1 00:00:00,230 --> 00:00:13,142 37C3 Anspannungsmusik 2 00:00:13,143 --> 00:00:18,080 Engel: Ok dann freue ich mich euch alle sehr herzlich zu Hirne hacken der hackback 3 00:00:18,080 --> 00:00:23,280 Edition begrüßen zu dürfen. Heute unsere zwei Vortragenden Linus Neumann und Kai 4 00:00:23,280 --> 00:00:29,120 Biermann, beides bekannte Gesichter hier. Linus bekannt als IT security Consultant 5 00:00:29,120 --> 00:00:34,200 und hatte das zweifelhafte Vergnügen schon mit unterschiedlichsten Ransomware Gangs 6 00:00:34,200 --> 00:00:39,240 verhandeln zu dürfen oder zu müssen. Kai Biermann ist Investigativjournalist und 7 00:00:39,240 --> 00:00:45,000 hat unter anderem Mitglieder der Ransomware Gang Conti entdeckt aufgedeckt 8 00:00:45,000 --> 00:00:50,240 und heute werden sie uns ein bisschen was dazu erzählen wie man so spieltheoretisch 9 00:00:50,240 --> 00:00:55,960 das Ganze verhandeln mit Ransomware Hackern angehen kann und was da die 10 00:00:55,960 --> 00:00:59,920 spannenden Strategien sind. Bitte ein ganz herzliches Willkommen für Linus und Kai! 11 00:00:59,920 --> 00:01:09,866 Applaus 12 00:01:09,866 --> 00:01:15,040 Kai: Hallo Kongress eine Ehre hier zu sein! Danke euch! Das ist der Linus, der wurde 13 00:01:15,040 --> 00:01:19,320 schon kurz vorgestellt, der mag gern reiten, schwimmen und hacken so viel zu 14 00:01:19,320 --> 00:01:23,560 seinen Hobbys. Er wird öfters mal angerufen wenn irgendwo eine Firma 15 00:01:23,560 --> 00:01:29,480 gecybert wird und deswegen steht er hier. Linus: Das ist der Kai, der hat keine 16 00:01:29,480 --> 00:01:36,320 Hobbys die er öffentlich nennen möchte. Lachen Und ruft gerne mal an wenn jemand 17 00:01:36,320 --> 00:01:41,264 gecybert wird weil er im Investigativressort von Zeit und Zeit 18 00:01:41,264 --> 00:01:47,160 online arbeitet. Und wenn dieses Telefon so bei mir klingelt ist eigentlich der 19 00:01:47,160 --> 00:01:51,659 erste Satz immer so: Linus, du musst sofort helfen, wir werden erpresst! 20 00:01:51,659 --> 00:01:56,707 Gemurmel Und so als Einstieg möchte ich mal einen Fall von vor gar nicht allzu 21 00:01:56,707 --> 00:02:03,279 langer Zeit schildern, wo ein Hacker oder eine Hackerin von einer eigenen Domain 22 00:02:03,279 --> 00:02:08,443 eine E-Mail geschrieben hat. "Ich wurde angeheuert um Ihre Webseite zu 23 00:02:08,443 --> 00:02:13,410 hacken, ich habe Zugriff auf alle Kundendaten und mein Kunde also der der 24 00:02:13,410 --> 00:02:18,397 mich beauftragt hat zahlt zu wenig deswegen können Sie jetzt Ihre Daten 25 00:02:18,397 --> 00:02:21,616 zurückkaufen und ich sage in die Schwachstelle." 26 00:02:21,616 --> 00:02:25,252 wachsendes Lachen 27 00:02:25,252 --> 00:02:29,455 Linus: Klang schon mal jetzt nicht so auf Anhieb überzeugend ja? Und dann auch was 28 00:02:29,455 --> 00:02:34,180 ich sehr schön finde du so unmittelbare Selbstbeschuldigung: "Mir ist klar dass es 29 00:02:34,180 --> 00:02:38,088 ihre Daten sind und ich der Kriminelle bin der sich Zugang zu ihnen verschafft hat, 30 00:02:38,088 --> 00:02:41,512 werden sie jetzt aber nicht emotional, stellen Sie sich einfach nur mal den 31 00:02:41,512 --> 00:02:44,159 Schaden vor wenn ich veröffentliche." 32 00:02:44,159 --> 00:02:46,930 Lachen 33 00:02:46,930 --> 00:02:52,301 Linus: Ja und ich habe ja schon gesagt das war ein Erpresser ja und er hat dann seine 34 00:02:52,301 --> 00:02:56,456 Forderung uns mitgeteilt: "ich will 2000€". 35 00:02:56,456 --> 00:03:04,275 LachenLinus lacht 36 00:03:04,275 --> 00:03:08,880 L: Ja wir haben dann halt die SQL Injection gefixt und ich sag mal so mit 37 00:03:08,880 --> 00:03:14,120 ein bisschen mehr Forderung hätten wir ihn wahrscheinlich auch ernst genommen, haben 38 00:03:14,120 --> 00:03:18,040 uns dann aber entschieden vielleicht erstmal nicht zu antworten, worauf hin er 39 00:03:18,040 --> 00:03:22,480 sagte "Ich muss dem Kunden jetzt in 24 Stunden antworten und Sie müssen sich 40 00:03:22,480 --> 00:03:27,800 jetzt entscheiden, das ist kein Blöff." laute Lachen 41 00:03:27,800 --> 00:03:31,640 Da haben wir erstmals ein Tee getrunken. lachen 42 00:03:31,640 --> 00:03:37,205 Und dann schrieb er wieder "ich gebe ihn noch mal 24 Stunden viele lachen 43 00:03:37,205 --> 00:03:44,234 aber aber dann aber dann!" L: Ja doch ist ein Blöff ja haben also 44 00:03:44,234 --> 00:03:48,733 erstmal nichts gemacht und dann schrieb er: "also ich gebe ihnen jetzt noch ein 45 00:03:48,733 --> 00:03:53,490 letztes Mal 24 Stunden dann aber wirklich! Und dann wurden die Drohungen "sagt er," 46 00:03:53,490 --> 00:03:57,806 und sie haben können sich gar nicht vorstellen, was jetzt noch alles passiert 47 00:03:57,806 --> 00:04:02,447 und ja." So der Kunde wurde auch, was wenn er noch irgendwas Anderes hat und wir so 48 00:04:02,447 --> 00:04:06,288 na ja, wenn er noch irgendwas Anderes könnte dann wird er wahrscheinlich nicht 49 00:04:06,288 --> 00:04:14,360 2000€ fordern. Und wir haben uns aber gewundert, was ist das denn für Einer? Ja? 50 00:04:14,360 --> 00:04:18,520 Also was ist das für ein Typ der so richtig wohlformulierte lange E-Mails 51 00:04:18,520 --> 00:04:24,000 schreibt ja? Und uns war irgendwie nicht so klar, es war wohlformulierte Sprache, 52 00:04:24,000 --> 00:04:28,280 ich sag jetzt nicht welche, aber sie war schön formuliert und wir hatten zwei 53 00:04:28,280 --> 00:04:33,440 Hypothesen. Die eine war dass ist irgend so ein Abiturient der von zu Hause im 54 00:04:33,440 --> 00:04:37,080 Kinderzimmer irgendwie meint er wäre jetzt der große Hacker, weil das könnte erklären 55 00:04:37,080 --> 00:04:42,320 dass er 2000€ für viel Geld hält lachen oder ist Irgendjemand mit Chat GPT in 56 00:04:42,320 --> 00:04:45,720 Indien oder so für den das potenziell auch viel Geld wäre. Also haben wir uns überlegt 57 00:04:45,720 --> 00:04:49,640 na ja lass uns doch mal rausfinden. Ja haben uns entschieden wir antworten doch 58 00:04:49,640 --> 00:04:53,720 mal und haben da gesagt: L: Also pass auf du solltest deine Server 59 00:04:53,720 --> 00:04:57,880 echt nicht in der EU hosten, weil Gelächter die Polizeibehörden hier 60 00:04:57,880 --> 00:05:03,760 arbeiten zusammen ja? Und diese Domain die du da hast die solltest du echt nicht mit 61 00:05:03,760 --> 00:05:08,680 der Kreditkarte zahlen. Linus lacht, viele Lachen 62 00:05:08,680 --> 00:05:13,600 Und wenn du dein SQL Map Angriffe versuch das doch mal über TOR wenigstens statt von 63 00:05:13,600 --> 00:05:20,040 deinem anderen VServer aus, ja? Kam erstmals nichts. einige lachen und dann 64 00:05:20,040 --> 00:05:23,695 hab ich gesagt: L: Pass auf in 24 Stunden 65 00:05:23,695 --> 00:05:29,485 sehr viele Lachen, Applaus 66 00:05:29,485 --> 00:05:34,360 geht unser Bericht ans LKA. Die Datenschutzmeldung haben wir ohnehin schon 67 00:05:34,360 --> 00:05:38,120 gemacht, was soll schon noch kommen ja? Haben wir ihm Angebot gemacht haben 68 00:05:38,120 --> 00:05:40,560 gesagt: L: Pass auf wenn du deine Daten löscht 69 00:05:40,560 --> 00:05:43,680 bekommst du McDonald's Gutschein viele lachen 70 00:05:43,680 --> 00:05:54,440 über 100€ und dann kam eben so, "Eh, meine offshore Server sind verschlüsselt!" L: Wie 71 00:05:54,440 --> 00:05:59,480 so ... was für Offshore Server? was für Verschlüsselung? 72 00:06:00,320 --> 00:06:08,197 "Ich will 2000€ sie haben 24 Stunden, sonst..." einige lachen 73 00:06:08,197 --> 00:06:11,600 L: War wieder die große Sorge, was macht er denn jetzt noch ne haben wir gewartet 74 00:06:11,600 --> 00:06:17,080 und dann kam dedos einzelne Gelächter dann haben wir cloudflare dazwischen 75 00:06:17,080 --> 00:06:21,080 geschaltet und dann waren wir fertig ja lachen 76 00:06:21,080 --> 00:06:25,120 weil wir haben natürlich aus zwei Gründen hier nicht bezahlt: 1. die Forderung war 77 00:06:25,120 --> 00:06:28,360 viel zu gering, das Geld wär viel zu schnell weg gewesen und der wäre wieder 78 00:06:28,360 --> 00:06:33,440 gekommen und hätte mehr gewollt und ja ist auch nichts weiter passiert. Aber 79 00:06:33,440 --> 00:06:37,880 natürlich sind nicht alle Diskussionen oder alle solche Fälle, wenn man mit einem 80 00:06:37,880 --> 00:06:41,860 verwirrten Einzeltäter zu tun hat, so glimpflich und so einfach. 81 00:06:41,860 --> 00:06:49,440 Kai: Und vor all so lustig. Das hier ist einer, das ist so ein Einzeltäter, der hat 82 00:06:49,440 --> 00:06:52,480 mutmaßlich muss ich an dieser Stelle sagen, weil er steht gerade erst vor 83 00:06:52,480 --> 00:06:56,120 Gericht und ist noch nicht verurteilt und er bestreitet die Tat obwohl es ziemlich 84 00:06:56,120 --> 00:07:00,240 gute Indizien gibt, die ihr gleich sehen werdet. Das ist so ein Einzeltäter der hat 85 00:07:00,240 --> 00:07:05,880 in Finnland eine Firma erpresst wastamo die Therapiezentren betreibt, 86 00:07:05,880 --> 00:07:13,160 psychiatrische Therapiezentren und hat sämtliche therapeutischen Unterlagen 87 00:07:13,160 --> 00:07:19,960 gecybert kopiert. Der hat sich alle Protokolle aus Therapiesitzungen, alle 88 00:07:19,960 --> 00:07:24,200 Diagnosen von vielen vielen finnischen Menschen von deren Server geholt und hat 89 00:07:24,200 --> 00:07:31,560 anschließend gesagt "ich will nicht 2000€ sondern 40 Bitcoin". Das waren damals, ist 90 00:07:31,560 --> 00:07:39,200 schon zwei Jahre her, ca 180 000€ und die Firma hat nicht reagiert. Die hat Tee 91 00:07:39,200 --> 00:07:46,080 getrunken und daraufhin hat er den Patienten und Patientinnen eine Mail 92 00:07:46,080 --> 00:07:50,840 geschickt die Daten hat er ja und hat gesagt ok, die Firma zahlt nicht dann will 93 00:07:50,840 --> 00:07:57,200 ich von euch Geld 200€ in Bitcoin damit eure Therapieunterlagen nicht im Netz 94 00:07:57,200 --> 00:08:02,520 veröffentlicht werden. Wer macht denn sowas? Hier ist so eine Selbstbeschreibung 95 00:08:02,520 --> 00:08:07,400 von ihm, könnt ihr mal lesen wenn ihr Zeit habt. Ein lustiger junger Mann 25 ist er 96 00:08:07,400 --> 00:08:14,600 inzwischen, er glaubt er ist ein großer Philanthrop und hat mit beim Umgang mit 97 00:08:14,600 --> 00:08:18,600 Tieren schon viel übers Leben gelernt vor allem hat er früh schon Ärger gemacht, der 98 00:08:18,600 --> 00:08:23,320 hat mit 15 seine erste Verurteilung kassiert, damals war er an Ddos Attacken 99 00:08:23,320 --> 00:08:26,360 beteiligt und an einem Hobby namens swatting, ich weiß nicht ob schon mal 100 00:08:26,360 --> 00:08:29,880 gehört habt. Das ist wenn man Leuten die Polizei nach Hause schickt ohne Grund, 101 00:08:29,880 --> 00:08:35,560 kann sehr ärgerlich sein. Zurück zum Fall, der hat in Finnland für ziemliche 102 00:08:35,560 --> 00:08:39,640 Aufregung gesorgt, das ist die damalige finnische Innenministerin, die fand diesen 103 00:08:39,640 --> 00:08:44,240 data breach ein ziemlich shocking Act. Und die Formulierung ist interessant, weil es 104 00:08:44,240 --> 00:08:49,040 mehr ein Fall von Data breach ist als ein Fall von hacking, denn und jetzt kommen 105 00:08:49,040 --> 00:08:52,840 wir zu einem 2. wichtigen Punkt in unserem Talk. Die Betroffenen sind oft nicht so 106 00:08:52,840 --> 00:08:59,240 ganz unschuldig an dem ganzen Problem. Der Server auf dem alle Therapieunterlagen von 107 00:08:59,240 --> 00:09:03,120 allen finnischen Patienten und Patientin lagen war erstens eine 108 00:09:03,120 --> 00:09:07,840 selbstgebaute mySQL Datenbank die hingt zweitens im Netz war drittens über Google 109 00:09:07,840 --> 00:09:12,220 zu finden. Und nur durch ein Standardsystem Admin Passwort geschützt. 