0:00:00.230,0:00:13.142
<i>37C3 Anspannungsmusik</i>

0:00:13.143,0:00:18.080
Engel: Ok dann freue ich mich euch alle[br]sehr herzlich zu Hirne hacken der hackback

0:00:18.080,0:00:23.280
Edition begrüßen zu dürfen. Heute unsere[br]zwei Vortragenden Linus Neumann und Kai

0:00:23.280,0:00:29.120
Biermann, beides bekannte Gesichter hier.[br]Linus bekannt als IT security Consultant

0:00:29.120,0:00:34.200
und hatte das zweifelhafte Vergnügen schon[br]mit unterschiedlichsten Ransomware Gangs

0:00:34.200,0:00:39.240
verhandeln zu dürfen oder zu müssen. Kai[br]Biermann ist Investigativjournalist und

0:00:39.240,0:00:45.000
hat unter anderem Mitglieder der[br]Ransomware Gang Conti entdeckt aufgedeckt

0:00:45.000,0:00:50.240
und heute werden sie uns ein bisschen was[br]dazu erzählen wie man so spieltheoretisch

0:00:50.240,0:00:55.960
das Ganze verhandeln mit Ransomware[br]Hackern angehen kann und was da die

0:00:55.960,0:00:59.920
spannenden Strategien sind. Bitte ein ganz[br]herzliches Willkommen für Linus und Kai!

0:00:59.920,0:01:09.866
<i>Applaus</i>

0:01:09.866,0:01:15.040
Kai: Hallo Kongress eine Ehre hier zu[br]sein! Danke euch! Das ist der Linus, der wurde

0:01:15.040,0:01:19.320
schon kurz vorgestellt, der mag gern[br]reiten, schwimmen und hacken so viel zu

0:01:19.320,0:01:23.560
seinen Hobbys. Er wird öfters mal[br]angerufen wenn irgendwo eine Firma

0:01:23.560,0:01:29.480
gecybert wird und deswegen steht er hier.[br]Linus: Das ist der Kai, der hat keine

0:01:29.480,0:01:36.320
Hobbys die er öffentlich nennen möchte.[br]<i>Lachen</i> Und ruft gerne mal an wenn jemand

0:01:36.320,0:01:41.264
gecybert wird weil er im[br]Investigativressort von Zeit und Zeit

0:01:41.264,0:01:47.160
online arbeitet. Und wenn dieses Telefon[br]so bei mir klingelt ist eigentlich der

0:01:47.160,0:01:51.659
erste Satz immer so: Linus, du musst[br]sofort helfen, wir werden erpresst!

0:01:51.659,0:01:56.707
<i>Gemurmel</i> Und so als Einstieg möchte[br]ich mal einen Fall von vor gar nicht allzu

0:01:56.707,0:02:03.279
langer Zeit schildern, wo ein Hacker oder[br]eine Hackerin von einer eigenen Domain

0:02:03.279,0:02:08.443
eine E-Mail geschrieben hat.[br]"Ich wurde angeheuert um Ihre Webseite zu

0:02:08.443,0:02:13.410
hacken, ich habe Zugriff auf alle[br]Kundendaten und mein Kunde also der der

0:02:13.410,0:02:18.397
mich beauftragt hat zahlt zu wenig[br]deswegen können Sie jetzt Ihre Daten

0:02:18.397,0:02:21.616
zurückkaufen und ich sage in die[br]Schwachstelle."

0:02:21.616,0:02:25.252
<i>wachsendes Lachen</i>

0:02:25.252,0:02:29.455
Linus: Klang schon mal jetzt nicht so auf[br]Anhieb überzeugend ja? Und dann auch was

0:02:29.455,0:02:34.180
ich sehr schön finde du so unmittelbare[br]Selbstbeschuldigung: "Mir ist klar dass es

0:02:34.180,0:02:38.088
ihre Daten sind und ich der Kriminelle bin[br]der sich Zugang zu ihnen verschafft hat,

0:02:38.088,0:02:41.512
werden sie jetzt aber nicht emotional,[br]stellen Sie sich einfach nur mal den

0:02:41.512,0:02:44.159
Schaden vor wenn ich veröffentliche."

0:02:44.159,0:02:46.930
<i>Lachen</i>

0:02:46.930,0:02:52.301
Linus: Ja und ich habe ja schon gesagt das[br]war ein Erpresser ja und er hat dann seine

0:02:52.301,0:02:56.456
Forderung uns mitgeteilt: "ich will[br]2000€".

0:02:56.456,0:03:04.275
<i>Lachen</i><i>Linus lacht</i>

0:03:04.275,0:03:08.880
L: Ja wir haben dann halt die SQL[br]Injection gefixt und ich sag mal so mit

0:03:08.880,0:03:14.120
ein bisschen mehr Forderung hätten wir ihn[br]wahrscheinlich auch ernst genommen, haben

0:03:14.120,0:03:18.040
uns dann aber entschieden vielleicht[br]erstmal nicht zu antworten, worauf hin er

0:03:18.040,0:03:22.480
sagte "Ich muss dem Kunden jetzt in 24[br]Stunden antworten und Sie müssen sich

0:03:22.480,0:03:27.800
jetzt entscheiden, das ist kein Blöff."[br]<i>laute Lachen</i>

0:03:27.800,0:03:31.640
Da haben wir erstmals ein Tee getrunken.[br]<i>lachen</i>

0:03:31.640,0:03:37.205
Und dann schrieb er wieder "ich gebe ihn[br]noch mal 24 Stunden <i>viele lachen</i>

0:03:37.205,0:03:44.234
aber aber dann aber dann!"[br]L: Ja doch ist ein Blöff ja haben also

0:03:44.234,0:03:48.733
erstmal nichts gemacht und dann schrieb[br]er: "also ich gebe ihnen jetzt noch ein

0:03:48.733,0:03:53.490
letztes Mal 24 Stunden dann aber wirklich![br]Und dann wurden die Drohungen "sagt er,"

0:03:53.490,0:03:57.806
und sie haben können sich gar nicht[br]vorstellen, was jetzt noch alles passiert

0:03:57.806,0:04:02.447
und ja." So der Kunde wurde auch, was wenn[br]er noch irgendwas Anderes hat und wir so

0:04:02.447,0:04:06.288
na ja, wenn er noch irgendwas Anderes[br]könnte dann wird er wahrscheinlich nicht

0:04:06.288,0:04:14.360
2000€ fordern. Und wir haben uns aber[br]gewundert, was ist das denn für Einer? Ja?

0:04:14.360,0:04:18.520
Also was ist das für ein Typ der so[br]richtig wohlformulierte lange E-Mails

0:04:18.520,0:04:24.000
schreibt ja? Und uns war irgendwie nicht[br]so klar, es war wohlformulierte Sprache,

0:04:24.000,0:04:28.280
ich sag jetzt nicht welche, aber sie war[br]schön formuliert und wir hatten zwei

0:04:28.280,0:04:33.440
Hypothesen. Die eine war dass ist irgend[br]so ein Abiturient der von zu Hause im

0:04:33.440,0:04:37.080
Kinderzimmer irgendwie meint er wäre jetzt[br]der große Hacker, weil das könnte erklären

0:04:37.080,0:04:42.320
dass er 2000€ für viel Geld hält <i>lachen</i>[br]oder ist Irgendjemand mit Chat GPT in

0:04:42.320,0:04:45.720
Indien oder so für den das potenziell auch[br]viel Geld wäre. Also haben wir uns überlegt

0:04:45.720,0:04:49.640
na ja lass uns doch mal rausfinden. Ja[br]haben uns entschieden wir antworten doch

0:04:49.640,0:04:53.720
mal und haben da gesagt:[br]L: Also pass auf du solltest deine Server

0:04:53.720,0:04:57.880
echt nicht in der EU hosten, weil[br]<i>Gelächter</i> die Polizeibehörden hier

0:04:57.880,0:05:03.760
arbeiten zusammen ja? Und diese Domain die[br]du da hast die solltest du echt nicht mit

0:05:03.760,0:05:08.680
der Kreditkarte zahlen.[br]<i>Linus lacht, viele Lachen</i>

0:05:08.680,0:05:13.600
Und wenn du dein SQL Map Angriffe versuch[br]das doch mal über TOR wenigstens statt von

0:05:13.600,0:05:20.040
deinem anderen VServer aus, ja? Kam[br]erstmals nichts. <i>einige lachen</i> und dann

0:05:20.040,0:05:23.695
hab ich gesagt:[br]L: Pass auf in 24 Stunden

0:05:23.695,0:05:29.485
<i>sehr viele Lachen, Applaus</i>

0:05:29.485,0:05:34.360
geht unser Bericht ans LKA. Die[br]Datenschutzmeldung haben wir ohnehin schon

0:05:34.360,0:05:38.120
gemacht, was soll schon noch kommen ja?[br]Haben wir ihm Angebot gemacht haben

0:05:38.120,0:05:40.560
gesagt:[br]L: Pass auf wenn du deine Daten löscht

0:05:40.560,0:05:43.680
bekommst du McDonald's Gutschein[br]<i>viele lachen</i>

0:05:43.680,0:05:54.440
über 100€ und dann kam eben so, "Eh, meine[br]offshore Server sind verschlüsselt!" L: Wie

0:05:54.440,0:05:59.480
so ... was für Offshore Server? was für[br]Verschlüsselung?

0:06:00.320,0:06:08.197
"Ich will 2000€ sie haben 24 Stunden,[br]sonst..." <i>einige lachen</i>

0:06:08.197,0:06:11.600
L: War wieder die große Sorge, was macht[br]er denn jetzt noch ne haben wir gewartet

0:06:11.600,0:06:17.080
und dann kam dedos <i>einzelne Gelächter</i>[br]dann haben wir cloudflare dazwischen

0:06:17.080,0:06:21.080
geschaltet und dann waren wir fertig ja[br]<i>lachen</i>

0:06:21.080,0:06:25.120
weil wir haben natürlich aus zwei Gründen[br]hier nicht bezahlt: 1. die Forderung war

0:06:25.120,0:06:28.360
viel zu gering, das Geld wär viel zu[br]schnell weg gewesen und der wäre wieder

0:06:28.360,0:06:33.440
gekommen und hätte mehr gewollt und ja ist[br]auch nichts weiter passiert. Aber

0:06:33.440,0:06:37.880
natürlich sind nicht alle Diskussionen[br]oder alle solche Fälle, wenn man mit einem

0:06:37.880,0:06:41.860
verwirrten Einzeltäter zu tun hat, so[br]glimpflich und so einfach.

0:06:41.860,0:06:49.440
Kai: Und vor all so lustig. Das hier ist[br]einer, das ist so ein Einzeltäter, der hat

0:06:49.440,0:06:52.480
mutmaßlich muss ich an dieser Stelle[br]sagen, weil er steht gerade erst vor

0:06:52.480,0:06:56.120
Gericht und ist noch nicht verurteilt und[br]er bestreitet die Tat obwohl es ziemlich

0:06:56.120,0:07:00.240
gute Indizien gibt, die ihr gleich sehen[br]werdet. Das ist so ein Einzeltäter der hat

0:07:00.240,0:07:05.880
in Finnland eine Firma erpresst wastamo[br]die Therapiezentren betreibt,

0:07:05.880,0:07:13.160
psychiatrische Therapiezentren und hat[br]sämtliche therapeutischen Unterlagen

0:07:13.160,0:07:19.960
gecybert kopiert. Der hat sich alle[br]Protokolle aus Therapiesitzungen, alle

0:07:19.960,0:07:24.200
Diagnosen von vielen vielen finnischen[br]Menschen von deren Server geholt und hat

0:07:24.200,0:07:31.560
anschließend gesagt "ich will nicht 2000€[br]sondern 40 Bitcoin". Das waren damals, ist

0:07:31.560,0:07:39.200
schon zwei Jahre her, ca 180 000€ und die[br]Firma hat nicht reagiert. Die hat Tee

0:07:39.200,0:07:46.080
getrunken und daraufhin hat er den[br]Patienten und Patientinnen eine Mail

0:07:46.080,0:07:50.840
geschickt die Daten hat er ja und hat[br]gesagt ok, die Firma zahlt nicht dann will

0:07:50.840,0:07:57.200
ich von euch Geld 200€ in Bitcoin damit[br]eure Therapieunterlagen nicht im Netz

0:07:57.200,0:08:02.520
veröffentlicht werden. Wer macht denn[br]sowas? Hier ist so eine Selbstbeschreibung

