:05.907 --> 00:33:10.120 Also sagt man, kannst du gern probieren wir gehen eigentlich nicht davon aus dass 00:33:10.120 --> 00:33:14.261 sie dir da sonderlich viel Geld für geben ja? Außerdem muss man tatsächlich sehr 00:33:14.261 --> 00:33:19.250 traurigerweise sagen die Veröffentlichung bringt meist einen sehr geringen Schaden 00:33:19.250 --> 00:33:26.324 für dich selber. Weiß auch der Gründer und CE von Motel One, Dieter Müller der sich 00:33:26.324 --> 00:33:31.567 nachdem dem Motel One gebreached wurde und alle Kundendaten ins Internet gegangen 00:33:31.567 --> 00:33:36.209 sind, geweigert hat mit den Leuten zu verhandeln und eventuell diesen Schaden 00:33:36.209 --> 00:33:42.148 von den Kunden abzuwenden ja? Der Mann hat geringe Ansprüche an sich selbst und hohe 00:33:42.148 --> 00:33:45.696 Ansprüche an den Staat, denn an der gesamten Misere ja dass alle Motel One 00:33:45.696 --> 00:33:50.114 Kunden jetzt mit übernachtungsdaten und allem im Internet stehen, ist natürlich 00:33:50.114 --> 00:33:54.795 der Staat schuld, denn der Staat hat noch keinen Weg gefunden seiner staatlichen 00:33:54.795 --> 00:33:59.153 Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen 00:33:59.153 --> 00:34:03.270 digitalen Angriffen zu schützen. Einzelne Applaus 00:34:03.270 --> 00:34:06.653 Kann natürlich jetzt auch nicht seine Schuld sein. Wie ich habe schon gesagt, 00:34:06.653 --> 00:34:11.729 der Mann hat geringe Ansprüche an sich selbst, hohe Ansprüche an den Staat, 00:34:11.729 --> 00:34:16.925 Coronazeiten waren irgendwo im Bereich 100 Millionen Coronahilfen, die der 00:34:16.925 --> 00:34:21.529 eingestrichen hat, dadurch hat Motel One am Ende seine Geschäftsergebnisse 00:34:21.529 --> 00:34:25.230 signifikant verbessern können und er hat noch ein paar Interviews gegeben, dass das 00:34:25.230 --> 00:34:29.207 eine Frechheit wäre und zu wenig. Gelächter 00:34:29.207 --> 00:34:32.640 Aber tatsächlich mal ne, man muss tatsächlich sagen Motel One hat de facto 00:34:32.640 --> 00:34:37.111 keinen Schaden dadurch, dass diese Daten veröffentlicht wurden. Irgendwann ich 00:34:37.111 --> 00:34:42.249 glaube es war man sieht es im Bild 2021 wurde extensure gebridged von Lockbit und 00:34:42.249 --> 00:34:46.875 das vll natürlich sehr interessant, also haben wir auf dem Lockbit Block so den 00:34:46.875 --> 00:34:50.170 Countdown geguckt und so ne und dann wurden irgendwann die Daten von extenser 00:34:50.170 --> 00:34:53.905 veröffentlichicht da hat man sich ja dann doch mal für interessiert, das war aber 00:34:53.905 --> 00:34:58.688 total so ein Einzeldownload ja, du konntest jede Datei einzeln, das war total 00:34:58.688 --> 00:35:03.065 unsortiert umständlich zeitaufwendig ja und die wurden auch immer wieder offline 00:35:03.065 --> 00:35:06.504 genommen und dann wurde die Deadline verlängert wann die released werden und 00:35:06.504 --> 00:35:11.816 irgendwie sind sie jetzt nicht mehr zu finden. Ich denke warum die Angreifer so 00:35:11.816 --> 00:35:17.551 und nicht anders veröffentlichen ist ganz klar, in dem Moment wo sie vollständig 00:35:17.551 --> 00:35:22.320 veröffentlichen, haben Sie Ihr Kind mit dem Bade ausgegossen, es wird Niemand mehr 00:35:22.320 --> 00:35:27.151 bezahlen. Wenn sie aber so scheibchenweise veröffentlichen, können sie potenziell 00:35:27.151 --> 00:35:31.688 noch weiter erpressen und dich doch überzeugen denen etwas Geld zu geben. Denn 00:35:31.688 --> 00:35:35.790 für sie ist das ja eine Alles oder Nichts Situation und diese Dateien zu 00:35:35.790 --> 00:35:40.044 veröffentlichen, dann haben sie halt statt irgendwie potenziell Millionen einfach nur 00:35:40.044 --> 00:35:44.251 ein mahnendes Beispiel für den nächsten und ein Fall, wo ich wieder erzählen kann, 00:35:44.251 --> 00:35:48.951 eigentlich kein Schaden entstanden. Wir haben auch darüber gesprochen, das nennt 00:35:48.951 --> 00:35:53.521 man dann also die Angreifer wollen Druck erhöhen ja, sie machen inzwischen auch mal 00:35:53.521 --> 00:35:57.770 die Meldung an an die Behörden für dich ja, auch da natürlich einfach um den Druck 00:35:57.770 --> 00:36:03.749 zu erhöhen, weil Druck ist alles was die haben, oder sie belästigen die Leute die 00:36:03.749 --> 00:36:09.766 nicht zahlen ja, rufen dann z.B dort an oder lassen dort anrufen oder erpressen 00:36:09.766 --> 00:36:13.541 eben die Kunden um den rufschaden irgendwie zu maximieren. Also die Gruppen 00:36:13.541 --> 00:36:18.796 arbeiten daran diesen Rufschaden zu vergrößern. Ja in unserem Beispiel sagen 00:36:18.796 --> 00:36:23.942 wir mal, wir würden jetzt irgendwie in Richtung einer Zahlung uns orientieren, 00:36:23.942 --> 00:36:28.489 dann sagen wir Bruder, wie sollen wir dir überhaupt vertrauen? Und dann sagt er, mein 