110 00:09:12,220 --> 00:09:22,560 Gemurmel Auslieferungszustand sozusagen. Wer macht so was? Er, das ist der CEO dieser 111 00:09:22,560 --> 00:09:27,080 Firma Vastaamo der war ganz betroffen darüber dass jemand seine Firma ruiniert 112 00:09:27,080 --> 00:09:31,320 hat, die ist daraufhin nämlich pleite gegangen und wird bis heute verklagt 113 00:09:31,320 --> 00:09:35,440 dafür. Der ist nicht betroffen darüber dass viele viele finnische Menschen 114 00:09:35,440 --> 00:09:41,160 erpresst wurden, sondern darüber dass eine schöne Firma kaputt gegangen ist. Noch ein 115 00:09:41,160 --> 00:09:44,440 Fakt zu den Patientendaten, den ich sehr interessant finde, sie waren nicht 116 00:09:44,440 --> 00:09:51,280 anonymisiert und nicht verschlüsselt. Sollte man nicht machen wenn man so heikle 117 00:09:51,280 --> 00:09:56,040 Gesundheitsdaten hat. Und die Firma hat auch Vorgaben des finnischen 118 00:09:56,040 --> 00:10:01,600 Gesundheitssystems umgangen zur Datensicherung. Aber zurück zu unserem 119 00:10:01,600 --> 00:10:09,840 Täter weil... Also er will 40 Bitcoin was tamamo zahlt nicht da haben wir ihn wieder 120 00:10:09,840 --> 00:10:16,480 den kermit, daraufhin hat er eine schlaue Idee, er will um seinen Druck zu erhöhen, 121 00:10:16,480 --> 00:10:19,280 weil das ist für den Erpressern immer sehr wichtig wie er auch eben schon gesehen 122 00:10:19,280 --> 00:10:24,120 hat, er will den Druck erhöhen und sagt ok, wenn ihr nicht zahlt, dann liege ich 123 00:10:24,120 --> 00:10:31,200 eben jeden Tag den ihr nicht zahlt liege ich 100 Patientenakten. Das Problem dabei 124 00:10:31,200 --> 00:10:34,920 war, er hat es in ein finnischen imageboard gemacht, ich hoffe ich spreche das richtig 125 00:10:34,920 --> 00:10:39,960 aus, yillilauter heißt es, das Problem dabei war, er hat so ein paar Informationen 126 00:10:39,960 --> 00:10:45,280 seines Servers von dem er ausgeleakt hat mitgeleakt, K lacht, Gemurmel IP-Adressen und 127 00:10:45,280 --> 00:10:49,440 solche Dinge. Worauf hin die Polizei dieser Spur folgen konnte und relativ 128 00:10:49,440 --> 00:10:53,320 schnell dahinter kam dass da so ein Netzwerk von Servern existiert, dass Jemand 129 00:10:53,320 --> 00:11:02,190 mit seiner Kreditkarte bezahlt hatte. einzelne Applaus Wird noch schöner. *Kai 130 00:11:02,190 --> 00:11:06,480 lächelt* Das war nicht der einzige Hinweis auf ihn, den die Polizei fand also, wastamo 131 00:11:06,480 --> 00:11:17,280 zaht nicht ja sind keine netten Leute. Der Mann reiste viel, er war er tauchte unter. 132 00:11:17,280 --> 00:11:20,760 Also die Polizei hatte schon seinen Namen, sie ahnte wer es ist und suchte ihn in 133 00:11:20,760 --> 00:11:25,720 Finnland und er ist abgehauen ins Ausland, hat aber die nicht sehr schlaue Idee 134 00:11:25,720 --> 00:11:28,152 gehabt darüber im Internet zu posten. 135 00:11:28,152 --> 00:11:28,200 Gelächter 136 00:11:28,200 --> 00:11:33,400 Ja er hat wieder auf diesem imageboard JimmiLauter ein Foto gepostet wo er an der 137 00:11:33,400 --> 00:11:37,720 französischen Küste es sich gut gehen lässt und sich diesen blödsiniges Wasser 138 00:11:37,720 --> 00:11:46,680 ins Gesicht sprüht. Und hat dieses Foto da gepostet unter anderem von einem der 139 00:11:46,680 --> 00:11:51,000 Server die im Zusammenhang mit der Tat standen, auch nicht so clever und noch 140 00:11:51,000 --> 00:11:55,720 viel lustiger, dieses Foto war so gut, dass die Polizei einen Fingerabdruck nehmen 141 00:11:55,720 --> 00:12:06,160 konnte. Viele lachen, Applaus 142 00:12:06,160 --> 00:12:11,240 Die finische Polizei wusste jetzt also wo sie ihn suchen muss, in Frankreich. 143 00:12:11,240 --> 00:12:15,920 Übrigens an dieser Stelle möchten wir einen kurzen Gruß an Starbug schicken, der 144 00:12:15,920 --> 00:12:22,120 hat nämlich 2014 in einem Vortrag genau das prophezeit. Damals hat er von einem 145 00:12:22,120 --> 00:12:25,560 Foto von Ursula von der Leihen, das in der Bundespressekonferenz aufgenommen worden 146 00:12:25,560 --> 00:12:32,000 war den Daumenabdruck extrahiert und bewiesen dass das geht, danke Starbug! Die 147 00:12:32,000 --> 00:12:41,261 finnische Polizei hat dir zugeschaut. Applaus 148 00:12:41,261 --> 00:12:45,060 Nachdem wir uns jetzt mit ein paar Amateuren auseinandergesetzt haben die 149 00:12:45,060 --> 00:12:50,568 eure Unternehmen ruinieren können oder sich selbst oder beides, wollen wir uns mal 150 00:12:50,568 --> 00:12:54,407 kurz ein bisschen mit Profis auseinandersetzen. Und für mich ist das 151 00:12:54,407 --> 00:12:59,960 ein bisschen ärgerlich, weil ich darüber in vielen Vorträgen seit nun mehr 7 Jahren 152 00:12:59,960 --> 00:13:05,480 rede ja? Und zwar Ransomware es ist wirklich nichts Neues aber ich möchte kurz 153 00:13:05,480 --> 00:13:10,260 eine kleine verkürze subjektive Geschichte der Ransomware erzählen. Ungefähr 2016 154 00:13:10,260 --> 00:13:15,194 ging es los mit locky, das war so eine Ransomware fürs Privatkundengeschäft hat 155 00:13:15,194 --> 00:13:19,438 irgendwie so local host sofort verschlüsselt und irgendwas im Bereich von 156 00:13:19,438 --> 00:13:24,484 paar 100 Euro verlangt ja? Es kam dann später wannacry, das war im Prinzip auch so 157 00:13:24,484 --> 00:13:29,058 eine local host randsomeware aber verbunden mit dem eternal blue Exploit hat 158 00:13:29,058 --> 00:13:34,113 also im lokalen Netz nach SMB shares gecheckt und die auch noch mal infiziert 159 00:13:34,113 --> 00:13:39,239 ja. Also ging so ein bisschen weiter rein. Irgendwann 2018 müsste ryuk damit 160 00:13:39,239 --> 00:13:44,431 angefangen haben zu erkennen, dass das Backup der natürliche Feind der Ransomware 161 00:13:44,431 --> 00:13:49,526 ist und hat sich darauf konzentriert in Richtung ad compromise zu gehen also 162 00:13:49,526 --> 00:13:53,266 komplette Active Directory zu übernehmen und von dort aus in meisten Leute hängen 163 00:13:53,266 --> 00:13:57,254 ja dummerweise ihren Backup Server ins Active Directory, was die schlechteste 164 00:13:57,254 --> 00:14:02,064 Idee ist die man haben kann, und dann zerstören sie also erst die Backups und 165 00:14:02,064 --> 00:14:06,010 rollen dann über eine Group Policy die Ransomware auf allen Hosts aus. Ja das fing 166 00:14:06,010 --> 00:14:16,098 so ungefähr 2018 an und 2019 fing es an dass maze sich auch so ein bisschen mehr 167 00:14:16,098 --> 00:14:20,734 auf fileshares spezifisch konzentriert hat und auf das Modell der Double extortion. 168 00:14:20,734 --> 00:14:24,455 Double extortion könnt ihr euch so vorstellen dass man.. Ich erkläre es 169 00:14:24,455 --> 00:14:29,663 gleich ne, weil ich möchte eigentlich noch mal kurz darauf reingehen wie katastrophal 170 00:14:29,663 --> 00:14:34,620 es ist dass wir 2023 noch darüber reden ja? Seit 2019 mindestens ist das die 171 00:14:34,620 --> 00:14:39,191 gleiche Masche, seit 2016 ist es ein Geschäftsmodell und es sollte einfach so 172 00:14:39,191 --> 00:14:42,821 sein wie in jedem IT security lifeecycle, du hast eine Prävention wenn die 173 00:14:42,821 --> 00:14:46,515 fehlschlägt hast du eine Detektion und wenn die fehschlägt hast eine Recovery. 174 00:14:46,515 --> 00:14:50,314 Die meisten Leute gehen davon aus, dass es vielleicht nicht ganz so gut bei Ihnen 175 00:14:50,314 --> 00:14:53,705 aussieht ne, haben eine Prävention vielleicht eine Detektion und die Recovery 176 00:14:53,705 --> 00:14:58,860 eigentlich nicht ganz so gut. Aber wie es wirklich in der Realität für sie aussieht 177 00:14:58,860 --> 00:15:03,452 so... und wenn man das mal nicht grafisch versinicht sondern so wie dann eine 178 00:15:03,452 --> 00:15:08,258 Webseite aussieht, das wäre jetzt hier, ich glaube Blackcat Alfi die die vor 2 D 179 00:15:08,258 --> 00:15:13,375 Wochen hochgegangen sind dann sieht das ungefähr so aus du hast eine Webseite 180 00:15:13,375 --> 00:15:17,219 Forderung das ist ein Hidden Service und da wird dir dann erklärt wie du Bitcoin 181 00:15:17,219 --> 00:15:21,054 kaufen kannst. Habe ich in Hirne hacken schon ausführlich erklärt. die Leute die 182 00:15:21,054 --> 00:15:25,752 die Webseite sehen führen dann als nächstes ungefähr zu dieser Situation: 183 00:15:25,752 --> 00:15:29,402 "Have you tried paing the ransome"? Weil das die einzige Möglichkeit 184 00:15:29,402 --> 00:15:33,400 ist an die Dateien wieder ran zukommen. Wenn man das tut, sieht 185 00:15:33,400 --> 00:15:38,945 eine Seite ungefähr so aus, wo es ein bisschen Instruktionen gibt wie man die 186 00:15:38,945 --> 00:15:44,521 Dateien wiederherstellt und außerdem sind die Angreifer so nett, sie versprechen den 187 00:15:44,521 --> 00:15:48,800 kompletten Bericht, wie sie reingekommen sind und ich denke natürlich als Security 188 00:15:48,800 --> 00:15:52,977 Konz, alles klar ein ordentlicher Bericht ja cool so ein redteam Bericht da bin ich 189 00:15:52,977 --> 00:15:57,621 mal gespannt. Das ist er ja und eine Standardantwort, die kommt in dem Moment wo 190 00:15:57,621 --> 00:16:01,923 die Bitcoins gezahlt sind, erscheint die im Chat ja so quasi in in der gleichen 191 00:16:01,923 --> 00:16:06,329 Zeit. Das heißt die ist hard codet in dieser Webseite drin und das bedeutet diese Web 192 00:16:06,329 --> 00:16:10,453 diese Angreifer sind absolute onetrack Ponys die haben es hier mit meterpreter 193 00:16:10,453 --> 00:16:14,930 gemacht, ja ihr könnt euch ungefähr vorstellen wie wenig idea du brauchst, 194 00:16:14,930 --> 00:16:20,589 damit man meterpreter nicht erkennt ja und diese Angreifer sind onetrack Ponys und 195 00:16:20,589 --> 00:16:26,200 du bist ihr Opfer. Wir alle kennen diesen klugen Satz, übrigens kann man immer sagen, 196 00:16:26,200 --> 00:16:29,953 kann man immer sagen, nur nicht beim incident. Der kommt 197 00:16:29,953 --> 00:16:36,321 Lachen, Applaus 198 00:16:36,321 --> 00:16:48,989 also kommt nicht an, kommt nicht an. Ja learn from my fail ja? Lachen 199 00:16:48,989 --> 00:16:51,804 Ich habe gerade gesagt wir sprechen über double extortion, double extortion 200 00:16:51,804 --> 00:16:55,717 funktioniert so: die Angreifer haben gemerkt dass das Backup für sie ein 201 00:16:55,717 --> 00:16:59,918 Problem ist und sagen Backup haben wir auch. L lacht Und das werden wir jetzt 202 00:16:59,918 --> 00:17:04,416 veröffentlichen, ja? Das heißt sie erpressen dich einerseits oder sie 203 00:17:04,416 --> 00:17:08,670 verlangen Lösegeld für deine Daten und erpressen dich gleichzeitig mit der 204 00:17:08,670 --> 00:17:12,969 Veröffentlichung, haben also jetzt zwei Druckmittel gegen dich mit denen sie 205 00:17:12,969 --> 00:17:18,143 versuchen Geld von dir zu bekommen. Und das Ganze passiert jetzt seit vielen 206 00:17:18,143 --> 00:17:23,768 vielen Jahren und irgendwie Kai schreibt drüber, ich rede drüber, die Deutsche Bahn 207 00:17:23,768 --> 00:17:28,907 hat schon mal auf ihren Anzeigetafeln gehabt, ja? lachen Aber niemand kümmert 208 00:17:28,907 --> 00:17:33,816 sich drum und wenn du die Zeitung aufmachst ja, was was wird diskutiert? 