0:08:02.520,0:08:07.400
von ihm, könnt ihr mal lesen wenn ihr Zeit[br]habt. Ein lustiger junger Mann 25 ist er

0:08:07.400,0:08:14.600
inzwischen, er glaubt er ist ein großer[br]Philanthrop und hat mit beim Umgang mit

0:08:14.600,0:08:18.600
Tieren schon viel übers Leben gelernt vor[br]allem hat er früh schon Ärger gemacht, der

0:08:18.600,0:08:23.320
hat mit 15 seine erste Verurteilung[br]kassiert, damals war er an Ddos Attacken

0:08:23.320,0:08:26.360
beteiligt und an einem Hobby namens[br]swatting, ich weiß nicht ob schon mal

0:08:26.360,0:08:29.880
gehört habt. Das ist wenn man Leuten die[br]Polizei nach Hause schickt ohne Grund,

0:08:29.880,0:08:35.560
kann sehr ärgerlich sein. Zurück zum Fall,[br]der hat in Finnland für ziemliche

0:08:35.560,0:08:39.640
Aufregung gesorgt, das ist die damalige[br]finnische Innenministerin, die fand diesen

0:08:39.640,0:08:44.240
data breach ein ziemlich shocking Act. Und[br]die Formulierung ist interessant, weil es

0:08:44.240,0:08:49.040
mehr ein Fall von Data breach ist als ein[br]Fall von hacking, denn und jetzt kommen

0:08:49.040,0:08:52.840
wir zu einem 2. wichtigen Punkt in unserem[br]Talk. Die Betroffenen sind oft nicht so

0:08:52.840,0:08:59.240
ganz unschuldig an dem ganzen Problem. Der[br]Server auf dem alle Therapieunterlagen von

0:08:59.240,0:09:03.120
allen finnischen Patienten und[br]Patientin lagen war erstens eine

0:09:03.120,0:09:07.840
selbstgebaute mySQL Datenbank die hingt[br]zweitens im Netz war drittens über Google

0:09:07.840,0:09:12.220
zu finden. Und nur durch ein[br]Standardsystem Admin Passwort geschützt.

0:09:12.220,0:09:22.560
<i>Gemurmel</i> Auslieferungszustand sozusagen.[br]Wer macht so was? Er, das ist der CEO dieser

0:09:22.560,0:09:27.080
Firma Vastaamo der war ganz betroffen[br]darüber dass jemand seine Firma ruiniert

0:09:27.080,0:09:31.320
hat, die ist daraufhin nämlich pleite[br]gegangen und wird bis heute verklagt

0:09:31.320,0:09:35.440
dafür. Der ist nicht betroffen darüber[br]dass viele viele finnische Menschen

0:09:35.440,0:09:41.160
erpresst wurden, sondern darüber dass eine[br]schöne Firma kaputt gegangen ist. Noch ein

0:09:41.160,0:09:44.440
Fakt zu den Patientendaten, den ich sehr[br]interessant finde, sie waren nicht

0:09:44.440,0:09:51.280
anonymisiert und nicht verschlüsselt.[br]Sollte man nicht machen wenn man so heikle

0:09:51.280,0:09:56.040
Gesundheitsdaten hat. Und die Firma hat[br]auch Vorgaben des finnischen

0:09:56.040,0:10:01.600
Gesundheitssystems umgangen zur[br]Datensicherung. Aber zurück zu unserem

0:10:01.600,0:10:09.840
Täter weil... Also er will 40 Bitcoin was[br]tamamo zahlt nicht da haben wir ihn wieder

0:10:09.840,0:10:16.480
den kermit, daraufhin hat er eine schlaue[br]Idee, er will um seinen Druck zu erhöhen,

0:10:16.480,0:10:19.280
weil das ist für den Erpressern immer sehr[br]wichtig wie er auch eben schon gesehen

0:10:19.280,0:10:24.120
hat, er will den Druck erhöhen und sagt[br]ok, wenn ihr nicht zahlt, dann liege ich

0:10:24.120,0:10:31.200
eben jeden Tag den ihr nicht zahlt liege[br]ich 100 Patientenakten. Das Problem dabei

0:10:31.200,0:10:34.920
war, er hat es in ein finnischen imageboard[br]gemacht, ich hoffe ich spreche das richtig

0:10:34.920,0:10:39.960
aus, yillilauter heißt es, das Problem[br]dabei war, er hat so ein paar Informationen

0:10:39.960,0:10:45.280
seines Servers von dem er ausgeleakt hat[br]mitgeleakt, <i>K lacht, Gemurmel</i> IP-Adressen und

0:10:45.280,0:10:49.440
solche Dinge. Worauf hin die Polizei[br]dieser Spur folgen konnte und relativ

0:10:49.440,0:10:53.320
schnell dahinter kam dass da so ein[br]Netzwerk von Servern existiert, dass Jemand

0:10:53.320,0:11:02.190
mit seiner Kreditkarte bezahlt hatte.[br]<i>einzelne Applaus</i> Wird noch schöner. *Kai

0:11:02.190,0:11:06.480
lächelt* Das war nicht der einzige Hinweis[br]auf ihn, den die Polizei fand also, wastamo

0:11:06.480,0:11:17.280
zaht nicht ja sind keine netten Leute. Der[br]Mann reiste viel, er war er tauchte unter.

0:11:17.280,0:11:20.760
Also die Polizei hatte schon seinen Namen,[br]sie ahnte wer es ist und suchte ihn in

0:11:20.760,0:11:25.720
Finnland und er ist abgehauen ins Ausland,[br]hat aber die nicht sehr schlaue Idee

0:11:25.720,0:11:28.152
gehabt darüber im Internet zu posten.

0:11:28.152,0:11:28.200
<i>Gelächter</i>

0:11:28.200,0:11:33.400
Ja er hat wieder auf diesem imageboard[br]JimmiLauter ein Foto gepostet wo er an der

0:11:33.400,0:11:37.720
französischen Küste es sich gut gehen[br]lässt und sich diesen blödsiniges Wasser

0:11:37.720,0:11:46.680
ins Gesicht sprüht. Und hat dieses Foto da[br]gepostet unter anderem von einem der

0:11:46.680,0:11:51.000
Server die im Zusammenhang mit der Tat[br]standen, auch nicht so clever und noch

0:11:51.000,0:11:55.720
viel lustiger, dieses Foto war so gut, dass[br]die Polizei einen Fingerabdruck nehmen

0:11:55.720,0:12:06.160
konnte.[br]<i>Viele lachen, Applaus</i>

0:12:06.160,0:12:11.240
Die finische Polizei wusste jetzt also wo[br]sie ihn suchen muss, in Frankreich.

0:12:11.240,0:12:15.920
Übrigens an dieser Stelle möchten wir[br]einen kurzen Gruß an Starbug schicken, der

0:12:15.920,0:12:22.120
hat nämlich 2014 in einem Vortrag genau[br]das prophezeit. Damals hat er von einem

0:12:22.120,0:12:25.560
Foto von Ursula von der Leihen, das in der[br]Bundespressekonferenz aufgenommen worden

0:12:25.560,0:12:32.000
war den Daumenabdruck extrahiert und[br]bewiesen dass das geht, danke Starbug! Die

0:12:32.000,0:12:41.261
finnische Polizei hat dir zugeschaut.[br]<i>Applaus</i>

0:12:41.261,0:12:45.060
Nachdem wir uns jetzt mit ein paar[br]Amateuren auseinandergesetzt haben die

0:12:45.060,0:12:50.568
eure Unternehmen ruinieren können oder[br]sich selbst oder beides, wollen wir uns mal

0:12:50.568,0:12:54.407
kurz ein bisschen mit Profis[br]auseinandersetzen. Und für mich ist das

0:12:54.407,0:12:59.960
ein bisschen ärgerlich, weil ich darüber in[br]vielen Vorträgen seit nun mehr 7 Jahren

0:12:59.960,0:13:05.480
rede ja? Und zwar Ransomware es ist[br]wirklich nichts Neues aber ich möchte kurz

0:13:05.480,0:13:10.260
eine kleine verkürze subjektive Geschichte[br]der Ransomware erzählen. Ungefähr 2016

0:13:10.260,0:13:15.194
ging es los mit locky, das war so eine[br]Ransomware fürs Privatkundengeschäft hat

0:13:15.194,0:13:19.438
irgendwie so local host sofort[br]verschlüsselt und irgendwas im Bereich von

0:13:19.438,0:13:24.484
paar 100 Euro verlangt ja? Es kam dann[br]später wannacry, das war im Prinzip auch so

0:13:24.484,0:13:29.058
eine local host randsomeware aber[br]verbunden mit dem eternal blue Exploit hat

0:13:29.058,0:13:34.113
also im lokalen Netz nach SMB shares[br]gecheckt und die auch noch mal infiziert

0:13:34.113,0:13:39.239
ja. Also ging so ein bisschen weiter rein.[br]Irgendwann 2018 müsste ryuk damit

0:13:39.239,0:13:44.431
angefangen haben zu erkennen, dass das[br]Backup der natürliche Feind der Ransomware

0:13:44.431,0:13:49.526
ist und hat sich darauf konzentriert in[br]Richtung ad compromise zu gehen also

0:13:49.526,0:13:53.266
komplette Active Directory zu übernehmen[br]und von dort aus in meisten Leute hängen

0:13:53.266,0:13:57.254
ja dummerweise ihren Backup Server ins[br]Active Directory, was die schlechteste

0:13:57.254,0:14:02.064
Idee ist die man haben kann, und dann[br]zerstören sie also erst die Backups und

0:14:02.064,0:14:06.010
rollen dann über eine Group Policy die[br]Ransomware auf allen Hosts aus. Ja das fing

0:14:06.010,0:14:16.098
so ungefähr 2018 an und 2019 fing es an[br]dass maze sich auch so ein bisschen mehr

0:14:16.098,0:14:20.734
auf fileshares spezifisch konzentriert hat[br]und auf das Modell der Double extortion.

0:14:20.734,0:14:24.455
Double extortion könnt ihr euch so[br]vorstellen dass man.. Ich erkläre es

0:14:24.455,0:14:29.663
gleich ne, weil ich möchte eigentlich noch[br]mal kurz darauf reingehen wie katastrophal

0:14:29.663,0:14:34.620
es ist dass wir 2023 noch darüber reden[br]ja? Seit 2019 mindestens ist das die

0:14:34.620,0:14:39.191
gleiche Masche, seit 2016 ist es ein[br]Geschäftsmodell und es sollte einfach so

0:14:39.191,0:14:42.821
sein wie in jedem IT security lifeecycle,[br]du hast eine Prävention wenn die

0:14:42.821,0:14:46.515
fehlschlägt hast du eine Detektion und[br]wenn die fehschlägt hast eine Recovery.