00:36:28.489 --> 00:36:32.550 Freund wir sind die CyberSwan Gruppe, google uns, wir haben fünf Sterne auf yelp! 00:36:32.550 --> 00:36:37.681 viele lachen Und es ist es ist natürlich wirklich wichtig für diese Mechanik der 00:36:37.681 --> 00:36:41.625 Verhandlung zu wissen, die müssen auch ihren Ruf schützen. Wenn die euch 00:36:41.625 --> 00:36:46.500 betrügen, dann wird das ja bekannt und dann zahlt ihnen niemand mehr. Das heißt 00:36:46.500 --> 00:36:51.852 Vertrauen ist für die eine entscheidende Sache ja? Außerdem haben die auch den 00:36:51.852 --> 00:36:57.247 ganzen Rest des Internets noch vor sich, dass sie jetzt ein zweites Mal dich 00:36:57.247 --> 00:37:02.603 erpressen ist eher unwahrscheinlich. Aber dann sagst du so was wie ja boah das mit 00:37:02.603 --> 00:37:08.686 den Tapes kennt sie ja dauert ey... pass auf wir zahlen dir 25 Dann kommen wir wollen 00:37:08.686 --> 00:37:13.484 100 und du hast noch 7 Tage danach wird es teurer und dann denkst das ist natürlich 00:37:13.484 --> 00:37:18.275 jetzt auch wieder dieses Druck ne? Wir wollen mehr Geld später und dann sagst du 00:37:18.275 --> 00:37:23.268 ja pass auf Alter in 7 Tagen sind wir fertig, du kannst mir hier maximal 50 00:37:23.268 --> 00:37:28.071 Millionen sparen, das muss aber auch irgendwie businesscase für mich sein ich 00:37:28.071 --> 00:37:34.280 zahle dir 40 ja? Dann sagen die wir wollen 70, das unser letztes Angebot, es gilt nur 00:37:34.280 --> 00:37:39.699 24 Stunden und dann sagst du sowas wie, ey Junge, je länger das hier dauert, umso 00:37:39.699 --> 00:37:43.932 weniger ist deine Dienstleistung für mich Wert, ich stell ja hier gerade von Tapes 00:37:43.932 --> 00:37:48.760 wieder her. Und das ist der entscheidende Punkt in diesen Verhandlung für die 00:37:48.760 --> 00:37:52.163 Angreifer geht es um alles oder nichts, also die stehen vor einer Situation dass 00:37:52.163 --> 00:37:55.690 sie entweder von dir Geld bekommen oder gar nichts und dann haben Sie noch die 00:37:55.690 --> 00:37:58.870 Kosten dass sie deine Daten veröffentlichen müssen und genau da musst 00:37:58.870 --> 00:38:03.320 du diesem Druck wiederstehen, der zeitliche Druck wird von denen nur deshalb 00:38:03.320 --> 00:38:09.561 angebracht, weil sie also weil sie wissen, je länger Du nicht zahlst desto 00:38:09.561 --> 00:38:14.090 unwahrscheinlicher zahlst du. Insofern ist das durchaus sinnvoll in einer solchen 00:38:14.090 --> 00:38:18.829 Situation , wenn du die Zeit hast, auch tatsächlich auf Zeit zu spielen, weil die 00:38:18.829 --> 00:38:24.378 wissen, je länger der Spaß hier geht, umso unwahrscheinlicher zahlst du. Na gut dann 00:38:24.378 --> 00:38:30.374 kommt irgendwie so was, ja 60 Millionen weil Du es bist, letzte Preis ja? lachen Und dann sagst 00:38:30.374 --> 00:38:35.668 du, das ist der Moment den die Kunden meistens nicht wollen, ja? Dann sagst mal 00:38:35.668 --> 00:38:40.311 ok tut mir leid, ich erkläre die Behandlung für gescheitert, hätte hier eine Win-Win 00:38:40.311 --> 00:38:45.156 Situation werden können, aber na ja vielleicht beim nächsten Mal. 00:38:45.156 --> 00:38:50.177 viele lachen 00:38:50.177 --> 00:38:53.367 Und dann kommt, ok lass mich mal mit dem Boss reden. 00:38:53.367 --> 00:38:56.292 viele lachen 00:38:56.292 --> 00:39:00.140 Du verhandelst jetzt mit dem Level One Customer Support! Und der hat klare 00:39:00.140 --> 00:39:05.570 Grenzen und erst wenn der mit jemand anders reden muss über den Deal, den er dir 00:39:05.570 --> 00:39:10.170 machen kann, merkst du dass du vielleicht langsam in einen Bereich kommst der 00:39:10.170 --> 00:39:15.026 vielleicht für dich auch interessant ist ja? Natürlich kann auch das ein Spiel sein 00:39:15.026 --> 00:39:19.821 aber in diesem Fall werdet ihr gleich sehen war es nicht, es gibt einen Boss. 00:39:19.821 --> 00:39:24.339 Dann kommt eben sowas her: ok 50% allerletzte Preis ja und dann sagst du 00:39:24.339 --> 00:39:28.617 sowas eh, woher weiß ich dass du die Datei überhaupt wieder herstellen kannst? Ja 00:39:28.617 --> 00:39:32.243 auch das erst ganz am Ende machen, weil das ja ein Interesse überhaupt 00:39:32.243 --> 00:39:36.771 signalisiert also die Prüfung, dass Sie Dateien wiederherstellen können jede 00:39:36.771 --> 00:39:41.040 Ransomware Gang bietet dafür an, schick mir zwei Dateien mein Freund, entschlüssel 00:39:41.040 --> 00:39:44.984 ich dir, kriegst du zurück, schickst Du ja hier ist A encrypted und B encrypted und 00:39:44.984 --> 00:39:49.535 dann schickt er dir die entschlüsselten Dateien zurück. Das ist ein sehr wichtiger 00:39:49.535 --> 00:39:53.505 Schritt den man keinesfalls vergessen darf! Du musst dich vergewissern, dass 00:39:53.505 --> 00:39:57.342 dein Freund die Dienstleistung auch wirklich erbringen