209 00:17:33,816 --> 00:17:39,904 Cyberwar... Was wäre wie fürchterlich wäre das Kai, wenn der Cyberwar jetzt käme? 210 00:17:39,904 --> 00:17:43,383 Kai: Ja schrecklich oder? L: Das wäre doch total schlimm ja. 211 00:17:43,383 --> 00:17:48,013 K: Ich mir wird langsam langweilig über Ransomeware zu schreiben ganz ehrlich weil es so 212 00:17:48,013 --> 00:17:52,520 vorhersagbar ist. Und wenn man sich nur einen kurzen Moment vorstellen würde 213 00:17:52,520 --> 00:17:56,788 überall in Deutschland würden maskierte Menschen in große und kleine Firmen 214 00:17:56,788 --> 00:18:02,757 reinrennen ja? Würden die Computer nehmen und wieder rausrennen, was wäre in diesem 215 00:18:02,757 --> 00:18:08,556 Land los? Also bei großen Firmen ja, Metro und wenzo, Continental und wen so alles 216 00:18:08,556 --> 00:18:12,091 erwischt hat da rennen 100 Leute rein ja, reißen alle Rechner aus der Wand und 217 00:18:12,091 --> 00:18:16,311 verschwinden, was wäre in diesem Land los wenn das jeden Tag dreimal passiert, ja? 218 00:18:16,311 --> 00:18:20,289 Wir hätten den Kriegszustand den Cyberwar! Keinen interessiert, weil es digital 219 00:18:20,289 --> 00:18:24,750 passiert und das verstehe ich immer nicht. L: Ich denke also der Cyberwar, den sich 220 00:18:24,750 --> 00:18:28,704 vor dem sich alle fürchten übrigens ein absolut fürchterlicher Begriff, den ich 221 00:18:28,704 --> 00:18:32,222 mir nicht zu eigen machen möchte, die Schrecken des Krieges sind unvergleichbar 222 00:18:32,222 --> 00:18:36,226 mit ein paar Scharmützeln im Internet. Ja das ist klar vorweg zu sagen, aber wenn wir 223 00:18:36,226 --> 00:18:40,018 uns davor fürchten digital angegriffen zu werden, dann könnten wir wahrscheinlich im 224 00:18:40,018 --> 00:18:43,878 Moment irgendwann mal zu der Ansicht kommen, dass wir das falsche fürchten und 225 00:18:43,878 --> 00:18:47,903 es jetzt schon schlimmer ist, als wir fürchten und wir müssen die bittere 226 00:18:47,903 --> 00:18:52,418 Erkenntnis sehen, dass wir längst dagegen hätten etwas unternehmen können und wenn 227 00:18:52,418 --> 00:18:56,244 irgendwann einmal der große Cyberwar losgeht, werden die Angreifer auch nicht 228 00:18:56,244 --> 00:19:00,652 anders vorgehen als die Angreifer, die uns heute schon Millionen und Milliarden 229 00:19:00,652 --> 00:19:05,857 Schäden verursachen. Deswegen gibt es in diesem Vortrag die einzig wichtige Folie, 230 00:19:05,857 --> 00:19:11,257 die ich einmal kurz runterrattern möchte bevor wir uns wieder den Angreifern widmen 231 00:19:11,257 --> 00:19:15,224 und den schönen Verhandlungen mit ihnen. Was ihr in einer solchen Situation 232 00:19:15,224 --> 00:19:18,801 braucht, wenn ihr von Ransomware getroffen seid, ist ein priorisiertes 233 00:19:18,801 --> 00:19:23,417 Wiederherstellungskonzept. Euer Problem ist nicht, dass alle Dateien weg sind, euer 234 00:19:23,417 --> 00:19:27,446 Problem ist dass die Dateien von gestern und von vor zwei Wochen weg sind. Das 235 00:19:27,446 --> 00:19:31,183 langzeitarchiv ist gar nicht das Problem, das Problem was diese Unternehmen haben 236 00:19:31,183 --> 00:19:34,786 ist dass die Produktion oder der Geschäftsbetrieb unmittelbar sofort 237 00:19:34,786 --> 00:19:39,860 stillsteht und das kostet sehr viel Geld. Was gibt's also für Best Practices für 238 00:19:39,860 --> 00:19:43,974 eure Backups? Sie müssen unveränderbar sein Write only Backups, ein NutzerIn darf 239 00:19:43,974 --> 00:19:47,962 nicht in der Lage sein ihre eigenen Backups zu löschen und es darf auch nicht 240 00:19:47,962 --> 00:19:52,390 ein Admin oder eine Admina in der Lage sein diese Backups zu löschen zumindest 241 00:19:52,390 --> 00:19:56,733 nicht mit den Rechten im AD vergeben werden. Es muss unabhängig sein auf einer 242 00:19:56,733 --> 00:20:01,294 eigenen Infrastruktur, es muss isoliert sein, also komplett getrenntes identity 243 00:20:01,294 --> 00:20:05,883 Access Management, keinesfalls im Active Directory. Wer den Backup Server 244 00:20:05,883 --> 00:20:10,571 administriert, geht mit einer Tastatur und einem Bildschirm in den Serverraum und 245 00:20:10,571 --> 00:20:14,258 steckt die da dran. Keine remote administration von dem Backup Server, 246 00:20:14,258 --> 00:20:18,721 keine Verbindung in euer ad. Wir machen natürlich versionierte Backups, damit wir 247 00:20:18,721 --> 00:20:22,426 auch frühere Zustände wiederherstellen können, wir machen verifizierte Backups. 248 00:20:22,426 --> 00:20:26,751 Man könnte das ja einfach mal prüfen bevor man es braucht, ja! Wie viel Geld könnte 249 00:20:26,751 --> 00:20:31,540 man da sparen, wenn man auch noch einen Fehler entdeckt, wir überwachen das Backup 250 00:20:31,540 --> 00:20:36,008 also ist ein Backup erfolgt und ist der der Datenbestand auf dem fallserver 251 00:20:36,008 --> 00:20:39,920 integer! Und vor allem machen wir unsere Backups risikobasiert also die 252 00:20:39,920 --> 00:20:44,984 Wiederherstellung des Geschäftsmodells wird priorisiert. Die meisten Daten die 253 00:20:44,984 --> 00:20:49,851 Ihr nicht bra.. Ihr Backup werdet ihr im akuten Fall nicht brauchen, ja wenn ihr 254 00:20:49,851 --> 00:20:53,258 mal jemanden seht, der dann so ankommt sagt, wir haben alles auf Tape und du 255 00:20:53,258 --> 00:20:57,453 denkst okay weißt du wie lange das dauert dieses Tape einzuspielen? lächelt Dann 256 00:20:57,453 --> 00:21:04,182 verstehst du dass potentiell auch Leute diese Zahlungen in Erwägung ziehen die 257 00:21:04,182 --> 00:21:08,606 Backups haben. Also bitte bitte bitte das sind alle Lehren die es hier zu ziehen 258 00:21:08,606 --> 00:21:12,040 gibt, und das das was wir gleich über Verhandlungen berichten, das vergesst ich 259 00:21:12,040 --> 00:21:15,671 am besten wieder ganz schnell, das war nur um euch hierher zu locken, weil uns Leute 260 00:21:15,671 --> 00:21:18,987 immer danach fragen, wie denn so eine Verhandlung läuft. einzelne Applaus 261 00:21:18,987 --> 00:21:27,902 K: Ich entschuldige mich für diesen Vortrag. Applaus 262 00:21:27,902 --> 00:21:31,950 K: Es war etwas lehrerhaft aber ich glaube es musste sein. Kommen wir zurück zu den 263 00:21:31,950 --> 00:21:36,004 lustigen Leuten. Wir sind ja durch eine Verkettung unwahrscheinlicher Zufälle 264 00:21:36,004 --> 00:21:40,637 beide Psychologen mal gewesen und haben noch dazu dasselbe an delben Uni studiert, 265 00:21:40,637 --> 00:21:43,979 wie wir später festgestellt haben, deswegen interessieren uns natürlich die 266 00:21:43,979 --> 00:21:48,316 psychologischen Effekte dahinter und auch die Psyche der Täter, deswegen wollen wir 267 00:21:48,316 --> 00:21:52,025 hier so ein paar vorstellen, damit ihr eine Vorstellung dafür kriegt, was sind das für 268 00:21:52,025 --> 00:21:56,364 Leute eigentlich ja? Warum sind die kriminell, was tun die so. Und wir fangen 269 00:21:56,364 --> 00:22:02,803 mit einem sehr Prominenten und schillernen Fall an, ihr seht da Maxim Jakubetz, das 270 00:22:02,803 --> 00:22:08,121 ist ein junger Russe. Ich habe ihn hier sowas wie der Pate genannt, weil er ist 271 00:22:08,121 --> 00:22:11,357 eine Ausnahme, er ist ein sehr klischeehafter krimineller Typ, wie ihr 272 00:22:11,357 --> 00:22:16,200 gleich noch sehen werdet. Also nicht nur ja das ist ein Lamborghini Huracan, den er 273 00:22:16,200 --> 00:22:20,365 da fährt, das ist seiner. Das Klischee geht noch viel weiter, wenn ihr das 274 00:22:20,365 --> 00:22:24,839 Nummernschild betrachtet, falls ihr russisch könnt, da steht W o R nicht Bor, 275 00:22:24,839 --> 00:22:30,907 sondern wor und wor übersetzt heißt Dieb lächelt. Seine ganze Gang fuhr mit 276 00:22:30,907 --> 00:22:34,465 diesen Nummernschildern rum. einzelne Gelächter 277 00:22:34,465 --> 00:22:38,848 Das konnte er problemlos tun, weil er hat die Tochter eines FSB Offiziers geheiratet 278 00:22:38,848 --> 00:22:46,380 und muss in Russland nicht viel fürchten. Klischeehaft weil er so richtig Bling 279 00:22:46,380 --> 00:22:52,809 Bling protzt mit seinem Reichtum und er und seine Freunde sowas machen. Das ist 280 00:22:52,809 --> 00:22:57,756 die Lomonosof Universität mitten in Moskau, niemand stört sie dabei, wie 281 00:22:57,756 --> 00:23:03,060 gesagt FSB Offizier. Polizei bestochen und so weiter. Diese Gang, die sind sowas wie 282 00:23:03,060 --> 00:23:07,198 die Großväter der Ransomware, die nannten sich evil Cop, auch da waren sie relativ 283 00:23:07,198 --> 00:23:11,851 eindeutig in ihrer Bezeichnung. Gelächter 284 00:23:11,851 --> 00:23:14,760 Die haben schätzungsweise, es sind immer Schätzungen von Ermittlern, deswegen wer weiß 285 00:23:14,760 --> 00:23:19,220 ob es stimmt und wie viel es wirklich war, die haben mit ihrem Banking Trojaner 286 00:23:19,220 --> 00:23:24,786 namens Zeus oder süß ca 70 Millionen Dollar erpresst indem sie Online Banking 287 00:23:24,786 --> 00:23:29,761 Informationen abgesaugt und dann ausgenutzt haben. Und ja die