0:14:46.515,0:14:50.314
Die meisten Leute gehen davon aus, dass es[br]vielleicht nicht ganz so gut bei Ihnen

0:14:50.314,0:14:53.705
aussieht ne, haben eine Prävention[br]vielleicht eine Detektion und die Recovery

0:14:53.705,0:14:58.860
eigentlich nicht ganz so gut. Aber wie es[br]wirklich in der Realität für sie aussieht

0:14:58.860,0:15:03.452
so... und wenn man das mal nicht grafisch[br]versinicht sondern so wie dann eine

0:15:03.452,0:15:08.258
Webseite aussieht, das wäre jetzt hier,[br]ich glaube Blackcat Alfi die die vor 2 D

0:15:08.258,0:15:13.375
Wochen hochgegangen sind dann sieht das[br]ungefähr so aus du hast eine Webseite

0:15:13.375,0:15:17.219
Forderung das ist ein Hidden Service und[br]da wird dir dann erklärt wie du Bitcoin

0:15:17.219,0:15:21.054
kaufen kannst. Habe ich in Hirne hacken[br]schon ausführlich erklärt. die Leute die

0:15:21.054,0:15:25.752
die Webseite sehen führen dann als [br]nächstes ungefähr zu dieser Situation:

0:15:25.752,0:15:29.402
"Have you tried paing the ransome"? [br]Weil das die einzige Möglichkeit

0:15:29.402,0:15:33.400
ist an die Dateien wieder [br]ran zukommen. Wenn man das tut, sieht

0:15:33.400,0:15:38.945
eine Seite ungefähr so aus, wo es ein[br]bisschen Instruktionen gibt wie man die

0:15:38.945,0:15:44.521
Dateien wiederherstellt und außerdem sind[br]die Angreifer so nett, sie versprechen den

0:15:44.521,0:15:48.800
kompletten Bericht, wie sie reingekommen[br]sind und ich denke natürlich als Security

0:15:48.800,0:15:52.977
Konz, alles klar ein ordentlicher Bericht[br]ja cool so ein redteam Bericht da bin ich

0:15:52.977,0:15:57.621
mal gespannt. Das ist er ja und eine[br]Standardantwort, die kommt in dem Moment wo

0:15:57.621,0:16:01.923
die Bitcoins gezahlt sind, erscheint die[br]im Chat ja so quasi in in der gleichen

0:16:01.923,0:16:06.329
Zeit. Das heißt die ist hard codet in dieser[br]Webseite drin und das bedeutet diese Web

0:16:06.329,0:16:10.453
diese Angreifer sind absolute onetrack[br]Ponys die haben es hier mit meterpreter

0:16:10.453,0:16:14.930
gemacht, ja ihr könnt euch ungefähr[br]vorstellen wie wenig idea du brauchst,

0:16:14.930,0:16:20.589
damit man meterpreter nicht erkennt ja und[br]diese Angreifer sind onetrack Ponys und

0:16:20.589,0:16:26.200
du bist ihr Opfer. Wir alle kennen diesen[br]klugen Satz, übrigens kann man immer sagen,

0:16:26.200,0:16:29.953
kann man immer sagen, nur nicht beim[br]incident. Der kommt

0:16:29.953,0:16:36.321
<i>Lachen, Applaus</i>

0:16:36.321,0:16:48.989
also kommt nicht an, kommt nicht an. Ja[br]learn from my fail ja? <i>Lachen</i>

0:16:48.989,0:16:51.804
Ich habe gerade gesagt wir sprechen über[br]double extortion, double extortion

0:16:51.804,0:16:55.717
funktioniert so: die Angreifer haben[br]gemerkt dass das Backup für sie ein

0:16:55.717,0:16:59.918
Problem ist und sagen Backup haben wir[br]auch. <i>L lacht</i> Und das werden wir jetzt

0:16:59.918,0:17:04.416
veröffentlichen, ja? Das heißt sie[br]erpressen dich einerseits oder sie

0:17:04.416,0:17:08.670
verlangen Lösegeld für deine Daten und[br]erpressen dich gleichzeitig mit der

0:17:08.670,0:17:12.969
Veröffentlichung, haben also jetzt zwei[br]Druckmittel gegen dich mit denen sie

0:17:12.969,0:17:18.143
versuchen Geld von dir zu bekommen. Und[br]das Ganze passiert jetzt seit vielen

0:17:18.143,0:17:23.768
vielen Jahren und irgendwie Kai schreibt[br]drüber, ich rede drüber, die Deutsche Bahn

0:17:23.768,0:17:28.907
hat schon mal auf ihren Anzeigetafeln[br]gehabt, ja? <i>lachen</i> Aber niemand kümmert

0:17:28.907,0:17:33.816
sich drum und wenn du die Zeitung[br]aufmachst ja, was was wird diskutiert?

0:17:33.816,0:17:39.904
Cyberwar... Was wäre wie fürchterlich wäre[br]das Kai, wenn der Cyberwar jetzt käme?

0:17:39.904,0:17:43.383
Kai: Ja schrecklich oder?[br]L: Das wäre doch total schlimm ja.

0:17:43.383,0:17:48.013
K: Ich mir wird langsam langweilig über[br]Ransomeware zu schreiben ganz ehrlich weil es so

0:17:48.013,0:17:52.520
vorhersagbar ist. Und wenn man sich nur[br]einen kurzen Moment vorstellen würde

0:17:52.520,0:17:56.788
überall in Deutschland würden maskierte[br]Menschen in große und kleine Firmen

0:17:56.788,0:18:02.757
reinrennen ja? Würden die Computer nehmen[br]und wieder rausrennen, was wäre in diesem

0:18:02.757,0:18:08.556
Land los? Also bei großen Firmen ja, Metro[br]und wenzo, Continental und wen so alles

0:18:08.556,0:18:12.091
erwischt hat da rennen 100 Leute rein ja,[br]reißen alle Rechner aus der Wand und

0:18:12.091,0:18:16.311
verschwinden, was wäre in diesem Land los[br]wenn das jeden Tag dreimal passiert, ja?

0:18:16.311,0:18:20.289
Wir hätten den Kriegszustand den Cyberwar![br]Keinen interessiert, weil es digital

0:18:20.289,0:18:24.750
passiert und das verstehe ich immer nicht.[br]L: Ich denke also der Cyberwar, den sich

0:18:24.750,0:18:28.704
vor dem sich alle fürchten übrigens ein[br]absolut fürchterlicher Begriff, den ich

0:18:28.704,0:18:32.222
mir nicht zu eigen machen möchte, die[br]Schrecken des Krieges sind unvergleichbar

0:18:32.222,0:18:36.226
mit ein paar Scharmützeln im Internet. Ja[br]das ist klar vorweg zu sagen, aber wenn wir

0:18:36.226,0:18:40.018
uns davor fürchten digital angegriffen zu[br]werden, dann könnten wir wahrscheinlich im

0:18:40.018,0:18:43.878
Moment irgendwann mal zu der Ansicht[br]kommen, dass wir das falsche fürchten und

0:18:43.878,0:18:47.903
es jetzt schon schlimmer ist, als wir[br]fürchten und wir müssen die bittere

0:18:47.903,0:18:52.418
Erkenntnis sehen, dass wir längst dagegen[br]hätten etwas unternehmen können und wenn

0:18:52.418,0:18:56.244
irgendwann einmal der große Cyberwar[br]losgeht, werden die Angreifer auch nicht

0:18:56.244,0:19:00.652
anders vorgehen als die Angreifer, die uns[br]heute schon Millionen und Milliarden

0:19:00.652,0:19:05.857
Schäden verursachen. Deswegen gibt es in[br]diesem Vortrag die einzig wichtige Folie,

0:19:05.857,0:19:11.257
die ich einmal kurz runterrattern möchte[br]bevor wir uns wieder den Angreifern widmen

0:19:11.257,0:19:15.224
und den schönen Verhandlungen mit ihnen.[br]Was ihr in einer solchen Situation

0:19:15.224,0:19:18.801
braucht, wenn ihr von Ransomware getroffen[br]seid, ist ein priorisiertes

0:19:18.801,0:19:23.417
Wiederherstellungskonzept. Euer Problem[br]ist nicht, dass alle Dateien weg sind, euer

0:19:23.417,0:19:27.446
Problem ist dass die Dateien von gestern[br]und von vor zwei Wochen weg sind. Das

0:19:27.446,0:19:31.183
langzeitarchiv ist gar nicht das Problem,[br]das Problem was diese Unternehmen haben

0:19:31.183,0:19:34.786
ist dass die Produktion oder der[br]Geschäftsbetrieb unmittelbar sofort

0:19:34.786,0:19:39.860
stillsteht und das kostet sehr viel Geld.[br]Was gibt's also für Best Practices für

0:19:39.860,0:19:43.974
eure Backups? Sie müssen unveränderbar[br]sein Write only Backups, ein NutzerIn darf

0:19:43.974,0:19:47.962
nicht in der Lage sein ihre eigenen[br]Backups zu löschen und es darf auch nicht

0:19:47.962,0:19:52.390
ein Admin oder eine Admina in der Lage[br]sein diese Backups zu löschen zumindest

0:19:52.390,0:19:56.733
nicht mit den Rechten im AD vergeben[br]werden. Es muss unabhängig sein auf einer

0:19:56.733,0:20:01.294
eigenen Infrastruktur, es muss isoliert[br]sein, also komplett getrenntes identity

0:20:01.294,0:20:05.883
Access Management, keinesfalls im Active[br]Directory. Wer den Backup Server

0:20:05.883,0:20:10.571
administriert, geht mit einer Tastatur und[br]einem Bildschirm in den Serverraum und

0:20:10.571,0:20:14.258
steckt die da dran. Keine remote[br]administration von dem Backup Server,

0:20:14.258,0:20:18.721
keine Verbindung in euer ad. Wir machen[br]natürlich versionierte Backups, damit wir

0:20:18.721,0:20:22.426
auch frühere Zustände wiederherstellen[br]können, wir machen verifizierte Backups.

0:20:22.426,0:20:26.751
Man könnte das ja einfach mal prüfen bevor[br]man es braucht, ja! Wie viel Geld könnte

0:20:26.751,0:20:31.540
man da sparen, wenn man auch noch einen[br]Fehler entdeckt, wir überwachen das Backup

0:20:31.540,0:20:36.008
also ist ein Backup erfolgt und ist der[br]der Datenbestand auf dem fallserver

0:20:36.008,0:20:39.920
integer! Und vor allem machen wir unsere[br]Backups risikobasiert also die

0:20:39.920,0:20:44.984
Wiederherstellung des Geschäftsmodells[br]wird priorisiert. Die meisten Daten die

0:20:44.984,0:20:49.851
Ihr nicht bra.. Ihr Backup werdet ihr im[br]akuten Fall nicht brauchen, ja wenn ihr

0:20:49.851,0:20:53.258
mal jemanden seht, der dann so ankommt[br]sagt, wir haben alles auf Tape und du

0:20:53.258,0:20:57.453
denkst okay weißt du wie lange das dauert[br]dieses Tape einzuspielen? <i>lächelt</i> Dann

0:20:57.453,0:21:04.182
verstehst du dass potentiell auch Leute[br]diese Zahlungen in Erwägung ziehen die

0:21:04.182,0:21:08.606
Backups haben. Also bitte bitte bitte das[br]sind alle Lehren die es hier zu ziehen

0:21:08.606,0:21:12.040
gibt, und das das was wir gleich über[br]Verhandlungen berichten, das vergesst ich

0:21:12.040,0:21:15.671
am besten wieder ganz schnell, das war nur[br]um euch hierher zu locken, weil uns Leute

0:21:15.671,0:21:18.987
immer danach fragen, wie denn so eine[br]Verhandlung läuft. <i>einzelne Applaus</i>

0:21:18.987,0:21:27.902
K: Ich entschuldige mich für diesen[br]Vortrag. <i>Applaus</i>

0:21:27.902,0:21:31.950
K: Es war etwas lehrerhaft aber ich glaube[br]es musste sein. Kommen wir zurück zu den

0:21:31.950,0:21:36.004
lustigen Leuten. Wir sind ja durch eine[br]Verkettung unwahrscheinlicher Zufälle

0:21:36.004,0:21:40.637
beide Psychologen mal gewesen und haben[br]noch dazu dasselbe an delben Uni studiert,

0:21:40.637,0:21:43.979
wie wir später festgestellt haben,[br]deswegen interessieren uns natürlich die

0:21:43.979,0:21:48.316
psychologischen Effekte dahinter und auch[br]die Psyche der Täter, deswegen wollen wir

0:21:48.316,0:21:52.025
hier so ein paar vorstellen, damit ihr eine[br]Vorstellung dafür kriegt, was sind das für

0:21:52.025,0:21:56.364
Leute eigentlich ja? Warum sind die[br]kriminell, was tun die so. Und wir fangen

0:21:56.364,0:22:02.803
mit einem sehr Prominenten und schillernen[br]Fall an, ihr seht da Maxim Jakubetz, das

0:22:02.803,0:22:08.121
ist ein junger Russe. Ich habe ihn hier[br]sowas wie der Pate genannt, weil er ist

0:22:08.121,0:22:11.357
eine Ausnahme, er ist ein sehr[br]klischeehafter krimineller Typ, wie ihr

0:22:11.357,0:22:16.200
gleich noch sehen werdet. Also nicht nur[br]ja das ist ein Lamborghini Huracan, den er

0:22:16.200,0:22:20.365
da fährt, das ist seiner. Das Klischee geht[br]noch viel weiter, wenn ihr das

0:22:20.365,0:22:24.839
Nummernschild betrachtet, falls ihr[br]russisch könnt, da steht W o R nicht Bor,

0:22:24.839,0:22:30.907
sondern wor und wor übersetzt heißt Dieb[br]<i>lächelt</i>. Seine ganze Gang fuhr mit

0:22:30.907,0:22:34.465
diesen Nummernschildern rum.[br]<i>einzelne Gelächter</i>

0:22:34.465,0:22:38.848
Das konnte er problemlos tun, weil er hat[br]die Tochter eines FSB Offiziers geheiratet

0:22:38.848,0:22:46.380
und muss in Russland nicht viel fürchten.[br]Klischeehaft weil er so richtig Bling

0:22:46.380,0:22:52.809
Bling protzt mit seinem Reichtum und er[br]und seine Freunde sowas machen. Das ist

0:22:52.809,0:22:57.756
die Lomonosof Universität mitten in[br]Moskau, niemand stört sie dabei, wie

0:22:57.756,0:23:03.060
gesagt FSB Offizier. Polizei bestochen und[br]so weiter. Diese Gang, die sind sowas wie

0:23:03.060,0:23:07.198
die Großväter der Ransomware, die nannten[br]sich evil Cop, auch da waren sie relativ

0:23:07.198,0:23:11.851
eindeutig in ihrer Bezeichnung.[br]<i>Gelächter</i>

0:23:11.851,0:23:14.760
Die haben schätzungsweise, es sind immer[br]Schätzungen von Ermittlern, deswegen wer weiß

0:23:14.760,0:23:19.220
ob es stimmt und wie viel es wirklich war,[br]die haben mit ihrem Banking Trojaner

0:23:19.220,0:23:24.786
namens Zeus oder süß ca 70 Millionen[br]Dollar erpresst indem sie Online Banking

0:23:24.786,0:23:29.761
Informationen abgesaugt und dann[br]ausgenutzt haben. Und ja die werden

0:23:29.761,0:23:36.332
gesucht, ne? Also das FBI hätte sie gern,[br]sie sitzen in Russland, werden da auch

0:23:36.332,0:23:41.071
nicht wegfahren. Und sicher auch kein[br]Urlaub wo anders machen als auf der Krim.