kann, sonst riskierst 00:39:57.342 --> 00:40:02.318 du mit diesen Leuten hier zu tun zu haben. Das war wannacry ihr erinnert euch die 00:40:02.318 --> 00:40:07.480 ganze Ransomware hat in der Welt nur drei Bitcoin Adressen angegeben und als ich die 00:40:07.480 --> 00:40:11.245 doppelten Screenshots gesehen habe mit dem gleichen Bitcoin Wallet war mir auch 00:40:11.245 --> 00:40:15.434 sofort klar, die werden die Zahlung nicht zuordnen können, hier besteht keine 00:40:15.434 --> 00:40:21.250 Absicht der Wiederherstellung. Und war ja auch bei Wannacry nicht so also wichtig 00:40:21.250 --> 00:40:25.846 sicherstellen und erst spät sicherstellen weil damit signalisierst du überhaupt 00:40:25.846 --> 00:40:30.566 Interesse an der ernsthaftes Interesse an der Wiederherstellung. Und dann kommen die 00:40:30.566 --> 00:40:35.349 klugen Leute und sagen hey vorsicht wenn du zahlst, dann hacken sie dich direkt 00:40:35.349 --> 00:40:39.547 wieder. Und das ist aber Quatsch, übrigens hier das ist also auf dem Sixpack steht 00:40:39.547 --> 00:40:44.279 Mythos auf dem nächsten Sixpack steht Realität aber dol i kann nicht so gut 00:40:44.279 --> 00:40:47.114 schreiben wie ich. Die Realität ist 00:40:47.114 --> 00:40:47.859 lächeln 00:40:47.859 --> 00:40:50.624 der Rest des Internets wartet auf Sie die haben überhaupt gar keinen Grund noch mal 00:40:50.624 --> 00:40:54.992 dich zu hacken, die geben auch übrigens Garantien dass diese Ransomware Gang dich 00:40:54.992 --> 00:41:00.543 nicht noch mal hackt. Es gibt aber genug Andere also früher oder später musst du 00:41:00.543 --> 00:41:06.921 dich schützen und ich kenne mehrere Fälle in den die CEOs oder der Vorstand, oder 00:41:06.921 --> 00:41:13.279 sonst was nach der Zahlung gesagt hat, jetzt haben wir es hinter uns lehnt euch 00:41:13.279 --> 00:41:19.305 zurück, fahrt die Systeme wieder hoch, alles rein ins ad und den MySQL Server in 00:41:19.305 --> 00:41:24.460 die Cloud und gebt ihm und kurze Zeit darauf war das Geschrei groß, ja? Also ihr 00:41:24.460 --> 00:41:29.380 kommt sowieso nicht drum herum euch besser zu schützen am besten macht ihr das bevor 00:41:29.380 --> 00:41:34.600 ihr den Case habt, aber egal ob du zahlst oder nicht die Anderen werden kommen, ja? 00:41:34.600 --> 00:41:39.324 Du hältst dir eine von 100 Gangs vom Leib und dummerweise machen die nicht so eine 00:41:39.324 --> 00:41:42.992 Garantie wie Schutzgeld, dass sie sagen pass auf wenn die anderen Gangs kommen 00:41:42.992 --> 00:41:44.596 dann prügeln wir die raus oder so. 00:41:44.596 --> 00:41:46.202 lachen 00:41:46.202 --> 00:41:49.721 Na ja, dann sagen Sie hier ist unser unsere Bitcoin Wallet ja die nehmen 00:41:49.721 --> 00:41:53.951 üblicherweise eine frische brauchen sie auch damit sie erkennen dass die Zahlung 00:41:53.951 --> 00:41:58.407 von dir ist. Du nimmst üblicherweise eine frische und schickst mal ein satoschi 00:41:58.407 --> 00:42:02.557 rüber, ja? Achtung, das ist interessanter Moment weil dann sehen die wie viel Geld 00:42:02.557 --> 00:42:06.350 auf deinem Wallet liegt. Ja in dem Moment beweist du dass du über ein über eine 00:42:06.350 --> 00:42:10.990 Summe verfügst. Es kann also durchaus auch interessant sein an der Stelle vielleicht 00:42:10.990 --> 00:42:15.970 doch nur 40 da liegen zu haben statt der 50 und zu sagen hey Scheiße, Freitagabend, 00:42:15.970 --> 00:42:20.015 du weißt wie das ist, neh, ich habe jetzt echt nicht 00:42:20.015 --> 00:42:24.073 viele lachen 00:42:24.073 --> 00:42:28.326 Dann sagen sie, ist angekommen und dann schickst du den Rest und jetzt kommt sehr 00:42:28.326 --> 00:42:32.875 ein sehr wichtiger Hinweis, bezahle nur wenn du ein Business Case hast. Du hast 00:42:32.875 --> 00:42:37.513 meistens keinen, das Einzige was hier eine Rolle spielt ist, dass deine 00:42:37.513 --> 00:42:41.934 Wiederherstellung potentiell schneller geht. Alle sonstigen Folgekosten die 00:42:41.934 --> 00:42:47.148 Systemeherten, die Systeme desinfizieren, Dinge maximal neu aufbauen, eine komplette 00:42:47.148 --> 00:42:51.680 Renovierung deiner Infrastruktur, die Kosten hast Du ohnehin, die hast du auch 00:42:51.680 --> 00:42:55.816 jetzt schon vor dir, weil du es e machen musst entweder bevor du gebreacht wurdest 00:42:55.816 --> 00:42:59.765 oder danach. Das heißt du musst diesen Case wirklich sehr genau durchrechnen 00:42:59.765 --> 00:43:04.331 bevor du in Erwägung ziehst eine solche Zahlung vorzunehmen. Wenn du es dann 00:43:04.331 --> 00:43:10.100 gemacht hast, kommt sowas wie Yow, wir haben deine Dateien gelöscht, hier ist das 00:43:10.100 --> 00:43:17.027 deleition Lock, also das Output von rm-RF. Das sieht dann so aus, und Linus lächelt 00:43:17.027 --> 00:43:22.433 ich meine die haben sogar ihre local