werden 288 00:23:29,761 --> 00:23:36,332 gesucht, ne? Also das FBI hätte sie gern, sie sitzen in Russland, werden da auch 289 00:23:36,332 --> 00:23:41,071 nicht wegfahren. Und sicher auch kein Urlaub wo anders machen als auf der Krim. 290 00:23:41,071 --> 00:23:45,507 Das Interessante ist, weswegen wir sie hier drin haben, sie sind wirklich so was wie 291 00:23:45,507 --> 00:23:50,721 die Großväter der Ransomware Modelle, die uns heute plagen. Also die Wirtschaft 292 00:23:50,721 --> 00:23:55,860 mehrheitlich. Sie haben RAS erfunden Ransomware As a Service also sie haben 293 00:23:55,860 --> 00:24:00,268 irgendwann aufgehört das Zeug selber einzusetzen, sie haben es vermietet 294 00:24:00,268 --> 00:24:05,535 verkauft. Hier sind sie noch mal ein bisschen größer nette junge Leute. Sie 295 00:24:05,535 --> 00:24:09,666 haben angefangen ihre kriminellen Fähigkeiten aufs Programmieren zu 296 00:24:09,666 --> 00:24:13,848 beschränken und anschließend in kriminellen Forum ihre Tools anzubieten, 297 00:24:13,848 --> 00:24:18,290 und wie sehen Leute aus die sowas dann weiter verkaufen? So 298 00:24:18,290 --> 00:24:20,795 Gelächter 299 00:24:20,795 --> 00:24:27,690 das ist Daniel Schukin, der wurde so noch nicht öffentlich genannt, der ist einer 300 00:24:27,690 --> 00:24:30,960 der Menschen die davon lebt diese Vermietung zu organisieren, 301 00:24:30,960 --> 00:24:34,526 höchstwahrscheinlich, muss ich an der Stelle sagen, er ist auch nicht 302 00:24:34,526 --> 00:24:37,795 verurteilt, hat auch Russland bis jahrelang nicht verlassen. Das da ist in 303 00:24:37,795 --> 00:24:41,634 Antalia, da glaubt er noch reisen zu können, da hat er diese Yacht gemietet mit 304 00:24:41,634 --> 00:24:48,850 Freunden zusammen. Wer ist dieser Mensch? Auch ein junger Russe, etwas begabt was 305 00:24:48,850 --> 00:24:54,153 die Technik angeht, lebt in Krasnodar, mag BMWs und Gucci und große Feste, zeigt sich 306 00:24:54,153 --> 00:24:59,805 gern mit seiner Frau und mit Freunden den er das Essen bezahlt, der hat Webseiten 307 00:24:59,805 --> 00:25:06,101 für Online Casinos und Crypto und anderen Schmuddelkram und der vermietet oder hat 308 00:25:06,101 --> 00:25:11,647 vermietet REvil, ein weiteres großes Ransomware, Familienmodell. Und er scheint 309 00:25:11,647 --> 00:25:17,051 nicht schlecht davon zu leben, hier ist er wieder, breites Lächeln. Das im Arm ist 310 00:25:17,051 --> 00:25:20,785 seine Frau, die tut hier nichts zur Sache, deswegen ist sie so ein bisschen 311 00:25:20,785 --> 00:25:26,444 ausgeblendet. Und leider wollte der nicht mit uns reden, ich weiß auch nicht warum, 312 00:25:26,444 --> 00:25:29,171 wir haben es versucht, also ich habe viele E-Mails geschrieben, die er nie 313 00:25:29,171 --> 00:25:33,983 beantwortet hat. Das Interessante an dieser Stelle, man beachte seine Uhr, 314 00:25:33,983 --> 00:25:39,578 falls Sie die erkennen könnt, hier ist sie größer. Das ist eine vangard encrypto also 315 00:25:39,578 --> 00:25:44,235 die Uhr allein kostet schon so 50 bis 70 000 € wenn man auf so hässliche Uhren 316 00:25:44,235 --> 00:25:50,155 steht, und statt der 12 ist da ein QR-Code eingraviert, damit wirbt die Firma dass 317 00:25:50,155 --> 00:25:54,105 man da seine Bitcoin Wallet eingravieren kann. 318 00:25:54,105 --> 00:25:58,960 Applaus, L, K und Alle lachen 319 00:25:58,960 --> 00:26:02,718 Die öffentliche die öffentliche das muss man sich auch erstmal leisten können. 320 00:26:02,718 --> 00:26:07,370 Genau, wir konnten sie leider nicht entschlüsseln, also ich habe es versucht 321 00:26:07,370 --> 00:26:23,801 aber wir konnten sie leider nicht lesen. Das FBI konnte es. Lachen, Applaus 322 00:26:23,801 --> 00:26:28,457 Das FBI hat gerade erst noch gar nicht so lange her 317000 von ihnen beschlagnahmt, 323 00:26:28,457 --> 00:26:33,480 ne also die Crypto sind genau in den Händen des FBI. Ich glaube übrigens FBI ist der 324 00:26:33,480 --> 00:26:38,820 größte Halter von Bitcoins überhaupt weltweit, oder? Viele lachen 325 00:26:38,820 --> 00:26:43,996 So er selbst wurde nicht gefasst aber junge Russen, die sich für unverwundbar 326 00:26:43,996 --> 00:26:47,676 halten, das ist ein wichtiger Aspekt dabei, weil sie entweder Behörden 327 00:26:47,676 --> 00:26:52,547 bestechen oder direkt in Verbindung stehen mit Behörden, die sind so relativ die 328 00:26:52,547 --> 00:26:57,580 bilden so eine relativ kleine Gruppe der Hinterleute dieser ganzen Ransomware 329 00:26:57,580 --> 00:27:03,273 Modelle, die sind aber nicht die große Masse, die sind wirklich Ausnahmen. Die 330 00:27:03,273 --> 00:27:11,463 die die eigentliche Arbeit machen, die sehen anders aus. Das hier ist eine 331 00:27:11,463 --> 00:27:16,753 Wohnung in einem relativ runtergekommenen Neubaublock in Harkiv in der Ukraine 332 00:27:16,753 --> 00:27:22,787 Straße ist 23 August, wen es interessiert. Den Namen nenne ich hier nicht, weil dieser 333 00:27:22,787 --> 00:27:27,048 Mensch nie verurteilt wurde und nicht mal angeklagt, der wurde laufen gelassen, ich 334 00:27:27,048 --> 00:27:32,195 erzähle gleich warum. Deswegen hier nur sein Name in dem Internet unterwegs war 335 00:27:32,195 --> 00:27:38,981 Jeep. Der erklärt sich auch gleich. Dieser Mann war für emotet unterwegs. Emotet 336 00:27:38,981 --> 00:27:46,218 ebenfalls eine riesige Ransomware Familie ja, die weltweit tausende Opfer verursacht 337 00:27:46,218 --> 00:27:52,474 hat. Das BKA nannte emotet einen der gefährlichsten Trojaner weltweit und BSI 338 00:27:52,474 --> 00:27:56,528 Chef Arne Schönbum ex BSI Chef Arne Schönbum, falls sich noch jemand an ihn 339 00:27:56,528 --> 00:28:03,149 erinnert, nannte es den König der Schadsoftware, aber und deswegen zeigen 340 00:28:03,149 --> 00:28:09,798 wir es hier auch emotet machte Fehler. Die haben einen Server in Brasilien offen 341 00:28:09,798 --> 00:28:14,130 gelassen, so dass dort Serverlocks rumlagen, die Ermittlungsbehörden finden 342 00:28:14,130 --> 00:28:18,538 konnten und dank dieser Serverlocks hangelten Sie sich durch die gesamte 343 00:28:18,538 --> 00:28:24,500 Infrastruktur dieser Gruppe und kamen zumindest nach Angaben des BKA zu dieser 344 00:28:24,500 --> 00:28:29,127 Wohnung, dort laufen alle Fäden zusammen und deswegen gab's da 2021 diese 345 00:28:29,127 --> 00:28:34,189 Wohnungsdurchsuchung, polizia steht da auf der Jacke, also die ukrainische Polizei 346 00:28:34,189 --> 00:28:38,563 bricht da gerade ein, BKA Beamte waren dabei, ja also da liefen alle Fäden von 347 00:28:38,563 --> 00:28:43,070 emotet zusammen hier. L: Sieht aus wie bei mir. 348 00:28:43,070 --> 00:28:49,045 viele lachen K: Okay du hast auch Flohmarkt zeug? lächelt 349 00:28:49,045 --> 00:28:53,110 K: Das ist der Schreibtisch dieses Mannes und das die Wohnung eines damals 47 Jahre 350 00:28:53,110 --> 00:28:58,026 alten Ukrainers, seines Zeichens Systemadministrator für Linux und der 351 00:28:58,026 --> 00:29:02,904 wartet Server für kleine Firmen. Und er tut das für kleines Geld. Und der hat mit 352 00:29:02,904 --> 00:29:08,161 uns geredet, der war sehr nett und sagte also das auf diesen Backends gefährliche 353 00:29:08,161 --> 00:29:12,799 trojaner waren, ich wusste es nicht, er hat sich nicht dafür interessiert 354 00:29:12,799 --> 00:29:19,577 wahrscheinlich. Er hat 12 Server von emotet gewartet und nahm dafür $40 pro 355 00:29:19,577 --> 00:29:27,640 Server und Monat $480. Ich finde es interessant, weil auch so gigantische 356 00:29:27,640 --> 00:29:31,574 Erpressungsmodelle ja, wir reden über gigantische Erpessungsmodelle die weltweit 357 00:29:31,574 --> 00:29:35,854 funktionieren, basieren auf solcher Infrastruktur. Nach Auskunft der Polizei 358 00:29:35,854 --> 00:29:40,580 die da in der Wohnung war, da sieht man sie noch mal, war ein Großteil davon vom 359 00:29:40,580 --> 00:29:48,180 Flohmarkt, Jahre alt. Übrigens könnt ihr Kyrillisch lesen? Da steht Department 360 00:29:48,180 --> 00:29:51,734 KeeberPolitsii, finde ich toll, falls irgendjemand hiermer so Aufkleber macht, 361 00:29:51,734 --> 00:29:56,565 ich hätte gern ein paar davon. Gelächter 362 00:29:56,565 --> 00:30:01,208 L: Kommen wir zurück zu einer anderen Ransomware Gang, ich habe ja gesagt, dass 363 00:30:01,208 --> 00:30:05,998 ich öfter mal die Freude habe mich mit denen auseinandersetzen zu dürfen, 364 00:30:05,998 --> 00:30:10,297 hauptsächlich deshalb weil Leute denken ich könnte ihn Bitcoin organisieren, ich 365 00:30:10,297 --> 00:30:16,749 habe keine Ahnung wie auf die Idee kommen aber irgendwie klappt's dann auch. So 366 00:30:16,749 --> 00:30:21,062 sieht dann so eine Ransom Note aus, die liegt auf deinem Desktop und angegeben 367 00:30:21,062 --> 00:30:25,732 wird halt ein Tor hinden Service und in diesem Fall ein Login und wenn man da 368 00:30:25,732 --> 00:30:29,572 drauf klickt kommt halt so ein Chat, ja ist etwas andere Gang jetzt in diesem 369 00:30:29,572 --> 00:30:35,519 Fall, mal Screenshot von blackbuster rausgesucht und die sagen also sie wollen 370 00:30:35,519 --> 00:30:41,210 Geld haben. Und jetzt beginnt der Moment für den sich so viele Leute interessieren, 371 00:30:41,210 --> 00:30:44,749 ich werde also immer nach Vorträgen gefragt, dass ich genau das mal 372 00:30:44,749 --> 00:30:48,128 beschreiben soll und wie ich gerade schon sagte ich beschreibe das nicht ohne vorher 373 00:30:48,128 --> 00:30:51,540 zu sagen, wie man sich davor schützen kann. Weil das ist die Situation in der 374 00:30:51,540 --> 00:30:55,200 man wirklich nicht sein möchte, ja. Der Chat geht natürlich ein bisschen länger, 375 00:30:55,200 --> 00:30:59,540 ich habe mich jetzt mal so inhaltlich grob zusammengefasst. Wir veröffentlichen in 10 376 00:30:59,540 --> 00:31:03,803 Tagen, wir haben einen Decrypter, wir wollen in diesem Beispiel 100 Millionen, 377 00:31:03,803 --> 00:31:07,625 ja. Hab jetzt einfach mal 100 genommen, damit ihr ungefähr die Relationen sieht, 378 00:31:07,625 --> 00:31:13,920 die die Verhandlung betreffen. Und man sagt natürlich erstmals, Junge, Beweis du 379 00:31:13,920 --> 00:31:16,962 doch bitte erstmal dass du die Dateien hast ja, also vorher stellt man sich 380 00:31:16,962 --> 00:31:20,680 erstmal so ein bisschen doof, es ist auf jeden Fall klug irgendwie so ein paar doofe 381 00:31:20,680 --> 00:31:25,374 Sachen zu fragen ne, was ist BTC irgendwie sowas um den irgendwie zu vermitteln, dass 382 00:31:25,374 --> 00:31:30,464 man relativ dumm ist, ja? Man sagt