0:23:41.071,0:23:45.507
Das Interessante ist, weswegen wir sie hier[br]drin haben, sie sind wirklich so was wie

0:23:45.507,0:23:50.721
die Großväter der Ransomware Modelle, die[br]uns heute plagen. Also die Wirtschaft

0:23:50.721,0:23:55.860
mehrheitlich. Sie haben RAS erfunden[br]Ransomware As a Service also sie haben

0:23:55.860,0:24:00.268
irgendwann aufgehört das Zeug selber[br]einzusetzen, sie haben es vermietet

0:24:00.268,0:24:05.535
verkauft. Hier sind sie noch mal ein[br]bisschen größer nette junge Leute. Sie

0:24:05.535,0:24:09.666
haben angefangen ihre kriminellen[br]Fähigkeiten aufs Programmieren zu

0:24:09.666,0:24:13.848
beschränken und anschließend in[br]kriminellen Forum ihre Tools anzubieten,

0:24:13.848,0:24:18.290
und wie sehen Leute aus die sowas dann[br]weiter verkaufen? So

0:24:18.290,0:24:20.795
<i>Gelächter</i>

0:24:20.795,0:24:27.690
das ist Daniel Schukin, der wurde so noch[br]nicht öffentlich genannt, der ist einer

0:24:27.690,0:24:30.960
der Menschen die davon lebt diese[br]Vermietung zu organisieren,

0:24:30.960,0:24:34.526
höchstwahrscheinlich, muss ich an der[br]Stelle sagen, er ist auch nicht

0:24:34.526,0:24:37.795
verurteilt, hat auch Russland bis[br]jahrelang nicht verlassen. Das da ist in

0:24:37.795,0:24:41.634
Antalia, da glaubt er noch reisen zu[br]können, da hat er diese Yacht gemietet mit

0:24:41.634,0:24:48.850
Freunden zusammen. Wer ist dieser Mensch?[br]Auch ein junger Russe, etwas begabt was

0:24:48.850,0:24:54.153
die Technik angeht, lebt in Krasnodar, mag[br]BMWs und Gucci und große Feste, zeigt sich

0:24:54.153,0:24:59.805
gern mit seiner Frau und mit Freunden den[br]er das Essen bezahlt, der hat Webseiten

0:24:59.805,0:25:06.101
für Online Casinos und Crypto und anderen[br]Schmuddelkram und der vermietet oder hat

0:25:06.101,0:25:11.647
vermietet REvil, ein weiteres großes[br]Ransomware, Familienmodell. Und er scheint

0:25:11.647,0:25:17.051
nicht schlecht davon zu leben, hier ist er[br]wieder, breites Lächeln. Das im Arm ist

0:25:17.051,0:25:20.785
seine Frau, die tut hier nichts zur Sache,[br]deswegen ist sie so ein bisschen

0:25:20.785,0:25:26.444
ausgeblendet. Und leider wollte der nicht[br]mit uns reden, ich weiß auch nicht warum,

0:25:26.444,0:25:29.171
wir haben es versucht, also ich habe viele[br]E-Mails geschrieben, die er nie

0:25:29.171,0:25:33.983
beantwortet hat. Das Interessante an[br]dieser Stelle, man beachte seine Uhr,

0:25:33.983,0:25:39.578
falls Sie die erkennen könnt, hier ist sie[br]größer. Das ist eine vangard encrypto also

0:25:39.578,0:25:44.235
die Uhr allein kostet schon so 50 bis 70[br]000 € wenn man auf so hässliche Uhren

0:25:44.235,0:25:50.155
steht, und statt der 12 ist da ein QR-Code[br]eingraviert, damit wirbt die Firma dass

0:25:50.155,0:25:54.105
man da seine Bitcoin Wallet eingravieren[br]kann.

0:25:54.105,0:25:58.960
<i>Applaus, L, K und Alle lachen</i>

0:25:58.960,0:26:02.718
Die öffentliche die öffentliche das muss[br]man sich auch erstmal leisten können.

0:26:02.718,0:26:07.370
Genau, wir konnten sie leider nicht[br]entschlüsseln, also ich habe es versucht

0:26:07.370,0:26:23.801
aber wir konnten sie leider nicht lesen.[br]Das FBI konnte es. <i>Lachen, Applaus</i>

0:26:23.801,0:26:28.457
Das FBI hat gerade erst noch gar nicht so[br]lange her 317000 von ihnen beschlagnahmt,

0:26:28.457,0:26:33.480
ne also die Crypto sind genau in den Händen[br]des FBI. Ich glaube übrigens FBI ist der

0:26:33.480,0:26:38.820
größte Halter von Bitcoins überhaupt[br]weltweit, oder? <i>Viele lachen</i>

0:26:38.820,0:26:43.996
So er selbst wurde nicht gefasst aber[br]junge Russen, die sich für unverwundbar

0:26:43.996,0:26:47.676
halten, das ist ein wichtiger Aspekt[br]dabei, weil sie entweder Behörden

0:26:47.676,0:26:52.547
bestechen oder direkt in Verbindung stehen[br]mit Behörden, die sind so relativ die

0:26:52.547,0:26:57.580
bilden so eine relativ kleine Gruppe der[br]Hinterleute dieser ganzen Ransomware

0:26:57.580,0:27:03.273
Modelle, die sind aber nicht die große[br]Masse, die sind wirklich Ausnahmen. Die

0:27:03.273,0:27:11.463
die die eigentliche Arbeit machen, die[br]sehen anders aus. Das hier ist eine

0:27:11.463,0:27:16.753
Wohnung in einem relativ runtergekommenen[br]Neubaublock in Harkiv in der Ukraine

0:27:16.753,0:27:22.787
Straße ist 23 August, wen es interessiert.[br]Den Namen nenne ich hier nicht, weil dieser

0:27:22.787,0:27:27.048
Mensch nie verurteilt wurde und nicht mal[br]angeklagt, der wurde laufen gelassen, ich

0:27:27.048,0:27:32.195
erzähle gleich warum. Deswegen hier nur[br]sein Name in dem Internet unterwegs war

0:27:32.195,0:27:38.981
Jeep. Der erklärt sich auch gleich. Dieser[br]Mann war für emotet unterwegs. Emotet

0:27:38.981,0:27:46.218
ebenfalls eine riesige Ransomware Familie[br]ja, die weltweit tausende Opfer verursacht

0:27:46.218,0:27:52.474
hat. Das BKA nannte emotet einen der[br]gefährlichsten Trojaner weltweit und BSI

0:27:52.474,0:27:56.528
Chef Arne Schönbum ex BSI Chef Arne[br]Schönbum, falls sich noch jemand an ihn

0:27:56.528,0:28:03.149
erinnert, nannte es den König der[br]Schadsoftware, aber und deswegen zeigen

0:28:03.149,0:28:09.798
wir es hier auch emotet machte Fehler. Die[br]haben einen Server in Brasilien offen

0:28:09.798,0:28:14.130
gelassen, so dass dort Serverlocks[br]rumlagen, die Ermittlungsbehörden finden

0:28:14.130,0:28:18.538
konnten und dank dieser Serverlocks[br]hangelten Sie sich durch die gesamte

0:28:18.538,0:28:24.500
Infrastruktur dieser Gruppe und kamen[br]zumindest nach Angaben des BKA zu dieser

0:28:24.500,0:28:29.127
Wohnung, dort laufen alle Fäden zusammen[br]und deswegen gab's da 2021 diese

0:28:29.127,0:28:34.189
Wohnungsdurchsuchung, polizia steht da auf[br]der Jacke, also die ukrainische Polizei

0:28:34.189,0:28:38.563
bricht da gerade ein, BKA Beamte waren[br]dabei, ja also da liefen alle Fäden von

0:28:38.563,0:28:43.070
emotet zusammen hier.[br]L: Sieht aus wie bei mir.

0:28:43.070,0:28:49.045
<i>viele lachen</i>[br]K: Okay du hast auch Flohmarkt zeug? <i>lächelt</i>

0:28:49.045,0:28:53.110
K: Das ist der Schreibtisch dieses Mannes[br]und das die Wohnung eines damals 47 Jahre

0:28:53.110,0:28:58.026
alten Ukrainers, seines Zeichens[br]Systemadministrator für Linux und der

0:28:58.026,0:29:02.904
wartet Server für kleine Firmen. Und er[br]tut das für kleines Geld. Und der hat mit

0:29:02.904,0:29:08.161
uns geredet, der war sehr nett und sagte[br]also das auf diesen Backends gefährliche

0:29:08.161,0:29:12.799
trojaner waren, ich wusste es nicht, er[br]hat sich nicht dafür interessiert

0:29:12.799,0:29:19.577
wahrscheinlich. Er hat 12 Server von[br]emotet gewartet und nahm dafür $40 pro

0:29:19.577,0:29:27.640
Server und Monat $480. Ich finde es[br]interessant, weil auch so gigantische

0:29:27.640,0:29:31.574
Erpressungsmodelle ja, wir reden über[br]gigantische Erpessungsmodelle die weltweit

0:29:31.574,0:29:35.854
funktionieren, basieren auf solcher[br]Infrastruktur. Nach Auskunft der Polizei

0:29:35.854,0:29:40.580
die da in der Wohnung war, da sieht man[br]sie noch mal, war ein Großteil davon vom

0:29:40.580,0:29:48.180
Flohmarkt, Jahre alt. Übrigens könnt ihr[br]Kyrillisch lesen? Da steht Department

0:29:48.180,0:29:51.734
KeeberPolitsii, finde ich toll, falls[br]irgendjemand hiermer so Aufkleber macht,

0:29:51.734,0:29:56.565
ich hätte gern ein paar davon.[br]<i>Gelächter</i>

0:29:56.565,0:30:01.208
L: Kommen wir zurück zu einer anderen[br]Ransomware Gang, ich habe ja gesagt, dass

0:30:01.208,0:30:05.998
ich öfter mal die Freude habe mich mit[br]denen auseinandersetzen zu dürfen,

0:30:05.998,0:30:10.297
hauptsächlich deshalb weil Leute denken[br]ich könnte ihn Bitcoin organisieren, ich

0:30:10.297,0:30:16.749
habe keine Ahnung wie auf die Idee kommen[br]aber irgendwie klappt's dann auch. So

0:30:16.749,0:30:21.062
sieht dann so eine Ransom Note aus, die[br]liegt auf deinem Desktop und angegeben

0:30:21.062,0:30:25.732
wird halt ein Tor hinden Service und in[br]diesem Fall ein Login und wenn man da

0:30:25.732,0:30:29.572
drauf klickt kommt halt so ein Chat, ja[br]ist etwas andere Gang jetzt in diesem

0:30:29.572,0:30:35.519
Fall, mal Screenshot von blackbuster[br]rausgesucht und die sagen also sie wollen

0:30:35.519,0:30:41.210
Geld haben. Und jetzt beginnt der Moment[br]für den sich so viele Leute interessieren,

0:30:41.210,0:30:44.749
ich werde also immer nach Vorträgen[br]gefragt, dass ich genau das mal