language auf Russisch eingestellt, ja? 00:43:22.433 --> 00:43:27.893 also man sieht hier unten die Translation für gelöscht und Verzeichnis gelöscht also 00:43:27.893 --> 00:43:38.501 ein Output von rm-RF. Und dann sagen sie yoh, wir bereiten jetzt dein Decrypter 00:43:38.501 --> 00:43:39.343 vor. 00:43:39.343 --> 00:43:40.712 einzelne gelächter 00:43:40.712 --> 00:43:46.085 Und man denkt so, bei den anderen geht das eigentlich immer relativ schnell. *Linus 00:43:46.085 --> 00:43:52.839 lächelt* So nach einer Stunde fragt man mal nach und dann kommt, eh ich kann den 00:43:52.839 --> 00:44:01.090 Typen nicht erreichen, hab mal kurz gedult bitte und dann kann das manchmal ein 00:44:01.090 --> 00:44:08.900 bisschen dauern und dann kommt hey, hier ist der Decrypter, sorry der Typ war 00:44:08.900 --> 00:44:10.615 draußen einen saufen, Ja? 00:44:10.615 --> 00:44:11.903 video läufzt, alle lachen 00:44:11.903 --> 00:44:15.309 Und an dieser Stelle zeigt sich, du würdest dem Level One Support auch keinen 00:44:15.309 --> 00:44:19.380 Schlüssel geben der Millionen wert ist, weil dann machen sie side Deals ja? Dann 00:44:19.380 --> 00:44:24.496 verkaufen die den Schlüssel über ihre eigene Konten. Klüger hat das LV gemacht, 00:44:24.496 --> 00:44:29.352 blackcat be denen war das so, die haben quasi also auf Ihrem Server war das 00:44:29.352 --> 00:44:33.736 Bitcoin Wallet direkt angegeben und hat das immer gepollt, ja? Und das heißt auch 00:44:33.736 --> 00:44:39.080 die Veröffentlichung von den decryption Tools und deinem Pentestbericht erfolgte 00:44:39.080 --> 00:44:44.163 automatisch, so haben die den Key von den von ihren Verhandlern weggehalten. Bei 00:44:44.163 --> 00:44:48.608 dieser Gang die ich hier im Beispiel hatte war es eben so, dass sie manuelle 00:44:48.608 --> 00:44:54.300 Interaktion oder oder direkte Interaktion mit ihrem Chef brauchten und die hatten 00:44:54.300 --> 00:44:59.005 halt echt nicht dessen die Nummer, nah? Die können halt auch nur mit dem über 00:44:59.005 --> 00:45:04.143 diesen Chat kommunizieren, aber ich bin ehrlich die Stunden bis wir den Decrypter 00:45:04.143 --> 00:45:10.519 hatten waren etwas weniger entspannt, auch wenn ich mir relativ sicher war, dass sie 00:45:10.519 --> 00:45:15.941 die Zahlung machen würden. Und Kai kann noch mal ein bisschen was darüber reden, 00:45:15.941 --> 00:45:18.424 wie es dann auf der anderen Seite aussieht. 00:45:18.424 --> 00:45:24.120 Kai: Wir machen noch mal ein kleinen Exkurs zu den Leuten, die auf der anderen 00:45:24.120 --> 00:45:29.768 Seite sitzen. Das interessante an diesen Modellen ist, wir kommen auch gleich noch 00:45:29.768 --> 00:45:33.290 zum Level 1 Support. Das interessante an diesen Modellen ist dass sehr viel 00:45:33.290 --> 00:45:37.396 outgesourced ist, wie in der Wirtschaft auch an sogenannte Affiliates, da ist 00:45:37.396 --> 00:45:43.226 Einer. Das sind Menschen die sozusagen auf eigene Rechnung für irgendeine Ransomware 00:45:43.226 --> 00:45:48.658 Familie arbeiten und ihre Beute teilen, die Deals sind meist 75% für diese 00:45:48.658 --> 00:45:54.326 Menschen, 25% oder 20% für die Gäng dahinter, die Vermieter den wir vorhin 00:45:54.326 --> 00:45:59.629 gesehen haben. Das hier ist Sebastian Vahoung, ein Kanadier inzwischen 00:45:59.629 --> 00:46:07.360 verurteilt. Der hat für Networker gearbeitet, wieder eine sehr große Familie 00:46:07.360 --> 00:46:14.459 und war der eifrigste Affiliate von Networker. Der hat dutzende Angriffe 00:46:14.459 --> 00:46:21.080 gefahren und allein er hat 1400 Bitcoin eingesammelt mit diesen Erpressung, damals 00:46:21.080 --> 00:46:26.485 27 Millionen Dollar. Jetzt fragt man sich, wer ist so ein Mensch, ja? Dem ging es gar 00:46:26.485 --> 00:46:30.790 nicht so schlecht, das war sein Häuschen schon vorher, der wohnte da. In der Nähe 00:46:30.790 --> 00:46:35.136 von Ottawa war nettes kleines Häuschen, sieht ganz gemütlich aus, der war 00:46:35.136 --> 00:46:39.840 Computertechniker Universität Ottawa, aber der war so der Typ Kleinkrimineller der 00:46:39.840 --> 00:46:43.820 irgendwie so ein bisschen mehr will vom Leben als das was ihm sein dayjob bietet. 