dann so, ok, aber Beweis doch mal bitte dass Du 383 00:31:30,464 --> 00:31:33,243 die Dateien hast, dann sagen die kein Thema, hier ist die Liste ja und dann 384 00:31:33,243 --> 00:31:39,711 kriegt man so ein Output von tree oder find oder was auch immer ja? Und dann 385 00:31:39,711 --> 00:31:42,881 sagen sie such dir drei Dateien aus, die schicken wir dir ja, das heißt sie geben 386 00:31:42,881 --> 00:31:46,830 dir die komplette Liste, du kannst dir drei aussuchen, die kriegst du zurück und 387 00:31:46,830 --> 00:31:54,366 damit beweisen sie dass du dass sie diese dass Sie alle Dateien haben ne. Hier ist 388 00:31:54,366 --> 00:32:00,201 deine x Doc X Y xlsx und zxe, das Gute ist die die Liste der Dateien kriegst du für 389 00:32:00,201 --> 00:32:05,445 umme ja und die brauchst du um den Schaden abzuschätzen, der beispielsweise bei einer 390 00:32:05,445 --> 00:32:10,160 Veröffentlichung droht, potenziell aber z.B auch für die dsgvo Meldung also diese 391 00:32:10,160 --> 00:32:14,723 die Liste an Dateien gibt's kostenlos und in vielen Fällen selbst, wenn man gar 392 00:32:14,723 --> 00:32:18,901 keine Absicht hat zu bezahlen, lohnt es sich die sich zu organisieren ja? 393 00:32:18,901 --> 00:32:25,086 Kostenlose Leistung, die man hier kriegt. viele lachen 394 00:32:25,086 --> 00:32:28,404 Und dann sagt man sowas wie du weißt du, wir stellen gerade von Tapes wieder her 395 00:32:28,404 --> 00:32:32,029 das dauert zwar ein bisschen, aber eigentlich sind wir hier guter Dinge. Dann 396 00:32:32,029 --> 00:32:36,520 sagen die, stell dir mal vor wenn wir das alles veröffentlichen und man sagt so ja 397 00:32:36,520 --> 00:32:42,340 eigentlich ist da jetzt nichts großartig kritisches dabei! Wir verkaufen das an die 398 00:32:42,340 --> 00:32:47,719 Konkurrenz! Auch immer ein sehr spannender Fall, ja, wenn man diese Gespräche führt 399 00:32:47,719 --> 00:32:50,470 ja und die Betroffen Unternehmen sagen, oh mein Gott die verkauft das an die 400 00:32:50,470 --> 00:32:53,900 Konkurrenz, oh mein Gott die Verkauf das an die Konkurrenz, wenn man sagt ok, pass 401 00:32:53,900 --> 00:32:58,155 auf, ich mache euch ein Angebot, ich gebe euch die Daten von der Konkurenz. Das 402 00:32:58,155 --> 00:33:01,861 werden wir nie machen! Ja okay aber eure Konkurrenz haltet ihr für so verkommen 403 00:33:01,861 --> 00:33:05,907 dass Sie von irgendwelchen Gangstern für Bitcoin eure Daten kaufen gelächter? 404 00:33:05,907 --> 00:33:10,120 Also sagt man, kannst du gern probieren wir gehen eigentlich nicht davon aus dass 405 00:33:10,120 --> 00:33:14,261 sie dir da sonderlich viel Geld für geben ja? Außerdem muss man tatsächlich sehr 406 00:33:14,261 --> 00:33:19,250 traurigerweise sagen die Veröffentlichung bringt meist einen sehr geringen Schaden 407 00:33:19,250 --> 00:33:26,324 für dich selber. Weiß auch der Gründer und CE von Motel One, Dieter Müller der sich 408 00:33:26,324 --> 00:33:31,567 nachdem dem Motel One gebreached wurde und alle Kundendaten ins Internet gegangen 409 00:33:31,567 --> 00:33:36,209 sind, geweigert hat mit den Leuten zu verhandeln und eventuell diesen Schaden 410 00:33:36,209 --> 00:33:42,148 von den Kunden abzuwenden ja? Der Mann hat geringe Ansprüche an sich selbst und hohe 411 00:33:42,148 --> 00:33:45,696 Ansprüche an den Staat, denn an der gesamten Misere ja dass alle Motel One 412 00:33:45,696 --> 00:33:50,114 Kunden jetzt mit übernachtungsdaten und allem im Internet stehen, ist natürlich 413 00:33:50,114 --> 00:33:54,795 der Staat schuld, denn der Staat hat noch keinen Weg gefunden seiner staatlichen 414 00:33:54,795 --> 00:33:59,153 Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen 415 00:33:59,153 --> 00:34:03,270 digitalen Angriffen zu schützen. Einzelne Applaus 416 00:34:03,270 --> 00:34:06,653 Kann natürlich jetzt auch nicht seine Schuld sein. Wie ich habe schon gesagt, 417 00:34:06,653 --> 00:34:11,729 der Mann hat geringe Ansprüche an sich selbst, hohe Ansprüche an den Staat, 418 00:34:11,729 --> 00:34:16,925 Coronazeiten waren irgendwo im Bereich 100 Millionen Coronahilfen, die der 419 00:34:16,925 --> 00:34:21,529 eingestrichen hat, dadurch hat Motel One am Ende seine Geschäftsergebnisse 420 00:34:21,529 --> 00:34:25,230 signifikant verbessern können und er hat noch ein paar Interviews gegeben, dass das 421 00:34:25,230 --> 00:34:29,207 eine Frechheit wäre und zu wenig. Gelächter 422 00:34:29,207 --> 00:34:32,640 Aber tatsächlich mal ne, man muss tatsächlich sagen Motel One hat de facto 423 00:34:32,640 --> 00:34:37,111 keinen Schaden dadurch, dass diese Daten veröffentlicht wurden. Irgendwann ich 424 00:34:37,111 --> 00:34:42,249 glaube es war man sieht es im Bild 2021 wurde extensure gebridged von Lockbit und 425 00:34:42,249 --> 00:34:46,875 das vll natürlich sehr interessant, also haben wir auf dem Lockbit Block so den 426 00:34:46,875 --> 00:34:50,170 Countdown geguckt und so ne und dann wurden irgendwann die Daten von extenser 427 00:34:50,170 --> 00:34:53,905 veröffentlichicht da hat man sich ja dann doch mal für interessiert, das war aber 428 00:34:53,905 --> 00:34:58,688 total so ein Einzeldownload ja, du konntest jede Datei einzeln, das war total 429 00:34:58,688 --> 00:35:03,065 unsortiert umständlich zeitaufwendig ja und die wurden auch immer wieder offline 430 00:35:03,065 --> 00:35:06,504 genommen und dann wurde die Deadline verlängert wann die released werden und 431 00:35:06,504 --> 00:35:11,816 irgendwie sind sie jetzt nicht mehr zu finden. Ich denke warum die Angreifer so 432 00:35:11,816 --> 00:35:17,551 und nicht anders veröffentlichen ist ganz klar, in dem Moment wo sie vollständig 433 00:35:17,551 --> 00:35:22,320 veröffentlichen, haben Sie Ihr Kind mit dem Bade ausgegossen, es wird Niemand mehr 434 00:35:22,320 --> 00:35:27,151 bezahlen. Wenn sie aber so scheibchenweise veröffentlichen, können sie potenziell 435 00:35:27,151 --> 00:35:31,688 noch weiter erpressen und dich doch überzeugen denen etwas Geld zu geben. Denn 436 00:35:31,688 --> 00:35:35,790 für sie ist das ja eine Alles oder Nichts Situation und diese Dateien zu 437 00:35:35,790 --> 00:35:40,044 veröffentlichen, dann haben sie halt statt irgendwie potenziell Millionen einfach nur 438 00:35:40,044 --> 00:35:44,251 ein mahnendes Beispiel für den nächsten und ein Fall, wo ich wieder erzählen kann, 439 00:35:44,251 --> 00:35:48,951 eigentlich kein Schaden entstanden. Wir haben auch darüber gesprochen, das nennt 440 00:35:48,951 --> 00:35:53,521 man dann also die Angreifer wollen Druck erhöhen ja, sie machen inzwischen auch mal 441 00:35:53,521 --> 00:35:57,770 die Meldung an an die Behörden für dich ja, auch da natürlich einfach um den Druck 442 00:35:57,770 --> 00:36:03,749 zu erhöhen, weil Druck ist alles was die haben, oder sie belästigen die Leute die 443 00:36:03,749 --> 00:36:09,766 nicht zahlen ja, rufen dann z.B dort an oder lassen dort anrufen oder erpressen 444 00:36:09,766 --> 00:36:13,541 eben die Kunden um den rufschaden irgendwie zu maximieren. Also die Gruppen 445 00:36:13,541 --> 00:36:18,796 arbeiten daran diesen Rufschaden zu vergrößern. Ja in unserem Beispiel sagen 446 00:36:18,796 --> 00:36:23,942 wir mal, wir würden jetzt irgendwie in Richtung einer Zahlung uns orientieren, 447 00:36:23,942 --> 00:36:28,489 dann sagen wir Bruder, wie sollen wir dir überhaupt vertrauen? Und dann sagt er, mein 448 00:36:28,489 --> 00:36:32,550 Freund wir sind die CyberSwan Gruppe, google uns, wir haben fünf Sterne auf yelp! 449 00:36:32,550 --> 00:36:37,681 viele lachen Und es ist es ist natürlich wirklich wichtig für diese Mechanik der 450 00:36:37,681 --> 00:36:41,625 Verhandlung zu wissen, die müssen auch ihren Ruf schützen. Wenn die euch 451 00:36:41,625 --> 00:36:46,500 betrügen, dann wird das ja bekannt und dann zahlt ihnen niemand mehr. Das heißt 452 00:36:46,500 --> 00:36:51,852 Vertrauen ist für die eine entscheidende Sache ja? Außerdem haben die auch den 453 00:36:51,852 --> 00:36:57,247 ganzen Rest des Internets noch vor sich, dass sie jetzt ein zweites Mal dich 454 00:36:57,247 --> 00:37:02,603 erpressen ist eher unwahrscheinlich. Aber dann sagst du so was wie ja boah das mit 455 00:37:02,603 --> 00:37:08,686 den Tapes kennt sie ja dauert ey... pass auf wir zahlen dir 25 Dann kommen wir wollen 456 00:37:08,686 --> 00:37:13,484 100 und du hast noch 7 Tage danach wird es teurer und dann denkst das ist natürlich 457 00:37:13,484 --> 00:37:18,275 jetzt auch wieder dieses Druck ne? Wir wollen mehr Geld später und dann sagst du 458 00:37:18,275 --> 00:37:23,268 ja pass auf Alter in 7 Tagen sind wir fertig, du kannst mir hier maximal 50 459 00:37:23,268 --> 00:37:28,071 Millionen sparen, das muss aber auch irgendwie businesscase für mich sein ich 460 00:37:28,071 --> 00:37:34,280 zahle dir 40 ja? Dann sagen die wir wollen 70, das unser letztes Angebot, es gilt nur 461 00:37:34,280 --> 00:37:39,699 24 Stunden und dann sagst du sowas wie, ey Junge, je länger das hier dauert, umso 462 00:37:39,699 --> 00:37:43,932 weniger ist deine Dienstleistung für mich Wert, ich stell ja hier gerade von Tapes 463 00:37:43,932 --> 00:37:48,760 wieder her. Und das ist der entscheidende Punkt in diesen Verhandlung für die 464 00:37:48,760 --> 00:37:52,163 Angreifer geht es um alles oder nichts, also die stehen vor einer Situation dass 465 00:37:52,163 --> 00:37:55,690 sie entweder von dir Geld bekommen oder gar nichts und dann haben Sie noch die 466 00:37:55,690 --> 00:37:58,870 Kosten dass sie deine Daten veröffentlichen müssen und genau da musst 467 00:37:58,870 --> 00:38:03,320 du diesem Druck wiederstehen, der zeitliche Druck wird von denen nur deshalb 468 00:38:03,320 --> 00:38:09,561 angebracht, weil sie also weil sie wissen, je länger Du nicht zahlst desto 469 00:38:09,561 --> 00:38:14,090 unwahrscheinlicher zahlst du. Insofern ist das durchaus sinnvoll in einer solchen 470 00:38:14,090 --> 00:38:18,829 Situation , wenn du die Zeit hast, auch tatsächlich auf Zeit zu spielen, weil die 471 00:38:18,829 --> 00:38:24,378 wissen, je länger der Spaß hier geht, umso unwahrscheinlicher zahlst du. Na gut dann 472 00:38:24,378 --> 00:38:30,374 kommt irgendwie so was, ja 60 Millionen weil Du es bist, letzte Preis ja? lachen Und dann sagst 473 00:38:30,374 --> 00:38:35,668 du, das ist der Moment den die Kunden meistens nicht wollen, ja? Dann sagst mal 474 00:38:35,668 --> 00:38:40,311 ok tut mir leid, ich erkläre die Behandlung für gescheitert, hätte hier eine Win-Win 475 00:38:40,311 --> 00:38:45,156 Situation werden können, aber na ja vielleicht beim nächsten Mal. 476 00:38:45,156 --> 00:38:50,177 viele lachen 477 00:38:50,177 --> 00:38:53,367 Und dann kommt, ok lass mich mal mit dem Boss reden. 