0:30:44.749,0:30:48.128
beschreiben soll und wie ich gerade schon[br]sagte ich beschreibe das nicht ohne vorher

0:30:48.128,0:30:51.540
zu sagen, wie man sich davor schützen[br]kann. Weil das ist die Situation in der

0:30:51.540,0:30:55.200
man wirklich nicht sein möchte, ja. Der[br]Chat geht natürlich ein bisschen länger,

0:30:55.200,0:30:59.540
ich habe mich jetzt mal so inhaltlich grob[br]zusammengefasst. Wir veröffentlichen in 10

0:30:59.540,0:31:03.803
Tagen, wir haben einen Decrypter, wir[br]wollen in diesem Beispiel 100 Millionen,

0:31:03.803,0:31:07.625
ja. Hab jetzt einfach mal 100 genommen,[br]damit ihr ungefähr die Relationen sieht,

0:31:07.625,0:31:13.920
die die Verhandlung betreffen. Und man[br]sagt natürlich erstmals, Junge, Beweis du

0:31:13.920,0:31:16.962
doch bitte erstmal dass du die Dateien[br]hast ja, also vorher stellt man sich

0:31:16.962,0:31:20.680
erstmal so ein bisschen doof, es ist auf[br]jeden Fall klug irgendwie so ein paar doofe

0:31:20.680,0:31:25.374
Sachen zu fragen ne, was ist BTC irgendwie[br]sowas um den irgendwie zu vermitteln, dass

0:31:25.374,0:31:30.464
man relativ dumm ist, ja? Man sagt dann[br]so, ok, aber Beweis doch mal bitte dass Du

0:31:30.464,0:31:33.243
die Dateien hast, dann sagen die kein[br]Thema, hier ist die Liste ja und dann

0:31:33.243,0:31:39.711
kriegt man so ein Output von tree oder[br]find oder was auch immer ja? Und dann

0:31:39.711,0:31:42.881
sagen sie such dir drei Dateien aus, die[br]schicken wir dir ja, das heißt sie geben

0:31:42.881,0:31:46.830
dir die komplette Liste, du kannst dir[br]drei aussuchen, die kriegst du zurück und

0:31:46.830,0:31:54.366
damit beweisen sie dass du dass sie diese[br]dass Sie alle Dateien haben ne. Hier ist

0:31:54.366,0:32:00.201
deine x Doc X Y xlsx und zxe, das Gute ist[br]die die Liste der Dateien kriegst du für

0:32:00.201,0:32:05.445
umme ja und die brauchst du um den Schaden[br]abzuschätzen, der beispielsweise bei einer

0:32:05.445,0:32:10.160
Veröffentlichung droht, potenziell aber[br]z.B auch für die dsgvo Meldung also diese

0:32:10.160,0:32:14.723
die Liste an Dateien gibt's kostenlos und[br]in vielen Fällen selbst, wenn man gar

0:32:14.723,0:32:18.901
keine Absicht hat zu bezahlen, lohnt es[br]sich die sich zu organisieren ja?

0:32:18.901,0:32:25.086
Kostenlose Leistung, die man hier kriegt.[br]<i>viele lachen</i>

0:32:25.086,0:32:28.404
Und dann sagt man sowas wie du weißt du,[br]wir stellen gerade von Tapes wieder her

0:32:28.404,0:32:32.029
das dauert zwar ein bisschen, aber[br]eigentlich sind wir hier guter Dinge. Dann

0:32:32.029,0:32:36.520
sagen die, stell dir mal vor wenn wir das[br]alles veröffentlichen und man sagt so ja

0:32:36.520,0:32:42.340
eigentlich ist da jetzt nichts großartig[br]kritisches dabei! Wir verkaufen das an die

0:32:42.340,0:32:47.719
Konkurrenz! Auch immer ein sehr spannender[br]Fall, ja, wenn man diese Gespräche führt

0:32:47.719,0:32:50.470
ja und die Betroffen Unternehmen sagen, oh[br]mein Gott die verkauft das an die

0:32:50.470,0:32:53.900
Konkurrenz, oh mein Gott die Verkauf das[br]an die Konkurrenz, wenn man sagt ok, pass

0:32:53.900,0:32:58.155
auf, ich mache euch ein Angebot, ich gebe[br]euch die Daten von der Konkurenz. Das

0:32:58.155,0:33:01.861
werden wir nie machen! Ja okay aber eure[br]Konkurrenz haltet ihr für so verkommen

0:33:01.861,0:33:05.907
dass Sie von irgendwelchen Gangstern für[br]Bitcoin eure Daten kaufen <i>gelächter</i>?

0:33:05.907,0:33:10.120
Also sagt man, kannst du gern probieren[br]wir gehen eigentlich nicht davon aus dass

0:33:10.120,0:33:14.261
sie dir da sonderlich viel Geld für geben[br]ja? Außerdem muss man tatsächlich sehr

0:33:14.261,0:33:19.250
traurigerweise sagen die Veröffentlichung[br]bringt meist einen sehr geringen Schaden

0:33:19.250,0:33:26.324
für dich selber. Weiß auch der Gründer und[br]CE von Motel One, Dieter Müller der sich

0:33:26.324,0:33:31.567
nachdem dem Motel One gebreached wurde und[br]alle Kundendaten ins Internet gegangen

0:33:31.567,0:33:36.209
sind, geweigert hat mit den Leuten zu[br]verhandeln und eventuell diesen Schaden

0:33:36.209,0:33:42.148
von den Kunden abzuwenden ja? Der Mann hat[br]geringe Ansprüche an sich selbst und hohe

0:33:42.148,0:33:45.696
Ansprüche an den Staat, denn an der[br]gesamten Misere ja dass alle Motel One

0:33:45.696,0:33:50.114
Kunden jetzt mit übernachtungsdaten und[br]allem im Internet stehen, ist natürlich

0:33:50.114,0:33:54.795
der Staat schuld, denn der Staat hat noch[br]keinen Weg gefunden seiner staatlichen

0:33:54.795,0:33:59.153
Hoheitsaufgabe gerecht zu werden und seine[br]Bürger und Unternehmen vor kriminellen

0:33:59.153,0:34:03.270
digitalen Angriffen zu schützen.[br]<i>Einzelne Applaus</i>

0:34:03.270,0:34:06.653
Kann natürlich jetzt auch nicht seine[br]Schuld sein. Wie ich habe schon gesagt,

0:34:06.653,0:34:11.729
der Mann hat geringe Ansprüche an sich[br]selbst, hohe Ansprüche an den Staat,

0:34:11.729,0:34:16.925
Coronazeiten waren irgendwo im Bereich 100[br]Millionen Coronahilfen, die der

0:34:16.925,0:34:21.529
eingestrichen hat, dadurch hat Motel One[br]am Ende seine Geschäftsergebnisse

0:34:21.529,0:34:25.230
signifikant verbessern können und er hat[br]noch ein paar Interviews gegeben, dass das

0:34:25.230,0:34:29.207
eine Frechheit wäre und zu wenig.[br]<i>Gelächter</i>

0:34:29.207,0:34:32.640
Aber tatsächlich mal ne, man muss[br]tatsächlich sagen Motel One hat de facto

0:34:32.640,0:34:37.111
keinen Schaden dadurch, dass diese Daten[br]veröffentlicht wurden. Irgendwann ich

0:34:37.111,0:34:42.249
glaube es war man sieht es im Bild 2021[br]wurde extensure gebridged von Lockbit und

0:34:42.249,0:34:46.875
das vll natürlich sehr interessant, also[br]haben wir auf dem Lockbit Block so den

0:34:46.875,0:34:50.170
Countdown geguckt und so ne und dann[br]wurden irgendwann die Daten von extenser

0:34:50.170,0:34:53.905
veröffentlichicht da hat man sich ja dann[br]doch mal für interessiert, das war aber

0:34:53.905,0:34:58.688
total so ein Einzeldownload ja, du[br]konntest jede Datei einzeln, das war total

0:34:58.688,0:35:03.065
unsortiert umständlich zeitaufwendig ja[br]und die wurden auch immer wieder offline

0:35:03.065,0:35:06.504
genommen und dann wurde die Deadline[br]verlängert wann die released werden und

0:35:06.504,0:35:11.816
irgendwie sind sie jetzt nicht mehr zu[br]finden. Ich denke warum die Angreifer so

0:35:11.816,0:35:17.551
und nicht anders veröffentlichen ist ganz[br]klar, in dem Moment wo sie vollständig

0:35:17.551,0:35:22.320
veröffentlichen, haben Sie Ihr Kind mit[br]dem Bade ausgegossen, es wird Niemand mehr

0:35:22.320,0:35:27.151
bezahlen. Wenn sie aber so scheibchenweise[br]veröffentlichen, können sie potenziell

0:35:27.151,0:35:31.688
noch weiter erpressen und dich doch[br]überzeugen denen etwas Geld zu geben. Denn

0:35:31.688,0:35:35.790
für sie ist das ja eine Alles oder Nichts[br]Situation und diese Dateien zu

0:35:35.790,0:35:40.044
veröffentlichen, dann haben sie halt statt[br]irgendwie potenziell Millionen einfach nur

0:35:40.044,0:35:44.251
ein mahnendes Beispiel für den nächsten[br]und ein Fall, wo ich wieder erzählen kann,

0:35:44.251,0:35:48.951
eigentlich kein Schaden entstanden. Wir[br]haben auch darüber gesprochen, das nennt

0:35:48.951,0:35:53.521
man dann also die Angreifer wollen Druck[br]erhöhen ja, sie machen inzwischen auch mal

0:35:53.521,0:35:57.770
die Meldung an an die Behörden für dich[br]ja, auch da natürlich einfach um den Druck

0:35:57.770,0:36:03.749
zu erhöhen, weil Druck ist alles was die[br]haben, oder sie belästigen die Leute die

0:36:03.749,0:36:09.766
nicht zahlen ja, rufen dann z.B dort an[br]oder lassen dort anrufen oder erpressen

0:36:09.766,0:36:13.541
eben die Kunden um den rufschaden[br]irgendwie zu maximieren. Also die Gruppen

0:36:13.541,0:36:18.796
arbeiten daran diesen Rufschaden zu[br]vergrößern. Ja in unserem Beispiel sagen

0:36:18.796,0:36:23.942
wir mal, wir würden jetzt irgendwie in[br]Richtung einer Zahlung uns orientieren,

0:36:23.942,0:36:28.489
dann sagen wir Bruder, wie sollen wir dir[br]überhaupt vertrauen? Und dann sagt er, mein

0:36:28.489,0:36:32.550
Freund wir sind die CyberSwan Gruppe,[br]google uns, wir haben fünf Sterne auf yelp!