00:46:43.820 --> 00:46:48.380 Der ist auch schon mal mit Drogendelikten aufgefallen, hat 123 kg Marijana vertickt 00:46:48.380 --> 00:46:53.038 viele Lachen 00:46:53.038 --> 00:47:00.022 Kleinkram. Und ja das war dann beim Verhör, da war er nicht mehr so... Ich 00:47:00.022 --> 00:47:04.556 fand den Fall sehr interessant, ich habe ihn ein bisschen zugeguckt man konnte 00:47:04.556 --> 00:47:07.122 durch dan Corona konnte man der Gerichtsverhandlung im Internet folgen, 00:47:07.122 --> 00:47:10.528 wenn man so ein Link sich geholt hat von den Behörden dort und ein stiller 00:47:10.528 --> 00:47:14.298 freundlicher nicht blöder Mensch wie gesagt, ich glaube er wollte ein bisschen 00:47:14.298 --> 00:47:18.200 mehr vom Leben, das wird er jetzt nicht mehr kriegen. Und er ist auch deswegen ist 00:47:18.200 --> 00:47:22.976 er hier in der Sammlung ein Beispiel dafür dass die Täter Fehler machen. Auch das 00:47:22.976 --> 00:47:28.047 finde ich wichtig, die sind nicht unfehlbar. In dem Fall hier war das FBI in 00:47:28.047 --> 00:47:32.566 der Lage, wieder das FBI, die sind sehr aktiv seit einigen Jahren. Die Stufen 00:47:32.566 --> 00:47:37.580 Ransomware auf der Höhe von Terror ein in was ihre Ermittlung angeht inzwischen, nur 00:47:37.580 --> 00:47:43.130 so zur Wichtigkeit, das FBI hat den Server geknackt auf dem die Networker Leute mit 00:47:43.130 --> 00:47:47.860 ihren Affiliates geredet haben, neh die müssen ja reden miteinander, ich war hier, 00:47:47.860 --> 00:47:52.412 ich war da und diese Affiliates die müssen belegen dass sie irgendwo eingebrochen 00:47:52.412 --> 00:47:57.446 sind, dazu laden Sie Screenshots hoch der kopierten Daten, und in einem dieser 00:47:57.446 --> 00:48:03.967 Screenshots waren Metadaten Screenshot 2.png enthielt Metadaten und in Metadaten 00:48:03.967 --> 00:48:10.195 stand Sebastian Vahoun. Passiert den besten von uns. Außerdem nutzte er für die 00:48:10.195 --> 00:48:15.737 Kommunikation mit diesem Server zwar eine anonyme E-Mailadresse, war aber zu faul 00:48:15.737 --> 00:48:21.983 die auch anonym abzurufen, sondern sendete sich die E-Mails weiter an seine private 00:48:21.983 --> 00:48:22.948 Mailadresse 00:48:22.948 --> 00:48:23.667 viele Lachen. 00:48:23.667 --> 00:48:27.383 Über die auch seine amazon Bestellung liefen, so dass das FBI sofort auch seiner 00:48:27.383 --> 00:48:28.385 Adresse hatte. 00:48:28.385 --> 00:48:31.877 einzelnes Lachen 00:48:31.877 --> 00:48:38.123 Passiert im besten. Ja also die müssen miteinander reden, ganz kurz, die brauchen 00:48:38.123 --> 00:48:42.071 irgendeine Infrastruktur um zu kommunizieren und das meist der Ort wo sie 00:48:42.071 --> 00:48:46.193 angegriffen werden von Ermittlern. Übrigens Sebastian Vahoug sitzt jetzt für 00:48:46.193 --> 00:48:49.822 20 Jahre in den USA, danach dann noch drei Jahre Bewährung und ich glaube dann muss 00:48:49.822 --> 00:48:55.291 er noch die Freiheitsstrafe absetzen, die er in Kanada noch egal länger. So, also 00:48:55.291 --> 00:49:02.171 diese Leute bilden Banden, die Sourcen aus, die sind relativ organisiert und es 00:49:02.171 --> 00:49:07.549 sind ganz normale Menschen, ja, keine Götter, keine Superhacker. Das sind 00:49:07.549 --> 00:49:12.984 normale Menschen die Fehler machen. Und diese Arbeitsteilung dieser Band geht 00:49:12.984 --> 00:49:20.929 sogar noch viel weiter, hier seht ihr die unterste Ebene, hier seht ihr den Level 1 00:49:20.929 --> 00:49:28.680 Support. Das ist Alla Witte, eine, ich bedauere sie fast, inzwischen. Eine Frau, 00:49:28.680 --> 00:49:33.732 die in der Sowjetunion geboren wurde, sie hat dort mal Programmiererin für 00:49:33.732 --> 00:49:40.454 Funktechnik gelernt, sie ist inzwischen 57 Jahre alt, hat ein bisschen Pech gehabt im 00:49:40.454 --> 00:49:47.613 Leben, verwitwet, hat mit Scientology zu tun egal. Jedenfalls sie schlug sich so 00:49:47.613 --> 00:49:53.417 durch mit dem Programmieren von Websites, lebte in Surinam zu dem Zeitpunkt und 00:49:53.417 --> 00:49:58.909 programmierte auch für kleine Unternehmen so ein bisschen HTML und solche Dinge und 00:49:58.909 --> 00:50:04.106 dann bekam sie ein Jobangebot 2017 von einer russischen Softwarefirma, so sagt 00:50:04.106 --> 00:50:08.981 sie es. Ja mit der konnten wir auch reden. Dann gab's so ein Einstellungstest online, 00:50:08.981 --> 00:50:12.420 da musste sie so ein paar technische Fragen beantworten, den hat sie bestanden 00:50:12.420 --> 00:50:16.860 und dann hat man ihren Job angeboten, hat gesagt, pass auf 800 € im Monat kannst du 00:50:16.860 --> 00:50:22.688 von uns haben und dafür machst du hier so Entwicklertätigkeiten. Kam ein kleines 00:50:22.688 --> 00:50:28.878 Team mit neuen Leuten und die kannten sich alle nur über Java. Und ihr Job war es 00:50:28.878 --> 00:50:33.614 dann, und da fingen sie dann doch an drüber nachzudenken, ob das das richtige 00:50:33.614 --> 00:50:36.808 ist, sowas zu programmieren, nämlich Webseiten mit der Benutzeroberfläche auf 00:50:36.808 --> 00:50:40.692 der dann steht "ihr Computer ist infiziert". Kai lächelt Entschuldigung 00:50:40.692 --> 00:50:46.051 das wieder eine von dolies Erfindung, aber ich fand sie sehr hübsch. Und die 00:50:46.051 --> 00:50:51.538 Softwarefma, für die sie dort gearbeitet hat war Conti, eine der größten und 00:50:51.538 --> 00:50:58.140 organisiertesten Ransomware Banden die die