478 00:38:53,367 --> 00:38:56,292 viele lachen 479 00:38:56,292 --> 00:39:00,140 Du verhandelst jetzt mit dem Level One Customer Support! Und der hat klare 480 00:39:00,140 --> 00:39:05,570 Grenzen und erst wenn der mit jemand anders reden muss über den Deal, den er dir 481 00:39:05,570 --> 00:39:10,170 machen kann, merkst du dass du vielleicht langsam in einen Bereich kommst der 482 00:39:10,170 --> 00:39:15,896 vielleicht für dich auch interessant ist ja? Natürlich kann auch das ein Spiel sein 483 00:39:15,896 --> 00:39:19,821 aber in diesem Fall werdet ihr gleich sehen war es nicht, es gibt einen Boss. 484 00:39:19,821 --> 00:39:24,339 Dann kommt eben so was her: ok 50% allerletzte Preis ja und dann sagst du 485 00:39:24,339 --> 00:39:28,617 sowas eh, woher weiß ich dass du die Datei überhaupt wieder herstellen kannst? Ja 486 00:39:28,617 --> 00:39:32,243 auch das erst ganz am Ende machen, weil das ja ein Interesse überhaupt 487 00:39:32,243 --> 00:39:36,771 signalisiert. Also die Prüfung, dass Sie Dateien wiederherstellen können. Jede 488 00:39:36,771 --> 00:39:41,040 Ransomware Gang bietet dafür an, schick mir zwei Dateien mein Freund, entschlüssel 489 00:39:41,040 --> 00:39:44,984 ich dir, kriegst du zurück, schickst Du ja hier ist A encrypted und B encrypted und 490 00:39:44,984 --> 00:39:49,265 dann schickt er dir die entschlüsselten Dateien zurück. Das ist ein sehr wichtiger 491 00:39:49,265 --> 00:39:53,505 Schritt den man keinesfalls vergessen darf! Du musst dich vergewissern, dass 492 00:39:53,505 --> 00:39:57,992 dein Freund die Dienstleistung auch wirklich erbringen kann, sonst riskierst 493 00:39:57,992 --> 00:40:02,318 du mit diesen Leuten hier zu tun zu haben. Das war wannacry, ihr erinnert euch, die 494 00:40:02,318 --> 00:40:07,480 ganze Ransomware hat in der Welt nur drei Bitcoin Adressen angegeben und, als ich die 495 00:40:07,480 --> 00:40:11,245 doppelten Screenshots gesehen habe mit dem gleichen Bitcoin Wallet, war mir auch 496 00:40:11,245 --> 00:40:15,114 sofort klar, die werden die Zahlung nicht zuordnen können, hier besteht keine 497 00:40:15,114 --> 00:40:21,250 Absicht der Wiederherstellung. Und war ja auch bei Wannacry nicht so. Also wichtig 498 00:40:21,250 --> 00:40:25,846 sicherstellen und erst spät sicherstellen, weil damit signalisierst du überhaupt 499 00:40:25,846 --> 00:40:30,566 Interesse an der ernsthaftes Interesse an der Wiederherstellung. Und dann kommen die 500 00:40:30,566 --> 00:40:34,889 klugen Leute und sagen, hey Vorsicht wenn du zahlst, dann hacken sie dich direkt 501 00:40:34,889 --> 00:40:39,547 wieder. Und das ist aber Quatsch, übrigens hier das ist also auf dem Sixpack steht 502 00:40:39,547 --> 00:40:44,279 Mythos auf dem nächsten Sixpack steht Realität, aber dol i kann nicht so gut 503 00:40:44,279 --> 00:40:47,859 schreiben wie ich. Die Realität ist lächeln 504 00:40:47,859 --> 00:40:50,624 der Rest des Internets wartet auf Sie, die haben überhaupt gar keinen Grund noch mal 505 00:40:50,624 --> 00:40:54,992 dich zu hacken, die geben auch übrigens Garantien dass diese Ransomware Gang dich 506 00:40:54,992 --> 00:41:00,543 nicht noch mal hackt. Es gibt aber genug Andere! Also früher oder später musst du 507 00:41:00,543 --> 00:41:06,921 dich schützen und ich kenne mehrere Fälle in den die CEOs oder der Vorstand, oder 508 00:41:06,921 --> 00:41:12,759 sonst was nach der Zahlung gesagt hat, jetzt haben wir es hinter uns lehnt euch 509 00:41:12,759 --> 00:41:19,305 zurück, fahrt die Systeme wieder hoch, alles rein ins ad und den MySQL Server in 510 00:41:19,305 --> 00:41:24,460 die Cloud und gebt ihm. Und kurze Zeit darauf war das Geschrei groß, ja? Also ihr 511 00:41:24,460 --> 00:41:29,380 kommt sowieso nicht drum herum euch besser zu schützen, am besten macht ihr das bevor 512 00:41:29,380 --> 00:41:34,600 ihr den Case habt, aber egal ob du zahlst oder nicht, die Anderen werden kommen, ja? 513 00:41:34,600 --> 00:41:39,324 Du hältst dir eine von 100 Gangs vom Leib und dummerweise machen die nicht so eine 514 00:41:39,324 --> 00:41:42,992 Garantie wie Schutzgeld, dass sie sagen pass auf wenn die anderen Gangs kommen 515 00:41:42,992 --> 00:41:45,302 dann prügeln wir die raus oder so. lachen 516 00:41:45,302 --> 00:41:49,721 Na ja dann sagen Sie, hier ist unser unsere Bitcoin Wallet ja die nehmen 517 00:41:49,721 --> 00:41:53,951 üblicherweise eine frische, brauchen sie auch damit sie erkennen, dass die Zahlung 518 00:41:53,951 --> 00:41:57,777 von dir ist. Du nimmst üblicherweise eine frische und schickst mal ein satoschi 519 00:41:57,777 --> 00:42:02,557 rüber, ja? Achtung, das ist interessanter Moment, weil dann sehen die wie viel Geld 520 00:42:02,557 --> 00:42:06,350 auf deinem Wallet liegt. Ja in dem Moment beweist du, dass du über ein über eine 521 00:42:06,350 --> 00:42:10,990 Summe verfügst. Es kann also durchaus auch interessant sein an der Stelle vielleicht 522 00:42:10,990 --> 00:42:15,970 doch nur 40 da liegen zu haben statt der 50 und zu sagen hey Scheiße, Freitagabend, 523 00:42:15,970 --> 00:42:22,573 du weißt wie das ist, neh, ich habe jetzt echt nicht... viele lachen 524 00:42:22,573 --> 00:42:28,326 Dann sagen sie, ist angekommen und dann schickst du den Rest und jetzt kommt sehr 525 00:42:28,326 --> 00:42:32,875 ein sehr wichtiger Hinweis, bezahle nur, wenn du ein Business Case hast. Du hast 526 00:42:32,875 --> 00:42:37,513 meistens keinen, das Einzige, was hier eine Rolle spielt ist, dass deine 527 00:42:37,513 --> 00:42:41,934 Wiederherstellung potentiell schneller geht. Alle sonstigen Folgekosten, die 528 00:42:41,934 --> 00:42:47,148 Systeme härten, die Systeme desinfizieren, Dinge maximal neu aufbauen, eine komplette 529 00:42:47,148 --> 00:42:51,270 Renovierung deiner Infrastruktur, die Kosten hast Du ohnehin, die hast du auch 530 00:42:51,270 --> 00:42:55,816 jetzt schon vor dir, weil du es e machen musst entweder bevor du gebreacht wurdest 531 00:42:55,816 --> 00:42:59,765 oder danach. Das heißt du musst diesen Case wirklich sehr genau durchrechnen 532 00:42:59,765 --> 00:43:04,061 bevor du in Erwägung ziehst eine solche Zahlung vorzunehmen. Wenn du es dann 533 00:43:04,061 --> 00:43:09,090 gemacht hast, kommt sowas wie Yow, wir haben deine Dateien gelöscht, hier ist das 534 00:43:09,090 --> 00:43:17,027 deletion Lock, also das Output von rm-RF. Das sieht dann so aus, und Linus lächelt 535 00:43:17,027 --> 00:43:22,433 ich meine, die haben sogar ihre local language auf Russisch eingestellt, ja? 536 00:43:22,433 --> 00:43:27,293 Also man sieht hier unten die Translation für gelöscht und Verzeichnis gelöscht also 537 00:43:27,293 --> 00:43:33,271 ein Output von rm-RF. Und dann sagen Sie yoh, wir bereiten jetzt dein Decrypter 538 00:43:33,271 --> 00:43:39,782 vor. einzelne Gelächter 539 00:43:39,782 --> 00:43:46,085 Und man denkt so, bei den anderen geht das eigentlich immer relativ schnell. *Linus 540 00:43:46,085 --> 00:43:52,839 lächelt* So nach einer Stunde fragt man mal nach und dann kommt, eh ich kann den 541 00:43:52,839 --> 00:44:02,580 Typen nicht erreichen, hab mal kurz Geduld bitte Lachen und dann kann das 542 00:44:02,580 --> 00:44:07,600 manchmal ein bisschen dauern und dann kommt hey, hier ist der Decrypter, 543 00:44:07,600 --> 00:44:11,903 sorry der Typ war draußen einen saufen, Ja? video läufzt, alle lachen 544 00:44:11,903 --> 00:44:15,309 Und an dieser Stelle zeigt sich, du würdest dem Level One Support auch keinen 545 00:44:15,309 --> 00:44:19,380 Schlüssel geben, der Millionen wert ist, weil dann machen sie side Deals ja? Dann 546 00:44:19,380 --> 00:44:24,496 verkaufen die den Schlüssel über ihre eigene Konten. Klüger hat das LV gemacht, 547 00:44:24,496 --> 00:44:29,352 blackcat be denen war das so, die haben quasi also auf Ihrem Server war das 548 00:44:29,352 --> 00:44:33,736 Bitcoin Wallet direkt angegeben und hat das immer gepollt, ja? Und das heißt auch 549 00:44:33,736 --> 00:44:39,080 die Veröffentlichung von den decryption Tools und deinem Pentestbericht erfolgte 550 00:44:39,080 --> 00:44:44,163 automatisch, so haben die den Key von den von ihren Verhandlern weggehalten. Bei 551 00:44:44,163 --> 00:44:48,608 dieser Gang die ich hier im Beispiel hatte war es eben so, dass sie manuelle 552 00:44:48,608 --> 00:44:54,300 Interaktion oder oder direkte Interaktion mit ihrem Chef brauchten und die hatten 553 00:44:54,300 --> 00:44:59,005 halt echt nicht dessen die Nummer, nah? Die können halt auch nur mit dem über 554 00:44:59,005 --> 00:45:03,553 diesen Chat kommunizieren, aber ich bin ehrlich die Stunden bis wir den Decrypter 555 00:45:03,553 --> 00:45:10,519 hatten waren etwas weniger entspannt, auch wenn ich mir relativ sicher war, dass sie 556 00:45:10,519 --> 00:45:15,941 die Zahlung machen würden. Und Kai kann noch mal ein bisschen was darüber reden, 557 00:45:15,941 --> 00:45:18,424 wie es dann auf der anderen Seite aussieht. 558 00:45:18,424 --> 00:45:23,510 Kai: Wir machen noch mal ein kleinen Exkurs zu den Leuten, die auf der anderen 559 00:45:23,510 --> 00:45:29,768 Seite sitzen. Das interessante an diesen Modellen ist, wir kommen auch gleich noch 560 00:45:29,768 --> 00:45:33,290 zum Level 1 Support. Das interessante an diesen Modellen ist dass sehr viel 561 00:45:33,290 --> 00:45:37,396 outgesourced ist, wie in der Wirtschaft auch an sogenannte Affiliates, da ist 562 00:45:37,396 --> 00:45:43,226 Einer. Das sind Menschen die sozusagen auf eigene Rechnung für irgendeine Ransomware 563 00:45:43,226 --> 00:45:48,658 Familie arbeiten und ihre Beute teilen, die Deals sind meist 75% für diese 564 00:45:48,658 --> 00:45:53,776 Menschen, 25% oder 20% für die Gäng dahinter, die Vermieter den wir vorhin 565 00:45:53,776 --> 00:45:59,029 gesehen haben. Das hier ist Sebastian Vahoung, ein Kanadier inzwischen 566 00:45:59,029 --> 00:46:05,770 verurteilt. Der hat für Networker gearbeitet, wieder eine sehr große Familie 567 00:46:05,770 --> 00:46:13,779 und war der eifrigste Affiliate von Networker. Der hat dutzende Angriffe 568 00:46:13,779 --> 00:46:20,500 gefahren und allein er hat 1400 Bitcoin einge- sammelt mit diesen Erpressungen, damals 569 00:46:20,500 --> 00:46:26,485 27 Millionen Dollar. Jetzt fragt man sich, wer ist so ein Mensch, ja? Dem ging es gar 570 00:46:26,485 --> 00:46:30,790 nicht so schlecht, das war sein Häuschen schon vorher, der wohnte da. In der Nähe 571 00:46:30,790 --> 00:46:34,916 von Ottawa war nettes kleines Häuschen, sieht ganz gemütlich aus, der war 572 00:46:34,916 --> 00:46:39,840 Computertechniker Universität Ottawa, aber der war so der Typ Kleinkrimineller der 573 00:46:39,840 --> 00:46:43,820 irgendwie so ein bisschen mehr will vom Leben als das was ihm sein dayjob bietet. 