0:36:32.550,0:36:37.681
<i>viele lachen</i> Und es ist es ist natürlich[br]wirklich wichtig für diese Mechanik der

0:36:37.681,0:36:41.625
Verhandlung zu wissen, die müssen auch[br]ihren Ruf schützen. Wenn die euch

0:36:41.625,0:36:46.500
betrügen, dann wird das ja bekannt und[br]dann zahlt ihnen niemand mehr. Das heißt

0:36:46.500,0:36:51.852
Vertrauen ist für die eine entscheidende[br]Sache ja? Außerdem haben die auch den

0:36:51.852,0:36:57.247
ganzen Rest des Internets noch vor sich,[br]dass sie jetzt ein zweites Mal dich

0:36:57.247,0:37:02.603
erpressen ist eher unwahrscheinlich. Aber[br]dann sagst du so was wie ja boah das mit

0:37:02.603,0:37:08.686
den Tapes kennt sie ja dauert ey... pass auf[br]wir zahlen dir 25 Dann kommen wir wollen

0:37:08.686,0:37:13.484
100 und du hast noch 7 Tage danach wird es[br]teurer und dann denkst das ist natürlich

0:37:13.484,0:37:18.275
jetzt auch wieder dieses Druck ne? Wir[br]wollen mehr Geld später und dann sagst du

0:37:18.275,0:37:23.268
ja pass auf Alter in 7 Tagen sind wir[br]fertig, du kannst mir hier maximal 50

0:37:23.268,0:37:28.071
Millionen sparen, das muss aber auch[br]irgendwie businesscase für mich sein ich

0:37:28.071,0:37:34.280
zahle dir 40 ja? Dann sagen die wir wollen[br]70, das unser letztes Angebot, es gilt nur

0:37:34.280,0:37:39.699
24 Stunden und dann sagst du sowas wie, ey[br]Junge, je länger das hier dauert, umso

0:37:39.699,0:37:43.932
weniger ist deine Dienstleistung für mich[br]Wert, ich stell ja hier gerade von Tapes

0:37:43.932,0:37:48.760
wieder her. Und das ist der entscheidende[br]Punkt in diesen Verhandlung für die

0:37:48.760,0:37:52.163
Angreifer geht es um alles oder nichts,[br]also die stehen vor einer Situation dass

0:37:52.163,0:37:55.690
sie entweder von dir Geld bekommen oder[br]gar nichts und dann haben Sie noch die

0:37:55.690,0:37:58.870
Kosten dass sie deine Daten[br]veröffentlichen müssen und genau da musst

0:37:58.870,0:38:03.320
du diesem Druck wiederstehen, der[br]zeitliche Druck wird von denen nur deshalb

0:38:03.320,0:38:09.561
angebracht, weil sie also weil sie wissen,[br]je länger Du nicht zahlst desto

0:38:09.561,0:38:14.090
unwahrscheinlicher zahlst du. Insofern ist[br]das durchaus sinnvoll in einer solchen

0:38:14.090,0:38:18.829
Situation , wenn du die Zeit hast, auch[br]tatsächlich auf Zeit zu spielen, weil die

0:38:18.829,0:38:24.378
wissen, je länger der Spaß hier geht, umso[br]unwahrscheinlicher zahlst du. Na gut dann

0:38:24.378,0:38:30.374
kommt irgendwie so was, ja 60 Millionen weil Du[br]es bist, letzte Preis ja? <i>lachen</i> Und dann sagst

0:38:30.374,0:38:35.668
du, das ist der Moment den die Kunden[br]meistens nicht wollen, ja? Dann sagst mal

0:38:35.668,0:38:40.311
ok tut mir leid, ich erkläre die Behandlung[br]für gescheitert, hätte hier eine Win-Win

0:38:40.311,0:38:45.156
Situation werden können, aber na ja[br]vielleicht beim nächsten Mal.

0:38:45.156,0:38:50.177
<i>viele lachen</i>

0:38:50.177,0:38:53.367
Und dann kommt, ok lass mich mal mit dem[br]Boss reden.

0:38:53.367,0:38:56.292
<i>viele lachen</i>

0:38:56.292,0:39:00.140
Du verhandelst jetzt mit dem Level One[br]Customer Support! Und der hat klare

0:39:00.140,0:39:05.570
Grenzen und erst wenn der mit jemand[br]anders reden muss über den Deal, den er dir

0:39:05.570,0:39:10.170
machen kann, merkst du dass du vielleicht[br]langsam in einen Bereich kommst der

0:39:10.170,0:39:15.896
vielleicht für dich auch interessant ist[br]ja? Natürlich kann auch das ein Spiel sein

0:39:15.896,0:39:19.821
aber in diesem Fall werdet ihr gleich[br]sehen war es nicht, es gibt einen Boss.

0:39:19.821,0:39:24.339
Dann kommt eben so was her: ok 50%[br]allerletzte Preis ja und dann sagst du

0:39:24.339,0:39:28.617
sowas eh, woher weiß ich dass du die Datei[br]überhaupt wieder herstellen kannst? Ja

0:39:28.617,0:39:32.243
auch das erst ganz am Ende machen, weil[br]das ja ein Interesse überhaupt

0:39:32.243,0:39:36.771
signalisiert. Also die Prüfung, dass Sie[br]Dateien wiederherstellen können. Jede

0:39:36.771,0:39:41.040
Ransomware Gang bietet dafür an, schick[br]mir zwei Dateien mein Freund, entschlüssel

0:39:41.040,0:39:44.984
ich dir, kriegst du zurück, schickst Du ja[br]hier ist A encrypted und B encrypted und

0:39:44.984,0:39:49.265
dann schickt er dir die entschlüsselten[br]Dateien zurück. Das ist ein sehr wichtiger

0:39:49.265,0:39:53.505
Schritt den man keinesfalls vergessen[br]darf! Du musst dich vergewissern, dass

0:39:53.505,0:39:57.992
dein Freund die Dienstleistung auch[br]wirklich erbringen kann, sonst riskierst

0:39:57.992,0:40:02.318
du mit diesen Leuten hier zu tun zu haben.[br]Das war wannacry, ihr erinnert euch, die

0:40:02.318,0:40:07.480
ganze Ransomware hat in der Welt nur drei[br]Bitcoin Adressen angegeben und, als ich die

0:40:07.480,0:40:11.245
doppelten Screenshots gesehen habe mit dem[br]gleichen Bitcoin Wallet, war mir auch

0:40:11.245,0:40:15.114
sofort klar, die werden die Zahlung nicht[br]zuordnen können, hier besteht keine

0:40:15.114,0:40:21.250
Absicht der Wiederherstellung. Und war ja[br]auch bei Wannacry nicht so. Also wichtig

0:40:21.250,0:40:25.846
sicherstellen und erst spät sicherstellen,[br]weil damit signalisierst du überhaupt

0:40:25.846,0:40:30.566
Interesse an der ernsthaftes Interesse an[br]der Wiederherstellung. Und dann kommen die

0:40:30.566,0:40:34.889
klugen Leute und sagen, hey Vorsicht wenn[br]du zahlst, dann hacken sie dich direkt

0:40:34.889,0:40:39.547
wieder. Und das ist aber Quatsch, übrigens[br]hier das ist also auf dem Sixpack steht

0:40:39.547,0:40:44.279
Mythos auf dem nächsten Sixpack steht[br]Realität, aber dol i kann nicht so gut

0:40:44.279,0:40:47.859
schreiben wie ich. Die Realität ist[br]<i>lächeln</i>

0:40:47.859,0:40:50.624
der Rest des Internets wartet auf Sie, die[br]haben überhaupt gar keinen Grund noch mal

0:40:50.624,0:40:54.992
dich zu hacken, die geben auch übrigens[br]Garantien dass diese Ransomware Gang dich

0:40:54.992,0:41:00.543
nicht noch mal hackt. Es gibt aber genug[br]Andere! Also früher oder später musst du

0:41:00.543,0:41:06.921
dich schützen und ich kenne mehrere Fälle[br]in den die CEOs oder der Vorstand, oder

0:41:06.921,0:41:12.759
sonst was nach der Zahlung gesagt hat,[br]jetzt haben wir es hinter uns lehnt euch

0:41:12.759,0:41:19.305
zurück, fahrt die Systeme wieder hoch,[br]alles rein ins ad und den MySQL Server in

0:41:19.305,0:41:24.460
die Cloud und gebt ihm. Und kurze Zeit[br]darauf war das Geschrei groß, ja? Also ihr

0:41:24.460,0:41:29.380
kommt sowieso nicht drum herum euch besser[br]zu schützen, am besten macht ihr das bevor

0:41:29.380,0:41:34.600
ihr den Case habt, aber egal ob du zahlst[br]oder nicht, die Anderen werden kommen, ja?

0:41:34.600,0:41:39.324
Du hältst dir eine von 100 Gangs vom Leib[br]und dummerweise machen die nicht so eine

0:41:39.324,0:41:42.992
Garantie wie Schutzgeld, dass sie sagen[br]pass auf wenn die anderen Gangs kommen

0:41:42.992,0:41:45.302
dann prügeln wir die raus oder so.[br]<i>lachen</i>

0:41:45.302,0:41:49.721
Na ja dann sagen Sie, hier ist unser[br]unsere Bitcoin Wallet ja die nehmen

0:41:49.721,0:41:53.951
üblicherweise eine frische, brauchen sie[br]auch damit sie erkennen, dass die Zahlung

0:41:53.951,0:41:57.777
von dir ist. Du nimmst üblicherweise eine[br]frische und schickst mal ein satoschi

0:41:57.777,0:42:02.557
rüber, ja? Achtung, das ist interessanter[br]Moment, weil dann sehen die wie viel Geld

0:42:02.557,0:42:06.350
auf deinem Wallet liegt. Ja in dem Moment[br]beweist du, dass du über ein über eine

0:42:06.350,0:42:10.990
Summe verfügst. Es kann also durchaus auch[br]interessant sein an der Stelle vielleicht

0:42:10.990,0:42:15.970
doch nur 40 da liegen zu haben statt der[br]50 und zu sagen hey Scheiße, Freitagabend,

0:42:15.970,0:42:22.573
du weißt wie das ist, neh, ich habe jetzt[br]echt nicht... <i>viele lachen</i>

0:42:22.573,0:42:28.326
Dann sagen sie, ist angekommen und dann[br]schickst du den Rest und jetzt kommt sehr

0:42:28.326,0:42:32.875
ein sehr wichtiger Hinweis, bezahle nur,[br]wenn du ein Business Case hast. Du hast

0:42:32.875,0:42:37.513
meistens keinen, das Einzige, was hier eine[br]Rolle spielt ist, dass deine

0:42:37.513,0:42:41.934
Wiederherstellung potentiell schneller[br]geht. Alle sonstigen Folgekosten, die

0:42:41.934,0:42:47.148
Systeme härten, die Systeme desinfizieren,[br]Dinge maximal neu aufbauen, eine komplette

0:42:47.148,0:42:51.270
Renovierung deiner Infrastruktur, die[br]Kosten hast Du ohnehin, die hast du auch

0:42:51.270,0:42:55.816
jetzt schon vor dir, weil du es e machen[br]musst entweder bevor du gebreacht wurdest

0:42:55.816,0:42:59.765
oder danach. Das heißt du musst diesen[br]Case wirklich sehr genau durchrechnen

0:42:59.765,0:43:04.061
bevor du in Erwägung ziehst eine solche[br]Zahlung vorzunehmen. Wenn du es dann

0:43:04.061,0:43:09.090
gemacht hast, kommt sowas wie Yow, wir[br]haben deine Dateien gelöscht, hier ist das

0:43:09.090,0:43:17.027
deletion Lock, also das Output von rm-RF.[br]Das sieht dann so aus, und <i>Linus lächelt</i>

0:43:17.027,0:43:22.433
ich meine, die haben sogar ihre local[br]language auf Russisch eingestellt, ja?

0:43:22.433,0:43:27.293
Also man sieht hier unten die Translation[br]für gelöscht und Verzeichnis gelöscht also

0:43:27.293,0:43:33.271
ein Output von rm-RF. Und dann sagen Sie[br]yoh, wir bereiten jetzt dein Decrypter

0:43:33.271,0:43:39.782
vor.[br]<i>einzelne Gelächter</i>

0:43:39.782,0:43:46.085
Und man denkt so, bei den anderen geht das[br]eigentlich immer relativ schnell. *Linus

0:43:46.085,0:43:52.839
lächelt* So nach einer Stunde fragt man[br]mal nach und dann kommt, eh ich kann den

0:43:52.839,0:44:02.580
Typen nicht erreichen, hab mal kurz Geduld[br]bitte <i>Lachen</i> und dann kann das

0:44:02.580,0:44:07.600
manchmal ein bisschen dauern und dann [br]kommt hey, hier ist der Decrypter,

0:44:07.600,0:44:11.903
sorry der Typ war draußen einen[br]saufen, Ja? <i>video läufzt, alle lachen</i>

0:44:11.903,0:44:15.309
Und an dieser Stelle zeigt sich, du[br]würdest dem Level One Support auch keinen

0:44:15.309,0:44:19.380
Schlüssel geben, der Millionen wert ist,[br]weil dann machen sie side Deals ja? Dann

0:44:19.380,0:44:24.496
verkaufen die den Schlüssel über ihre[br]eigene Konten. Klüger hat das LV gemacht,

0:44:24.496,0:44:29.352
blackcat be denen war das so, die haben[br]quasi also auf Ihrem Server war das

0:44:29.352,0:44:33.736
Bitcoin Wallet direkt angegeben und hat[br]das immer gepollt, ja? Und das heißt auch

0:44:33.736,0:44:39.080
die Veröffentlichung von den decryption[br]Tools und deinem Pentestbericht erfolgte

0:44:39.080,0:44:44.163
automatisch, so haben die den Key von den[br]von ihren Verhandlern weggehalten. Bei

0:44:44.163,0:44:48.608
dieser Gang die ich hier im Beispiel hatte[br]war es eben so, dass sie manuelle

0:44:48.608,0:44:54.300
Interaktion oder oder direkte Interaktion[br]mit ihrem Chef brauchten und die hatten

0:44:54.300,0:44:59.005
halt echt nicht dessen die Nummer, nah?[br]Die können halt auch nur mit dem über

0:44:59.005,0:45:03.553
diesen Chat kommunizieren, aber ich bin[br]ehrlich die Stunden bis wir den Decrypter

0:45:03.553,0:45:10.519
hatten waren etwas weniger entspannt, auch[br]wenn ich mir relativ sicher war, dass sie

0:45:10.519,0:45:15.941
die Zahlung machen würden. Und Kai kann[br]noch mal ein bisschen was darüber reden,

0:45:15.941,0:45:18.424
wie es dann auf der anderen Seite[br]aussieht.