Welt bislang gesehen hat , oder die größte 00:50:58.140 --> 00:51:03.829 und organisierteste, und ja Alla Witte war wie gesagt relativ unbedarft am Anfang, 00:51:03.829 --> 00:51:08.355 das glaube ich ihr sogar, weil bei Jabber hat sie sich noch angemeldet mit ihrem 00:51:08.355 --> 00:51:12.542 echten Namen Alla Witte, also den Jabber Server wo die Gang miteinander 00:51:12.542 --> 00:51:17.249 kommunizierte und der dann später geliegt wurde durch ein ROG Mitglied dieser Bande, 00:51:17.249 --> 00:51:23.424 so dass ihr Name relativ schnell klar war deswegen, war sie auch die erste die 00:51:23.424 --> 00:51:29.653 Probleme bekam. Also sie war in Surinam und eines Tages stand die Polizei von 00:51:29.653 --> 00:51:33.740 Surinam vor ihrer Tür und sagte, sorry wir nehmen Sie jetzt mit, ihr Visum ist 00:51:33.740 --> 00:51:37.100 abgelaufen und ihre Computer und so sammeln wir auch alles ein und wir 00:51:37.100 --> 00:51:41.985 schicken sie zurück nach Lettland, wo sie herkam. Sie sind hier nicht mehr 00:51:41.985 --> 00:51:48.957 erwünscht, ja. Der Flug landete dann seltsamerweise in Miami zwischen, da stand 00:51:48.957 --> 00:51:54.600 dann wieder das FBI und nahm sie mit in ein Gefängnis nach Ohio und da blieb sie 00:51:54.600 --> 00:51:58.764 relativ lange, weil das FBI glaubte okay wir haben hier sozusagen die Hacker Queen, 00:51:58.764 --> 00:52:03.000 die kann uns was über Konti erzählen, das war vor dem leack. Nah, das FBI hat sie 00:52:03.000 --> 00:52:06.641 vorer gefunden und hoffte, sie kann ihn viel verraten, aber sie kannte echt nur 00:52:06.641 --> 00:52:10.083 die neun Leute aus ihrem Team, das waren alles kleine freischaffende 00:52:10.083 --> 00:52:15.160 Softwareentwickler, System Admins , die sich ein bisschen was dazu verdienen 00:52:15.160 --> 00:52:20.869 wollten. Sie konnte ihnen nicht viel sagen, deswegen saß sie zwei Jahre dort im 00:52:20.869 --> 00:52:25.644 Knast ohne Prozess. Und es passiert einfach nichts, in der Zwischenzeit kam 00:52:25.644 --> 00:52:30.122 der Konti Leack und alle Welter erfuhr über diese Gang. Inzwischen ist sie 00:52:30.122 --> 00:52:35.451 freigelassen worden aus den USA, ist wieder zurück jetzt wieder in Lettland in 00:52:35.451 --> 00:52:40.618 Riga. Die meisten Vorwürfe wurden fallen gelassen, außer einer Verabredung zum 00:52:40.618 --> 00:52:44.959 Computerbetrug, aber das also es reichtte nicht um sie weiter festzuhalten, wie 00:52:44.959 --> 00:52:49.082 gesagt sie lebt in Riga, sie tut mir wirklich etwas leid. Inzwischen geht sie 00:52:49.082 --> 00:52:54.580 putzen. Das ist, ihr seht hier so die Struktur, von Konti das ist die unterste 00:52:54.580 --> 00:53:01.090 Ebene dieser wirklich organisierten Gang und wir reden hier über die die Profis der 00:53:01.090 --> 00:53:06.448 Branche. Die hatten alles, die hatten Chefs, die sich darum kümmerten Büros 00:53:06.448 --> 00:53:12.593 anzumieten in denen die Leute wirklich von 8 bis 5 gearbeitet haben, ja, die kamen 00:53:12.593 --> 00:53:19.990 da. Die wurden über Foren angeheuert und für day Jobs und die waren wie eine Firma 00:53:19.990 --> 00:53:25.302 organisiert. Ich zeige euch gleich noch zwei Mitglieder davon aus dem 00:53:25.302 --> 00:53:29.690 Führungsebene. Bis heute sind nicht alle identifiziert, vor Allen nicht der Kopf 00:53:29.690 --> 00:53:34.705 der Bande Stern, der ist nur unter diesem Händel bekannt, ich soweit ich weiß weiß 00:53:34.705 --> 00:53:39.454 bis heute niemand wer das ist, das ist ein Zeichen dafür dass es schon auch sehr 00:53:39.454 --> 00:53:43.451 fähige kriminelle in diesem Bereich gibt aber es sind Wenige. Und wenn ihr so wie 00:53:43.451 --> 00:53:46.991 Linus mit diesen Leuten zu tun habt, habt ihr nicht mit diesen Leuten zu tun 00:53:46.991 --> 00:53:50.473 niemals, also die machen sich die Finger da nicht mehr mit schmutzig, sondern es 00:53:50.473 --> 00:53:55.326 ist wie gesagt der Level 1 Support, aber es ist auch ein Beispiel, ja diese Banden 00:53:55.326 --> 00:54:00.752 machen Fehler, aber ja Sie können auch gar nicht so schlecht sein, wenn man Pech hat. 00:54:00.752 --> 00:54:08.930 Noch ein paar Gesichter, hier ist einer der Manager Maxim Galochkin, hat ein paar 00:54:08.930 --> 00:54:17.090 Softwarefmen, ist pleite gegangen, kommt aus Abakan in Russland, lebt da glaube ich 00:54:17.090 --> 00:54:24.574 noch immer, soweit zum seine Social Media Profile das hergeben. Der war zuständig 00:54:24.574 --> 00:54:30.316 dafür, dass also die haben alle Virencanner, die es auf dem Markt gab, 00:54:30.316 --> 00:54:34.878 sich so besorgt und er musste testen ob ihre Schadsoftware da durchgeht idR 00:54:34.878 --> 00:54:39.082 Evasion heißt das habe ich mir sagen... L: idR Evasion, ja. 00:54:39.082 --> 00:54:43.830 K: Der baut auch den Kryptolocker, also die Daten verschlüsselt, also sein Team. 00:54:43.830 --> 00:54:47.836 Er war Teamleiter und Manager, ja Maxim wandert gern, der hält nichts von 00:54:47.836 --> 00:54:51.753 Covidimpfung, ist ein großer Putin Fan und Verteidiger des Ukrainekrieges oder das 00:54:51.753 --> 00:54:57.683 Kriegs des Angriffs auf gegen die Ukraine und Anhänger irgendeines Komisischen 00:54:57.683 --> 00:55:02.389 Gurus. Letztlich ein ganz normaler Mensch. 