574 00:46:43,820 --> 00:46:48,380 Der ist auch schon mal mit Drogendelikten aufgefallen, hat 123 kg Marijana vertickt 575 00:46:48,380 --> 00:46:51,218 viele Lachen 576 00:46:51,218 --> 00:47:01,328 Kleinkram. Und ja das war dann beim Verhör, da war er nicht mehr so... Ich 577 00:47:01,328 --> 00:47:04,556 fand den Fall sehr interessant, ich habe ihn ein bisschen zugeguckt man konnte 578 00:47:04,556 --> 00:47:07,122 durch dann Corona konnte man der Gerichtsverhandlung im Internet folgen, 579 00:47:07,122 --> 00:47:10,528 wenn man so ein Link sich geholt hat von den Behörden dort und ein stiller 580 00:47:10,528 --> 00:47:14,298 freundlicher nicht blöder Mensch wie gesagt, ich glaube er wollte ein bisschen 581 00:47:14,298 --> 00:47:18,200 mehr vom Leben, das wird er jetzt nicht mehr kriegen. Und er ist auch deswegen ist 582 00:47:18,200 --> 00:47:22,976 er hier in der Sammlung ein Beispiel dafür dass die Täter Fehler machen. Auch das 583 00:47:22,976 --> 00:47:28,047 finde ich wichtig, die sind nicht unfehlbar. In dem Fall hier war das FBI in 584 00:47:28,047 --> 00:47:32,566 der Lage, wieder das FBI, die sind sehr aktiv seit einigen Jahren. Die Stufen 585 00:47:32,566 --> 00:47:37,580 Ransomware auf der Höhe von Terror ein in was ihre Ermittlung angeht inzwischen, nur 586 00:47:37,580 --> 00:47:43,130 so zur Wichtigkeit, das FBI hat den Server geknackt auf dem die Networker Leute mit 587 00:47:43,130 --> 00:47:47,860 ihren Affiliates geredet haben, neh die müssen ja reden miteinander, ich war hier, 588 00:47:47,860 --> 00:47:52,412 ich war da und diese Affiliates die müssen belegen dass sie irgendwo eingebrochen 589 00:47:52,412 --> 00:47:57,446 sind, dazu laden Sie Screenshots hoch der kopierten Daten, und in einem dieser 590 00:47:57,446 --> 00:48:02,907 Screenshots waren Metadaten. Screenshot 2.png enthielt Metadaten und in Metadaten 591 00:48:02,907 --> 00:48:10,195 stand Sebastian Vahoun. Passiert den besten von uns. Außerdem nutzte er für die 592 00:48:10,195 --> 00:48:15,737 Kommunikation mit diesem Server zwar eine anonyme E-Mail Adresse, war aber zu faul 593 00:48:15,737 --> 00:48:20,153 die auch anonym abzurufen, sondern sendete sich die E-Mails weiter an seine private 594 00:48:20,153 --> 00:48:23,357 Mailadresse. viele Lachen. 595 00:48:23,357 --> 00:48:27,383 Über die auch seine amazon Bestellungen liefen, so dass das FBI sofort auch seiner 596 00:48:27,383 --> 00:48:28,977 Adresse hatte. einzelnes Lachen 597 00:48:28,977 --> 00:48:38,123 Passiert im besten. Ja also die müssen miteinander reden, ganz kurz, die brauchen 598 00:48:38,123 --> 00:48:42,071 irgendeine Infrastruktur um zu kommunizieren und das meist der Ort, wo sie 599 00:48:42,071 --> 00:48:46,193 angegriffen werden von Ermittlern. Übrigens Sebastian Vahoug sitzt jetzt für, 600 00:48:46,193 --> 00:48:49,822 20 Jahre in den USA, danach dann noch drei Jahre Bewährung und ich glaube dann muss 601 00:48:49,822 --> 00:48:55,291 er noch die Freiheitsstrafe absetzen, die er in Kanada noch egal länger. So, also 602 00:48:55,291 --> 00:49:02,171 diese Leute bilden Banden, die Sourcen aus, die sind relativ organisiert und es 603 00:49:02,171 --> 00:49:07,269 sind ganz normale Menschen, ja, keine Götter, keine Superhacker. Das sind 604 00:49:07,269 --> 00:49:12,044 normale Menschen die Fehler machen. Und diese Arbeitsteilung dieser Band geht 605 00:49:12,044 --> 00:49:18,229 sogar noch viel weiter, hier seht ihr die unterste Ebene, hier seht ihr den Level 1 606 00:49:18,229 --> 00:49:29,370 Support. Das ist Alla Witte, eine, ich bedauere sie fast, inzwischen. Eine Frau, 607 00:49:29,370 --> 00:49:33,732 die in der Sowjetunion geboren wurde, sie hat dort mal Programmiererin für 608 00:49:33,732 --> 00:49:39,284 Funktechnik gelernt, sie ist inzwischen 57 Jahre alt, hat ein bisschen Pech gehabt im 609 00:49:39,284 --> 00:49:47,613 Leben, verwitwet, hat mit Scientology zu tun egal. Jedenfalls sie schlug sich so 610 00:49:47,613 --> 00:49:53,417 durch mit dem Programmieren von Websites, lebte in Surinam zu dem Zeitpunkt und 611 00:49:53,417 --> 00:49:58,909 programmierte auch für kleine Unternehmen so ein bisschen HTML und solche Dinge und 612 00:49:58,909 --> 00:50:03,786 dann bekam sie ein Jobangebot 2017 von einer russischen Softwarefirma, so sagt 613 00:50:03,786 --> 00:50:08,981 sie es. Ja mit der konnten wir auch reden. Dann gab's so ein Einstellungstest online, 614 00:50:08,981 --> 00:50:12,420 da musste sie so ein paar technische Fragen beantworten, den hat sie bestanden 615 00:50:12,420 --> 00:50:16,860 und dann hat man ihren Job angeboten, hat gesagt, pass auf 800 € im Monat kannst du 616 00:50:16,860 --> 00:50:22,688 von uns haben und dafür machst du hier so Entwicklertätigkeiten. Kam ein kleines 617 00:50:22,688 --> 00:50:28,878 Team mit neuen Leuten und die kannten sich alle nur über jabber. Und ihr Job war es 618 00:50:28,878 --> 00:50:33,344 dann, und da fingen sie dann doch an drüber nachzudenken, ob das das richtige 619 00:50:33,344 --> 00:50:36,808 ist, sowas zu programmieren, nämlich Webseiten mit der Benutzeroberfläche auf 620 00:50:36,808 --> 00:50:40,692 der dann steht "ihr Computer ist infiziert". Kai lächelt Entschuldigung 621 00:50:40,692 --> 00:50:47,181 das wieder eine von dolies Erfindung, aber ich fand sie sehr hübsch. Und die 622 00:50:47,181 --> 00:50:51,538 Softwarefma, für die sie dort gearbeitet hat war Conti, eine der größten und 623 00:50:51,538 --> 00:50:58,140 organisiertesten Ransomware Banden die die Welt bislang gesehen hat, oder die größte 624 00:50:58,140 --> 00:51:03,829 und organisierteste, und ja Alla Witte war wie gesagt relativ unbedarft am Anfang, 625 00:51:03,829 --> 00:51:07,405 das glaube ich ihr sogar, weil bei Jabber hat sie sich noch angemeldet mit ihrem 626 00:51:07,405 --> 00:51:12,542 echten Namen Alla Witte, also den Jabber Server wo die Gang miteinander 627 00:51:12,542 --> 00:51:17,659 kommunizierte und der dann später geleaked wurde durch ein ROG Mitglied dieser Bande, 628 00:51:17,659 --> 00:51:23,424 so dass ihr Name relativ schnell klar war deswegen, war sie auch die erste die 629 00:51:23,424 --> 00:51:29,653 Probleme bekam. Also sie war in Surinam und eines Tages stand die Polizei von 630 00:51:29,653 --> 00:51:33,740 Surinam vor ihrer Tür und sagte, sorry wir nehmen Sie jetzt mit, ihr Visum ist 631 00:51:33,740 --> 00:51:37,100 abgelaufen und ihre Computer und so sammeln wir auch alles ein und wir 632 00:51:37,100 --> 00:51:41,255 schicken sie zurück nach Lettland, wo sie herkam. Sie sind hier nicht mehr 633 00:51:41,255 --> 00:51:48,027 erwünscht, ja. Der Flug landete dann seltsamerweise in Miami zwischen, da stand 634 00:51:48,027 --> 00:51:54,600 dann wieder das FBI und nahm sie mit in ein Gefängnis nach Ohio. Und da blieb sie 635 00:51:54,600 --> 00:51:58,764 relativ lange, weil das FBI glaubte okay wir haben hier sozusagen die Hacker Queen, 636 00:51:58,764 --> 00:52:03,000 die kann uns was über Conti erzählen, das war vor dem leack. Nah, das FBI hat sie 637 00:52:03,000 --> 00:52:06,641 vorer gefunden und hoffte, sie kann ihn viel verraten, aber sie kannte echt nur 638 00:52:06,641 --> 00:52:10,083 die neun Leute aus ihrem Team, das waren alles kleine freischaffende 639 00:52:10,083 --> 00:52:15,160 Softwareentwickler, System Admins , die sich ein bisschen was dazu verdienen 640 00:52:15,160 --> 00:52:19,539 wollten. Sie konnte ihnen nicht viel sagen, deswegen saß sie zwei Jahre dort im 641 00:52:19,539 --> 00:52:25,644 Knast ohne Prozess. Und es passiert einfach nichts, in der Zwischenzeit kam 642 00:52:25,644 --> 00:52:30,122 der Conti Leak und alle Welter erfuhr über diese Gang. Inzwischen ist sie 643 00:52:30,122 --> 00:52:35,091 freigelassen worden aus den USA, ist wieder zurück jetzt wieder in Lettland in 644 00:52:35,091 --> 00:52:40,618 Riga. Die meisten Vorwürfe wurden fallen gelassen, außer einer Verabredung zum 645 00:52:40,618 --> 00:52:44,959 Computerbetrug, aber das also es reichtte nicht um sie weiter festzuhalten, wie 646 00:52:44,959 --> 00:52:48,282 gesagt sie lebt in Riga, sie tut mir wirklich etwas leid. Inzwischen geht sie 647 00:52:48,282 --> 00:52:54,580 putzen. Das ist, ihr seht hier so die Struktur, von Conti das ist die unterste 648 00:52:54,580 --> 00:53:00,490 Ebene dieser wirklich organisierten Gang und wir reden hier über die die Profis der 649 00:53:00,490 --> 00:53:06,448 Branche. Die hatten alles, die hatten Chefs, die sich darum kümmerten Büros 650 00:53:06,448 --> 00:53:11,033 anzumieten in denen die Leute wirklich von 8 bis 5 gearbeitet haben, ja, die kamen 651 00:53:11,033 --> 00:53:19,990 da. Die wurden über Foren angeheuert und für day Jobs und die waren wie eine Firma 652 00:53:19,990 --> 00:53:25,302 organisiert. Ich zeige euch gleich noch zwei Mitglieder davon aus dem 653 00:53:25,302 --> 00:53:29,690 Führungsebene. Bis heute sind nicht alle identifiziert, vor Allen nicht der Kopf 654 00:53:29,690 --> 00:53:34,705 der Bande Stern, der ist nur unter diesem Händel bekannt, ich soweit ich weiß weiß 655 00:53:34,705 --> 00:53:39,454 bis heute niemand wer das ist, das ist ein Zeichen dafür dass es schon auch sehr 656 00:53:39,454 --> 00:53:43,451 fähige Kriminelle in diesem Bereich gibt aber es sind Wenige. Und wenn ihr so wie 657 00:53:43,451 --> 00:53:46,991 Linus mit diesen Leuten zu tun habt, habt ihr nicht mit diesen Leuten zu tun 658 00:53:46,991 --> 00:53:50,473 niemals, also die machen sich die Finger da nicht mehr mit schmutzig, sondern es 659 00:53:50,473 --> 00:53:55,086 ist wie gesagt der Level 1 Support, aber es ist auch ein Beispiel, ja diese Banden 660 00:53:55,086 --> 00:54:00,752 machen Fehler, aber ja Sie können auch gar nicht so schlecht sein, wenn man Pech hat. 661 00:54:00,752 --> 00:54:08,930 Noch ein paar Gesichter, hier ist einer der Manager Maxim Galochkin, hat ein