0:45:18.424,0:45:23.510
Kai: Wir machen noch mal ein kleinen[br]Exkurs zu den Leuten, die auf der anderen

0:45:23.510,0:45:29.768
Seite sitzen. Das interessante an diesen[br]Modellen ist, wir kommen auch gleich noch

0:45:29.768,0:45:33.290
zum Level 1 Support. Das interessante an[br]diesen Modellen ist dass sehr viel

0:45:33.290,0:45:37.396
outgesourced ist, wie in der Wirtschaft[br]auch an sogenannte Affiliates, da ist

0:45:37.396,0:45:43.226
Einer. Das sind Menschen die sozusagen auf[br]eigene Rechnung für irgendeine Ransomware

0:45:43.226,0:45:48.658
Familie arbeiten und ihre Beute teilen,[br]die Deals sind meist 75% für diese

0:45:48.658,0:45:53.776
Menschen, 25% oder 20% für die Gäng[br]dahinter, die Vermieter den wir vorhin

0:45:53.776,0:45:59.029
gesehen haben. Das hier ist Sebastian[br]Vahoung, ein Kanadier inzwischen

0:45:59.029,0:46:05.770
verurteilt. Der hat für Networker[br]gearbeitet, wieder eine sehr große Familie

0:46:05.770,0:46:13.779
und war der eifrigste Affiliate von[br]Networker. Der hat dutzende Angriffe

0:46:13.779,0:46:20.500
gefahren und allein er hat 1400 Bitcoin einge-[br]sammelt mit diesen Erpressungen, damals

0:46:20.500,0:46:26.485
27 Millionen Dollar. Jetzt fragt man sich,[br]wer ist so ein Mensch, ja? Dem ging es gar

0:46:26.485,0:46:30.790
nicht so schlecht, das war sein Häuschen[br]schon vorher, der wohnte da. In der Nähe

0:46:30.790,0:46:34.916
von Ottawa war nettes kleines Häuschen,[br]sieht ganz gemütlich aus, der war

0:46:34.916,0:46:39.840
Computertechniker Universität Ottawa, aber[br]der war so der Typ Kleinkrimineller der

0:46:39.840,0:46:43.820
irgendwie so ein bisschen mehr will vom[br]Leben als das was ihm sein dayjob bietet.

0:46:43.820,0:46:48.380
Der ist auch schon mal mit Drogendelikten[br]aufgefallen, hat 123 kg Marijana vertickt

0:46:48.380,0:46:51.218
<i>viele Lachen</i>

0:46:51.218,0:47:01.328
Kleinkram. Und ja das war dann beim[br]Verhör, da war er nicht mehr so... Ich

0:47:01.328,0:47:04.556
fand den Fall sehr interessant, ich habe[br]ihn ein bisschen zugeguckt man konnte

0:47:04.556,0:47:07.122
durch dann Corona konnte man der[br]Gerichtsverhandlung im Internet folgen,

0:47:07.122,0:47:10.528
wenn man so ein Link sich geholt hat von[br]den Behörden dort und ein stiller

0:47:10.528,0:47:14.298
freundlicher nicht blöder Mensch wie[br]gesagt, ich glaube er wollte ein bisschen

0:47:14.298,0:47:18.200
mehr vom Leben, das wird er jetzt nicht[br]mehr kriegen. Und er ist auch deswegen ist

0:47:18.200,0:47:22.976
er hier in der Sammlung ein Beispiel dafür[br]dass die Täter Fehler machen. Auch das

0:47:22.976,0:47:28.047
finde ich wichtig, die sind nicht[br]unfehlbar. In dem Fall hier war das FBI in

0:47:28.047,0:47:32.566
der Lage, wieder das FBI, die sind sehr[br]aktiv seit einigen Jahren. Die Stufen

0:47:32.566,0:47:37.580
Ransomware auf der Höhe von Terror ein in[br]was ihre Ermittlung angeht inzwischen, nur

0:47:37.580,0:47:43.130
so zur Wichtigkeit, das FBI hat den Server[br]geknackt auf dem die Networker Leute mit

0:47:43.130,0:47:47.860
ihren Affiliates geredet haben, neh die[br]müssen ja reden miteinander, ich war hier,

0:47:47.860,0:47:52.412
ich war da und diese Affiliates die müssen[br]belegen dass sie irgendwo eingebrochen

0:47:52.412,0:47:57.446
sind, dazu laden Sie Screenshots hoch der[br]kopierten Daten, und in einem dieser

0:47:57.446,0:48:02.907
Screenshots waren Metadaten. Screenshot[br]2.png enthielt Metadaten und in Metadaten

0:48:02.907,0:48:10.195
stand Sebastian Vahoun. Passiert den[br]besten von uns. Außerdem nutzte er für die

0:48:10.195,0:48:15.737
Kommunikation mit diesem Server zwar eine[br]anonyme E-Mail Adresse, war aber zu faul

0:48:15.737,0:48:20.153
die auch anonym abzurufen, sondern sendete[br]sich die E-Mails weiter an seine private

0:48:20.153,0:48:23.357
Mailadresse.[br]<i>viele Lachen</i>.

0:48:23.357,0:48:27.383
Über die auch seine amazon Bestellungen[br]liefen, so dass das FBI sofort auch seiner

0:48:27.383,0:48:28.977
Adresse hatte.[br]<i>einzelnes Lachen</i>

0:48:28.977,0:48:38.123
Passiert im besten. Ja also die müssen[br]miteinander reden, ganz kurz, die brauchen

0:48:38.123,0:48:42.071
irgendeine Infrastruktur um zu[br]kommunizieren und das meist der Ort, wo sie

0:48:42.071,0:48:46.193
angegriffen werden von Ermittlern.[br]Übrigens Sebastian Vahoug sitzt jetzt für,

0:48:46.193,0:48:49.822
20 Jahre in den USA, danach dann noch drei[br]Jahre Bewährung und ich glaube dann muss

0:48:49.822,0:48:55.291
er noch die Freiheitsstrafe absetzen, die[br]er in Kanada noch egal länger. So, also

0:48:55.291,0:49:02.171
diese Leute bilden Banden, die Sourcen[br]aus, die sind relativ organisiert und es

0:49:02.171,0:49:07.269
sind ganz normale Menschen, ja, keine[br]Götter, keine Superhacker. Das sind

0:49:07.269,0:49:12.044
normale Menschen die Fehler machen. Und[br]diese Arbeitsteilung dieser Band geht

0:49:12.044,0:49:18.229
sogar noch viel weiter, hier seht ihr die[br]unterste Ebene, hier seht ihr den Level 1

0:49:18.229,0:49:29.370
Support. Das ist Alla Witte, eine, ich[br]bedauere sie fast, inzwischen. Eine Frau,

0:49:29.370,0:49:33.732
die in der Sowjetunion geboren wurde, sie[br]hat dort mal Programmiererin für

0:49:33.732,0:49:39.284
Funktechnik gelernt, sie ist inzwischen 57[br]Jahre alt, hat ein bisschen Pech gehabt im

0:49:39.284,0:49:47.613
Leben, verwitwet, hat mit Scientology zu[br]tun egal. Jedenfalls sie schlug sich so

0:49:47.613,0:49:53.417
durch mit dem Programmieren von Websites,[br]lebte in Surinam zu dem Zeitpunkt und

0:49:53.417,0:49:58.909
programmierte auch für kleine Unternehmen[br]so ein bisschen HTML und solche Dinge und

0:49:58.909,0:50:03.786
dann bekam sie ein Jobangebot 2017 von[br]einer russischen Softwarefirma, so sagt

0:50:03.786,0:50:08.981
sie es. Ja mit der konnten wir auch reden.[br]Dann gab's so ein Einstellungstest online,

0:50:08.981,0:50:12.420
da musste sie so ein paar technische[br]Fragen beantworten, den hat sie bestanden

0:50:12.420,0:50:16.860
und dann hat man ihren Job angeboten, hat[br]gesagt, pass auf 800 € im Monat kannst du

0:50:16.860,0:50:22.688
von uns haben und dafür machst du hier so[br]Entwicklertätigkeiten. Kam ein kleines

0:50:22.688,0:50:28.878
Team mit neuen Leuten und die kannten sich[br]alle nur über jabber. Und ihr Job war es

0:50:28.878,0:50:33.344
dann, und da fingen sie dann doch an[br]drüber nachzudenken, ob das das richtige

0:50:33.344,0:50:36.808
ist, sowas zu programmieren, nämlich[br]Webseiten mit der Benutzeroberfläche auf

0:50:36.808,0:50:40.692
der dann steht "ihr Computer ist[br]infiziert". <i>Kai lächelt</i> Entschuldigung

0:50:40.692,0:50:47.181
das wieder eine von dolies Erfindung, aber[br]ich fand sie sehr hübsch. Und die

0:50:47.181,0:50:51.538
Softwarefma, für die sie dort gearbeitet[br]hat war Conti, eine der größten und

0:50:51.538,0:50:58.140
organisiertesten Ransomware Banden die die[br]Welt bislang gesehen hat, oder die größte

0:50:58.140,0:51:03.829
und organisierteste, und ja Alla Witte war[br]wie gesagt relativ unbedarft am Anfang,

0:51:03.829,0:51:07.405
das glaube ich ihr sogar, weil bei Jabber[br]hat sie sich noch angemeldet mit ihrem

0:51:07.405,0:51:12.542
echten Namen Alla Witte, also den Jabber[br]Server wo die Gang miteinander

0:51:12.542,0:51:17.659
kommunizierte und der dann später geleaked [br]wurde durch ein ROG Mitglied dieser Bande,

0:51:17.659,0:51:23.424
so dass ihr Name relativ schnell klar war[br]deswegen, war sie auch die erste die

0:51:23.424,0:51:29.653
Probleme bekam. Also sie war in Surinam[br]und eines Tages stand die Polizei von

0:51:29.653,0:51:33.740
Surinam vor ihrer Tür und sagte, sorry wir[br]nehmen Sie jetzt mit, ihr Visum ist

0:51:33.740,0:51:37.100
abgelaufen und ihre Computer und so[br]sammeln wir auch alles ein und wir

0:51:37.100,0:51:41.255
schicken sie zurück nach Lettland, wo sie[br]herkam. Sie sind hier nicht mehr

0:51:41.255,0:51:48.027
erwünscht, ja. Der Flug landete dann[br]seltsamerweise in Miami zwischen, da stand

0:51:48.027,0:51:54.600
dann wieder das FBI und nahm sie mit in[br]ein Gefängnis nach Ohio. Und da blieb sie

0:51:54.600,0:51:58.764
relativ lange, weil das FBI glaubte okay[br]wir haben hier sozusagen die Hacker Queen,

0:51:58.764,0:52:03.000
die kann uns was über Conti erzählen, das[br]war vor dem leack. Nah, das FBI hat sie

0:52:03.000,0:52:06.641
vorer gefunden und hoffte, sie kann ihn[br]viel verraten, aber sie kannte echt nur

0:52:06.641,0:52:10.083
die neun Leute aus ihrem Team, das waren[br]alles kleine freischaffende

0:52:10.083,0:52:15.160
Softwareentwickler, System Admins , die[br]sich ein bisschen was dazu verdienen

0:52:15.160,0:52:19.539
wollten. Sie konnte ihnen nicht viel[br]sagen, deswegen saß sie zwei Jahre dort im

0:52:19.539,0:52:25.644
Knast ohne Prozess. Und es passiert[br]einfach nichts, in der Zwischenzeit kam

0:52:25.644,0:52:30.122
der Conti Leak und alle Welter erfuhr[br]über diese Gang. Inzwischen ist sie

0:52:30.122,0:52:35.091
freigelassen worden aus den USA, ist[br]wieder zurück jetzt wieder in Lettland in

0:52:35.091,0:52:40.618
Riga. Die meisten Vorwürfe wurden fallen[br]gelassen, außer einer Verabredung zum