00:55:02.389 --> 00:55:03.949 viele Lachen 00:55:03.949 --> 00:55:08.717 ist in Abwesenheit angeklagt in den USA, weil er Teil von Konti sein soll. Hier ist 00:55:08.717 --> 00:55:15.096 noch einer eine Ebene tiefer ein Teamleiter Oleg Kugarov aus Tolyati bei 00:55:15.096 --> 00:55:20.687 Samara, 50 Jahre alt. Ich finde den interessant, den man, weil also er nennt 00:55:20.687 --> 00:55:23.860 sich selber reverse engineer und mail Analyst und scheint schon länger in der 00:55:23.860 --> 00:55:28.087 Branche zu sein, also länger als Andere, viele Andere kommen wirklich aus legalen 00:55:28.087 --> 00:55:33.254 Bereichen und suchen verzweifelt einen Job. Viele können auch kein Englisch und 00:55:33.254 --> 00:55:37.442 finden in englischsprachigen Industrien da ja keinen Job, also man könnte ja auch 00:55:37.442 --> 00:55:42.672 remote arbeiten und finden kein Job, sie können halt nur russisch und gehen dann zu 00:55:42.672 --> 00:55:47.498 einer russischen Softwarefirma. Ja Oleg verkauft z.B Zero days im Darknet, 00:55:47.498 --> 00:55:50.804 zumindest habe ich so ein paar Hinweise darauf gefunden und, was ich auch 00:55:50.804 --> 00:55:54.774 interessant finde, der hat sich schon 2014 bei hacking Team beworben. Hacking Team 00:55:54.774 --> 00:55:59.849 war hier beim Kongress schon ein zwei mal Thema. Das war eine recht berüchtigte 00:55:59.849 --> 00:56:06.203 Firma die Späsoftware herstellte und von Finineas Fischer aufgebohrt und aus dem 00:56:06.203 --> 00:56:11.517 Wasser geblasen wurde, und für Konti hat er Leute angeworben und geführt als 00:56:11.517 --> 00:56:16.160 Teamleiter ja. Er grillt gern, er hat ein shibaainu, Namen Simba, ein kleines 00:56:16.160 --> 00:56:21.887 Häuschen, man sieht ih da in seiner Straße. Wie ernst diese Gangs sind, sieht 00:56:21.887 --> 00:56:26.920 man unter anderem daran, dass die USA bereits sind 10 Millionen Dollar zu zahlen 00:56:26.920 --> 00:56:32.392 für Hinweise, auf die noch nicht bekannten Mitglieder. Das ist schon ein Haufen Geld 00:56:32.392 --> 00:56:38.140 und es heißt dass diese Branche bis heute, die ganze Welt in Atem hält und kaum einen 00:56:38.140 --> 00:56:42.161 interessiert es. Und wie gesagt ich finde das immer noch seltsam. Noch dazu also 00:56:42.161 --> 00:56:45.744 Konti hat sich nicht hat sich selber zerlegt, neh. Das war nicht Ermittler, das 00:56:45.744 --> 00:56:49.490 hat nicht geholfen Alla Witte da einzusperren, sondern die haben sich 00:56:49.490 --> 00:56:55.257 selber ruiniert. Und ja Linus wird jetzt noch mal einen kurzen Vortrag über die 00:56:55.257 --> 00:56:56.827 Lehren daraus halten. 00:56:56.827 --> 00:56:57.527 Linus lacht 00:56:57.527 --> 00:57:01.157 L: Also was ich noch mal sehr wichtig finde, ist, ihr seht die leben dann 00:57:01.157 --> 00:57:06.897 verhältnismäßig entspannt ja? Also wenn man überlegt dass Konti war mal, blackhead 00:57:06.897 --> 00:57:11.135 wurden irgendwie so um die also üblicherweise werden immer so Einnahmen im 00:57:11.135 --> 00:57:15.080 im 100 Millionen Bereich kriegen die hin bis sie bis sie hochgehen ja. So ungefähr 00:57:15.080 --> 00:57:19.859 das ist so die Region, wenn man sich das anschaut. Und so viel Geld scheinen die 00:57:19.859 --> 00:57:25.432 Leute an der Spitze ja auch nicht zu haben, ich denke Kriminalität lohnt sich 00:57:25.432 --> 00:57:31.259 vor allem wegen der Nebenkosten nicht, ja? Also du hast, wenn du wenn dieses Geld 00:57:31.259 --> 00:57:36.389 übergeht auf das auf das Wallet geht, dauert wenige Minuten bis es von dort 00:57:36.389 --> 00:57:40.420 verteilt wird auf viele tausend einzelne wallets, also findet so ein 00:57:40.420 --> 00:57:45.140 Geldwäschevorgang statt. Früher gerne von Tornado Cash gemacht, heute vermutlich von 00:57:45.140 --> 00:57:50.214 Anderen, weil der Betreiber von Tornado Cash ja im Knast sitzt und keine Zugriff 00:57:50.214 --> 00:57:55.949 mehr auf seine Systeme hat. Die müssen sich in ihrer Interaktion sicher sein dass 00:57:55.949 --> 00:58:00.523 es Menschen gibt die lieber 10 Millionen haben können, wenn sie verraten wer Sie 00:58:00.523 --> 00:58:04.273 sind, und das führt dazu, dass du auch echt extrem, sag ich mal dein 00:58:04.273 --> 00:58:09.200 Freundeskreis wird sehr teuer, ja, weil du sicherstellen musst, dass jeder von denen 00:58:09.200 --> 00:58:13.944 keinen Grund findet sich die 10 Millionen zu holen. Also es ist eigentlich insgesamt 00:58:13.944 --> 00:58:19.960 dann doch glaube ich kein Lebensstil der sich empfiehlt, das nur noch mal am Rande. 