paar 662 00:54:08,930 --> 00:54:17,090 Softwarefirmen, ist pleite gegangen, kommt aus Abakan in Russland, lebt da glaube ich 663 00:54:17,090 --> 00:54:24,574 noch immer, soweit zum seine Social Media Profile das hergeben. Der war zuständig 664 00:54:24,574 --> 00:54:30,316 dafür, dass also die haben alle Virencanner, die es auf dem Markt gab, 665 00:54:30,316 --> 00:54:34,878 sich so besorgt und er musste testen ob ihre Schadsoftware da durchgeht idR 666 00:54:34,878 --> 00:54:39,082 Evasion heißt das habe ich mir sagen... L: idR Evasion, ja. 667 00:54:39,082 --> 00:54:43,830 K: Der baut auch den Cryptolocker, also die Daten verschlüsselt, also sein Team. 668 00:54:43,830 --> 00:54:47,836 Er war Teamleiter und Manager, ja Maxim wandert gern, der hält nichts von 669 00:54:47,836 --> 00:54:51,753 Covidimpfung, ist ein großer Putin Fan und Verteidiger des Ukrainekrieges oder das 670 00:54:51,753 --> 00:54:57,683 Kriegs des Angriffs auf gegen die Ukraine und Anhänger irgendeines komischen 671 00:54:57,683 --> 00:55:02,799 Gurus. Letztlich ein ganz normaler Mensch. viele Lachen 672 00:55:02,799 --> 00:55:08,717 ist in Abwesenheit angeklagt in den USA, weil er Teil von Conti sein soll. Hier ist 673 00:55:08,717 --> 00:55:15,096 noch einer eine Ebene tiefer ein Teamleiter Oleg Kugarov aus Tolyati bei 674 00:55:15,096 --> 00:55:20,687 Samara, 50 Jahre alt. Ich finde den interessant, den man, weil also er nennt 675 00:55:20,687 --> 00:55:23,860 sich selber reverse engineer und male Analyst und scheint schon länger in der 676 00:55:23,860 --> 00:55:28,087 Branche zu sein, also länger als Andere, viele Andere kommen wirklich aus legalen 677 00:55:28,087 --> 00:55:32,844 Bereichen und suchen verzweifelt einen Job. Viele können auch kein Englisch und 678 00:55:32,844 --> 00:55:37,442 finden in englischsprachigen Industrien da ja keinen Job, also man könnte ja auch 679 00:55:37,442 --> 00:55:41,552 remote arbeiten und finden kein Job, sie können halt nur russisch und gehen dann zu 680 00:55:41,552 --> 00:55:47,498 einer russischen Softwarefirma. Ja Oleg verkauft z.B Zero days im Darknet, 681 00:55:47,498 --> 00:55:50,804 zumindest habe ich so ein paar Hinweise darauf gefunden und, was ich auch 682 00:55:50,804 --> 00:55:54,774 interessant finde, der hat sich schon 2014 bei hacking Team beworben. Hacking Team 683 00:55:54,774 --> 00:55:59,849 war hier beim Kongress schon ein zwei mal Thema. Das war eine recht berüchtigte 684 00:55:59,849 --> 00:56:06,203 Firma die Späsoftware herstellte und von Finineas Fischer aufgebohrt und aus dem 685 00:56:06,203 --> 00:56:11,517 Wasser geblasen wurde, und für Konti hat er Leute angeworben und geführt als 686 00:56:11,517 --> 00:56:16,160 Teamleiter ja. Er grillt gern, er hat ein shibaainu, Namen Simba, ein kleines 687 00:56:16,160 --> 00:56:21,887 Häuschen, man sieht ih da in seiner Straße. Wie ernst diese Gangs sind, sieht 688 00:56:21,887 --> 00:56:26,920 man unter anderem daran, dass die USA bereits sind 10 Millionen Dollar zu zahlen 689 00:56:26,920 --> 00:56:32,392 für Hinweise, auf die noch nicht bekannten Mitglieder. Das ist schon ein Haufen Geld 690 00:56:32,392 --> 00:56:38,140 und es heißt dass diese Branche bis heute, die ganze Welt in Atem hält und kaum einen 691 00:56:38,140 --> 00:56:42,161 interessiert es. Und wie gesagt ich finde das immer noch seltsam. Noch dazu also 692 00:56:42,161 --> 00:56:45,744 Konti hat sich nicht hat sich selber zerlegt, neh. Das war nicht Ermittler, das 693 00:56:45,744 --> 00:56:49,490 hat nicht geholfen Alla Witte da einzusperren, sondern die haben sich 694 00:56:49,490 --> 00:56:55,257 selber ruiniert. Und ja Linus wird jetzt noch mal einen kurzen Vortrag über die 695 00:56:55,257 --> 00:56:56,827 Lehren daraus halten. 696 00:56:56,827 --> 00:56:57,527 Linus lacht 697 00:56:57,527 --> 00:57:01,157 L: Also was ich noch mal sehr wichtig finde, ist, ihr seht die leben dann 698 00:57:01,157 --> 00:57:06,897 verhältnismäßig entspannt ja? Also wenn man überlegt dass Konti war mal, blackhead 699 00:57:06,897 --> 00:57:11,135 wurden irgendwie so um die also üblicherweise werden immer so Einnahmen im 700 00:57:11,135 --> 00:57:15,080 im 100 Millionen Bereich kriegen die hin bis sie bis sie hochgehen ja. So ungefähr 701 00:57:15,080 --> 00:57:19,859 das ist so die Region, wenn man sich das anschaut. Und so viel Geld scheinen die 702 00:57:19,859 --> 00:57:25,432 Leute an der Spitze ja auch nicht zu haben, ich denke Kriminalität lohnt sich 703 00:57:25,432 --> 00:57:31,259 vor allem wegen der Nebenkosten nicht, ja? Also du hast, wenn du wenn dieses Geld 704 00:57:31,259 --> 00:57:36,389 übergeht auf das auf das Wallet geht, dauert wenige Minuten bis es von dort 705 00:57:36,389 --> 00:57:40,420 verteilt wird auf viele tausend einzelne wallets, also findet so ein 706 00:57:40,420 --> 00:57:45,140 Geldwäschevorgang statt. Früher gerne von Tornado Cash gemacht, heute vermutlich von 707 00:57:45,140 --> 00:57:50,214 Anderen, weil der Betreiber von Tornado Cash ja im Knast sitzt und keine Zugriff 708 00:57:50,214 --> 00:57:55,949 mehr auf seine Systeme hat. Die müssen sich in ihrer Interaktion sicher sein dass 709 00:57:55,949 --> 00:58:00,523 es Menschen gibt die lieber 10 Millionen haben können, wenn sie verraten wer Sie 710 00:58:00,523 --> 00:58:04,273 sind, und das führt dazu, dass du auch echt extrem, sag ich mal dein 711 00:58:04,273 --> 00:58:09,200 Freundeskreis wird sehr teuer, ja, weil du sicherstellen musst, dass jeder von denen 712 00:58:09,200 --> 00:58:13,944 keinen Grund findet sich die 10 Millionen zu holen. Also es ist eigentlich insgesamt 713 00:58:13,944 --> 00:58:19,960 dann doch glaube ich kein Lebensstil der sich empfiehlt, das nur noch mal am Rande. 714 00:58:19,960 --> 00:58:25,149 Kommen wir zum Fazit. Wir wissen, wie die Angreifer vorgehen und wie man sich 715 00:58:25,149 --> 00:58:29,728 schützt von Conti. Wir haben es nicht in dem Leak, die haben ein Manual die haben 716 00:58:29,728 --> 00:58:34,016 halt Probleme gehabt Nachwuchs zu finden, haben sie ein Buch geschrieben so ein 717 00:58:34,016 --> 00:58:37,588 kleines PDF, wie man jetzt musst du da klicken und dann musst Du hier ne Blatt 718 00:58:37,588 --> 00:58:41,280 hauen und dann guckst du da und dann kürzester Weg zum Domänenadmin, da musst 719 00:58:41,280 --> 00:58:46,080 du das machen, da musst Du hier Mimicuts und das ist alles drin, ja? Die Angreifer, 720 00:58:46,080 --> 00:58:49,989 also du brauchst sowieso ein Wiederherstellungskonzept, solange wir den 721 00:58:49,989 --> 00:58:54,077 dieses diesen Sumpf nicht trocken legen, dass wir gezwungen sind zu zahlen, werden 722 00:58:54,077 --> 00:58:57,757 die das weiter tun, da hilft auch kein Verbot der Zahlungen. Die Angreifer 723 00:58:57,757 --> 00:59:01,339 verlieren aber auch alles, wenn Du nicht zahlst. Also wenn du in der unglücklichen 724 00:59:01,339 --> 00:59:04,854 Situation bist, in der du niemals sein willst, stell ihn glaubhaft in Aussicht, 725 00:59:04,854 --> 00:59:08,780 dass sie gar nichts bekommen, das ist der einzige Weg den Preis nach unten zu 726 00:59:08,780 --> 00:59:12,615 drücken. Sie wollen Druck erzeugen, beuge dich dem Druck nicht und nehm ihn die 727 00:59:12,615 --> 00:59:16,437 Druckmittel. Also wann immer die sagen, hier Tage und so weiter, sagst du einfach 728 00:59:16,437 --> 00:59:19,943 moment mal, neh, also mach mal ein bisschen länger, also ehrlich gesagt keine 729 00:59:19,943 --> 00:59:23,551 Ahnung, also auf Zeit zu spielen, macht bei Ihnen den Druck, dass sie das Geld 730 00:59:23,551 --> 00:59:27,403 nicht bekommen. Sie müssen einen Ruf pflegen. Dich zu betrügen schidet ihn also 731 00:59:27,403 --> 00:59:31,256 mehr, als es ihnen selbst nützt, ja? Also es wäre für die, ist es günstiger einfach 732 00:59:31,256 --> 00:59:35,145 den nächsten zu hacken und ihr Glück da zu probieren, als dich noch mal zu hacken. 733 00:59:35,145 --> 00:59:39,454 Das heißt aber nicht, dass es Andere nicht tun. Ja also bitte bitte bitte, ihr müsst 734 00:59:39,454 --> 00:59:43,220 euch so oder so schützen! Die Liste der extrahierten Dateien gibt's kostenlos, die 735 00:59:43,220 --> 00:59:47,730 brauchst du für die DSGVO Meldung, schadet nicht sich die abzuholen. Auch wenn du 736 00:59:47,730 --> 00:59:53,625 zahlst, hast du hohe Folgekosten, du musst dich sowieso noch schützen und du du musst 737 00:59:53,625 --> 00:59:58,570 dich auch vergewissern, dass du wirklich ein Business Case hast. Meistens hast du 738 00:59:58,570 --> 01:00:02,875 den nicht, deswegen drücken die ja so bei der Zeit, weil sie wissen, je länger du 739 01:00:02,875 --> 01:00:06,815 über die Situation nachdenkst, umso mehr Möglichkeiten dich da selber rauszuheben 740 01:00:06,815 --> 01:00:11,075 findest du und umso besser geht's dir und so wahrscheinlicher ist es, dass sie ihr 741 01:00:11,075 --> 01:00:15,866 Geld nicht kriegen. Die Angreifer sind nicht unfehlbar und trotzdem brauchst du 742 01:00:15,866 --> 01:00:20,952 ein Wiederherstellungskonzept, so oder so und zwar jetzt. Übrigens zum Thema 743 01:00:20,952 --> 01:00:26,472 unfehlbar, hat mein Kollege Tobias heute ne gestern einen Vortrag gehalten, der hat 744 01:00:26,472 --> 01:00:30,887 den Titel unlocked recovering Files taken hostage by Ransomware, weil wir als 745 01:00:30,887 --> 01:00:35,701 kleiner Nebenaktivität unserer Aktivitäten in diesem Bereich noch ein Decrypter 746 01:00:35,701 --> 01:00:40,440 veröffentlichen. Dieser Talk ist Teil einer Reihe, sie begann mit Hirnehaken, 747 01:00:40,440 --> 01:00:45,256 sie ging weiter mit Disclosure Hack und hackback von Kantorkel Dominik und mir 748 01:00:45,256 --> 01:00:50,352 beim Camp. Sie hatte einen Höhepunkt gestern mit Unlocked! dem Release des 749 01:00:50,352 --> 01:00:54,848 decrypters für blackbuster von Tobias und sie findet hoffentlich hier Ende mit 750 01:00:54,848 --> 01:00:58,903 hierirner Hacken hackback Edition von Kai Biermann und mir, weil damit sollte jetzt 751 01:00:58,903 --> 01:01:04,050 zum Thema hoffentlich alles gesagt sein, vielen Dank. 752 01:01:04,050 --> 01:01:06,554 Applaus 753 01:01:06,554 --> 01:01:07,653 Musik 754 01:01:07,653 --> 01:01:12,520 K: Danke! Herald: Wunderbar, super ja vielen Dank an 755 01:01:12,520 --> 01:01:25,573 Linus und Kai. 756 01:01:25,573 --> 01:01:28,792 37c3 Nachspannmusik 757 01:01:28,792 --> 01:01:40,000 Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!