00:58:19.960 --> 00:58:25.149 Kommen wir zum Fazit. Wir wissen, wie die Angreifer vorgehen und wie man sich 00:58:25.149 --> 00:58:29.728 schützt von Conti. Wir haben es nicht in dem Leak, die haben ein Manual die haben 00:58:29.728 --> 00:58:34.016 halt Probleme gehabt Nachwuchs zu finden, haben sie ein Buch geschrieben so ein 00:58:34.016 --> 00:58:37.588 kleines PDF, wie man jetzt musst du da klicken und dann musst Du hier ne Blatt 00:58:37.588 --> 00:58:41.280 hauen und dann guckst du da und dann kürzester Weg zum Domänenadmin, da musst 00:58:41.280 --> 00:58:46.080 du das machen, da musst Du hier Mimicuts und das ist alles drin, ja? Die Angreifer, 00:58:46.080 --> 00:58:49.989 also du brauchst sowieso ein Wiederherstellungskonzept, solange wir den 00:58:49.989 --> 00:58:54.077 dieses diesen Sumpf nicht trocken legen, dass wir gezwungen sind zu zahlen, werden 00:58:54.077 --> 00:58:57.757 die das weiter tun, da hilft auch kein Verbot der Zahlungen. Die Angreifer 00:58:57.757 --> 00:59:01.339 verlieren aber auch alles, wenn Du nicht zahlst. Also wenn du in der unglücklichen 00:59:01.339 --> 00:59:04.854 Situation bist, in der du niemals sein willst, stell ihn glaubhaft in Aussicht, 00:59:04.854 --> 00:59:08.780 dass sie gar nichts bekommen, das ist der einzige Weg den Preis nach unten zu 00:59:08.780 --> 00:59:12.615 drücken. Sie wollen Druck erzeugen, beuge dich dem Druck nicht und nehm ihn die 00:59:12.615 --> 00:59:16.437 Druckmittel. Also wann immer die sagen, hier Tage und so weiter, sagst du einfach 00:59:16.437 --> 00:59:19.943 moment mal, neh, also mach mal ein bisschen länger, also ehrlich gesagt keine 00:59:19.943 --> 00:59:23.551 Ahnung, also auf Zeit zu spielen, macht bei Ihnen den Druck, dass sie das Geld 00:59:23.551 --> 00:59:27.403 nicht bekommen. Sie müssen einen Ruf pflegen. Dich zu betrügen schidet ihn also 00:59:27.403 --> 00:59:31.256 mehr, als es ihnen selbst nützt, ja? Also es wäre für die, ist es günstiger einfach 00:59:31.256 --> 00:59:35.145 den nächsten zu hacken und ihr Glück da zu probieren, als dich noch mal zu hacken. 00:59:35.145 --> 00:59:39.454 Das heißt aber nicht, dass es Andere nicht tun. Ja also bitte bitte bitte, ihr müsst 00:59:39.454 --> 00:59:43.220 euch so oder so schützen! Die Liste der extrahierten Dateien gibt's kostenlos, die 00:59:43.220 --> 00:59:47.730 brauchst du für die DSGVO Meldung, schadet nicht sich die abzuholen. Auch wenn du 00:59:47.730 --> 00:59:53.625 zahlst, hast du hohe Folgekosten, du musst dich sowieso noch schützen und du du musst 00:59:53.625 --> 00:59:58.570 dich auch vergewissern, dass du wirklich ein Business Case hast. Meistens hast du 00:59:58.570 --> 01:00:02.875 den nicht, deswegen drücken die ja so bei der Zeit, weil sie wissen, je länger du 01:00:02.875 --> 01:00:06.815 über die Situation nachdenkst, umso mehr Möglichkeiten dich da selber rauszuheben 01:00:06.815 --> 01:00:11.075 findest du und umso besser geht's dir und so wahrscheinlicher ist es, dass sie ihr 01:00:11.075 --> 01:00:15.866 Geld nicht kriegen. Die Angreifer sind nicht unfehlbar und trotzdem brauchst du 01:00:15.866 --> 01:00:20.952 ein Wiederherstellungskonzept, so oder so und zwar jetzt. Übrigens zum Thema 01:00:20.952 --> 01:00:26.472 unfehlbar, hat mein Kollege Tobias heute ne gestern einen Vortrag gehalten, der hat 01:00:26.472 --> 01:00:30.887 den Titel unlocked recovering Files taken hostage by Ransomware, weil wir als 01:00:30.887 --> 01:00:35.701 kleiner Nebenaktivität unserer Aktivitäten in diesem Bereich noch ein Decrypter 01:00:35.701 --> 01:00:40.440 veröffentlichen. Dieser Talk ist Teil einer Reihe, sie begann mit Hirnehaken, 01:00:40.440 --> 01:00:45.256 sie ging weiter mit Disclosure Hack und hackback von Kantorkel Dominik und mir 01:00:45.256 --> 01:00:50.352 beim Camp. Sie hatte einen Höhepunkt gestern mit Unlocked! dem Release des 01:00:50.352 --> 01:00:54.848 decrypters für blackbuster von Tobias und sie findet hoffentlich hier Ende mit 01:00:54.848 --> 01:00:58.903 hierirner Hacken hackback Edition von Kai Biermann und mir, weil damit sollte jetzt 01:00:58.903 --> 01:01:04.050 zum Thema hoffentlich alles gesagt sein, vielen Dank. 01:01:04.050 --> 01:01:06.554 Applaus 01:01:06.554 --> 01:01:07.653 Musik 01:01:07.653 --> 01:01:12.520 K: Danke! Herald: Wunderbar, super ja vielen Dank an 01:01:12.520 --> 01:01:25.573 Linus und Kai. 01:01:25.573 --> 01:01:28.792 37c3 Nachspannmusik 01:01:28.792 --> 01:01:40.000 Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!