0:52:40.618,0:52:44.959
Computerbetrug, aber das also es reichtte[br]nicht um sie weiter festzuhalten, wie

0:52:44.959,0:52:48.282
gesagt sie lebt in Riga, sie tut mir[br]wirklich etwas leid. Inzwischen geht sie

0:52:48.282,0:52:54.580
putzen. Das ist, ihr seht hier so die[br]Struktur, von Conti das ist die unterste

0:52:54.580,0:53:00.490
Ebene dieser wirklich organisierten Gang[br]und wir reden hier über die die Profis der

0:53:00.490,0:53:06.448
Branche. Die hatten alles, die hatten[br]Chefs, die sich darum kümmerten Büros

0:53:06.448,0:53:11.033
anzumieten in denen die Leute wirklich von[br]8 bis 5 gearbeitet haben, ja, die kamen

0:53:11.033,0:53:19.990
da. Die wurden über Foren angeheuert und[br]für day Jobs und die waren wie eine Firma

0:53:19.990,0:53:25.302
organisiert. Ich zeige euch gleich noch[br]zwei Mitglieder davon aus dem

0:53:25.302,0:53:29.690
Führungsebene. Bis heute sind nicht alle[br]identifiziert, vor Allen nicht der Kopf

0:53:29.690,0:53:34.705
der Bande Stern, der ist nur unter diesem[br]Händel bekannt, ich soweit ich weiß weiß

0:53:34.705,0:53:39.454
bis heute niemand wer das ist, das ist ein[br]Zeichen dafür dass es schon auch sehr

0:53:39.454,0:53:43.451
fähige Kriminelle in diesem Bereich gibt[br]aber es sind Wenige. Und wenn ihr so wie

0:53:43.451,0:53:46.991
Linus mit diesen Leuten zu tun habt, habt[br]ihr nicht mit diesen Leuten zu tun

0:53:46.991,0:53:50.473
niemals, also die machen sich die Finger[br]da nicht mehr mit schmutzig, sondern es

0:53:50.473,0:53:55.086
ist wie gesagt der Level 1 Support, aber[br]es ist auch ein Beispiel, ja diese Banden

0:53:55.086,0:54:00.752
machen Fehler, aber ja Sie können auch gar[br]nicht so schlecht sein, wenn man Pech hat.

0:54:00.752,0:54:08.930
Noch ein paar Gesichter, hier ist einer[br]der Manager Maxim Galochkin, hat ein paar

0:54:08.930,0:54:17.090
Softwarefirmen, ist pleite gegangen, kommt[br]aus Abakan in Russland, lebt da glaube ich

0:54:17.090,0:54:24.574
noch immer, soweit zum seine Social Media[br]Profile das hergeben. Der war zuständig

0:54:24.574,0:54:30.316
dafür, dass also die haben alle[br]Virencanner, die es auf dem Markt gab,

0:54:30.316,0:54:34.878
sich so besorgt und er musste testen ob[br]ihre Schadsoftware da durchgeht idR

0:54:34.878,0:54:39.082
Evasion heißt das habe ich mir sagen...[br]L: idR Evasion, ja.

0:54:39.082,0:54:43.830
K: Der baut auch den Cryptolocker, also[br]die Daten verschlüsselt, also sein Team.

0:54:43.830,0:54:47.836
Er war Teamleiter und Manager, ja Maxim[br]wandert gern, der hält nichts von

0:54:47.836,0:54:51.753
Covidimpfung, ist ein großer Putin Fan und[br]Verteidiger des Ukrainekrieges oder das

0:54:51.753,0:54:57.683
Kriegs des Angriffs auf gegen die Ukraine[br]und Anhänger irgendeines komischen

0:54:57.683,0:55:02.799
Gurus. Letztlich ein ganz normaler Mensch.[br]<i>viele Lachen</i>

0:55:02.799,0:55:08.717
ist in Abwesenheit angeklagt in den USA,[br]weil er Teil von Conti sein soll. Hier ist

0:55:08.717,0:55:15.096
noch einer eine Ebene tiefer ein[br]Teamleiter Oleg Kugarov aus Tolyati bei

0:55:15.096,0:55:20.687
Samara, 50 Jahre alt. Ich finde den[br]interessant, den man, weil also er nennt

0:55:20.687,0:55:23.860
sich selber reverse engineer und male[br]Analyst und scheint schon länger in der

0:55:23.860,0:55:28.087
Branche zu sein, also länger als Andere,[br]viele Andere kommen wirklich aus legalen

0:55:28.087,0:55:32.844
Bereichen und suchen verzweifelt einen[br]Job. Viele können auch kein Englisch und

0:55:32.844,0:55:37.442
finden in englischsprachigen Industrien da[br]ja keinen Job, also man könnte ja auch

0:55:37.442,0:55:41.552
remote arbeiten und finden kein Job, sie[br]können halt nur russisch und gehen dann zu

0:55:41.552,0:55:47.498
einer russischen Softwarefirma. Ja Oleg[br]verkauft z.B Zero days im Darknet,

0:55:47.498,0:55:50.804
zumindest habe ich so ein paar Hinweise[br]darauf gefunden und, was ich auch

0:55:50.804,0:55:54.514
interessant finde, der hat sich schon 2014[br]bei hacking Team beworben. Hacking Team

0:55:54.514,0:55:59.849
war hier beim Kongress schon ein zwei mal[br]Thema. Das war eine recht berüchtigte

0:55:59.849,0:56:06.203
Firma die Späsoftware herstellte und von[br]Finineas Fischer aufgebohrt und aus dem

0:56:06.203,0:56:11.517
Wasser geblasen wurde, und für Conti hat[br]er Leute angeworben und geführt als

0:56:11.517,0:56:16.160
Teamleiter ja. Er grillt gern, er hat ein[br]shibaainu, Namen Simba, ein kleines

0:56:16.160,0:56:21.887
Häuschen, man sieht ih da in seiner[br]Straße. Wie ernst diese Gangs sind, sieht

0:56:21.887,0:56:26.920
man unter anderem daran, dass die USA[br]bereits sind 10 Millionen Dollar zu zahlen

0:56:26.920,0:56:32.392
für Hinweise, auf die noch nicht bekannten[br]Mitglieder. Das ist schon ein Haufen Geld

0:56:32.392,0:56:38.140
und es heißt, dass diese Branche bis heute,[br]die ganze Welt in Atem hält und kaum einen

0:56:38.140,0:56:42.161
interessiert es. Und wie gesagt ich finde[br]das immer noch seltsam. Noch dazu also

0:56:42.161,0:56:45.744
Conti hat sich nicht hat sich selber[br]zerlegt, neh. Das war nicht Ermittler, das

0:56:45.744,0:56:48.240
hat nicht geholfen Alla Witte da[br]einzusperren, sondern die haben sich

0:56:48.240,0:56:55.257
selber ruiniert. Und ja Linus wird jetzt[br]noch mal einen kurzen Vortrag über die

0:56:55.257,0:56:57.107
Lehren daraus halten.[br]<i>Linus lacht</i>

0:56:57.107,0:57:00.447
L: Also was ich noch mal sehr wichtig[br]finde, ist, ihr seht die leben dann

0:57:00.447,0:57:06.897
verhältnismäßig entspannt ja? Also wenn[br]man überlegt dass Conti war mal, blackhead

0:57:06.897,0:57:11.135
wurden irgendwie so um die also[br]üblicherweise werden immer so Einnahmen im

0:57:11.135,0:57:15.080
im 100 Millionen Bereich kriegen die hin[br]bis sie bis sie hochgehen ja. So ungefähr

0:57:15.080,0:57:21.106
das ist so die Region, wenn man sich das[br]anschaut. Und so viel Geld scheinen die

0:57:21.106,0:57:25.432
Leute an der Spitze ja auch nicht zu[br]haben, ich denke Kriminalität lohnt sich

0:57:25.432,0:57:31.259
vor allem wegen der Nebenkosten nicht, ja?[br]Also du hast, wenn du wenn dieses Geld

0:57:31.259,0:57:36.389
übergeht auf das auf das Wallet geht,[br]dauert wenige Minuten bis es von dort

0:57:36.389,0:57:40.420
verteilt wird auf viele tausend einzelne[br]wallets, also findet so ein

0:57:40.420,0:57:45.140
Geldwäschevorgang statt. Früher gerne von[br]Tornado Cash gemacht, heute vermutlich von

0:57:45.140,0:57:50.214
Anderen, weil der Betreiber von Tornado[br]Cash ja im Knast sitzt und keine Zugriff

0:57:50.214,0:57:55.949
mehr auf seine Systeme hat. Die müssen[br]sich in ihrer Interaktion sicher sein, dass

0:57:55.949,0:58:00.523
es Menschen gibt die lieber 10 Millionen[br]haben können, wenn sie verraten wer Sie

0:58:00.523,0:58:04.273
sind, und das führt dazu, dass du auch[br]echt extrem, sag ich mal dein

0:58:04.273,0:58:09.200
Freundeskreis wird sehr teuer, ja, weil du[br]sicherstellen musst, dass jeder von denen

0:58:09.200,0:58:13.534
keinen Grund findet sich die 10 Millionen[br]zu holen. Also es ist eigentlich insgesamt

0:58:13.534,0:58:19.960
dann doch glaube ich kein Lebensstil der[br]sich empfiehlt, das nur noch mal am Rande.

0:58:19.960,0:58:25.149
Kommen wir zum Fazit. Wir wissen, wie die[br]Angreifer vorgehen und wie man sich

0:58:25.149,0:58:29.728
schützt von Conti. Wir haben es nicht in[br]dem Leak, die haben ein Manual die haben

0:58:29.728,0:58:34.016
halt Probleme gehabt Nachwuchs zu finden,[br]haben sie ein Buch geschrieben so ein

0:58:34.016,0:58:37.588
kleines PDF, wie man jetzt musst du da[br]klicken und dann musst Du hier ne Blatt

0:58:37.588,0:58:41.280
hauen und dann guckst du da und dann[br]kürzester Weg zum Domänenadmin, da musst

0:58:41.280,0:58:46.080
du das machen, da musst Du hier Mimicuts[br]und das ist alles drin, ja? Die Angreifer,

0:58:46.080,0:58:49.989
also du brauchst sowieso ein[br]Wiederherstellungskonzept, solange wir den

0:58:49.989,0:58:54.077
dieses diesen Sumpf nicht trocken legen,[br]dass wir gezwungen sind zu zahlen, werden

0:58:54.077,0:58:57.757
die das weiter tun, da hilft auch kein[br]Verbot der Zahlungen. Die Angreifer

0:58:57.757,0:59:01.339
verlieren aber auch alles, wenn Du nicht[br]zahlst. Also wenn du in der unglücklichen

0:59:01.339,0:59:04.854
Situation bist, in der du niemals sein[br]willst, stell ihn glaubhaft in Aussicht,

0:59:04.854,0:59:08.780
dass sie gar nichts bekommen, das ist der[br]einzige Weg den Preis nach unten zu

0:59:08.780,0:59:12.615
drücken. Sie wollen Druck erzeugen, beuge[br]dich dem Druck nicht und nehm ihn die

0:59:12.615,0:59:16.437
Druckmittel. Also wann immer die sagen,[br]hier Tage und so weiter, sagst du einfach

0:59:16.437,0:59:19.943
moment mal, neh, also mach mal ein[br]bisschen länger, also ehrlich gesagt keine

0:59:19.943,0:59:23.251
Ahnung, also auf Zeit zu spielen, macht[br]bei Ihnen den Druck, dass sie das Geld

0:59:23.251,0:59:27.403
nicht bekommen. Sie müssen einen Ruf[br]pflegen. Dich zu betrügen schidet ihn also

0:59:27.403,0:59:31.256
mehr, als es ihnen selbst nützt, ja? Also[br]es wäre für die, ist es günstiger einfach

0:59:31.256,0:59:35.145
den nächsten zu hacken und ihr Glück da zu[br]probieren, als dich noch mal zu hacken.

0:59:35.145,0:59:39.454
Das heißt aber nicht, dass es Andere nicht[br]tun. Ja also bitte bitte bitte, ihr müsst

0:59:39.454,0:59:43.220
euch so oder so schützen! Die Liste der[br]extrahierten Dateien gibt's kostenlos, die

0:59:43.220,0:59:47.730
brauchst du für die DSGVO Meldung, schadet[br]nicht sich die abzuholen. Auch wenn du

0:59:47.730,0:59:53.625
zahlst, hast du hohe Folgekosten, du musst[br]dich sowieso noch schützen und du du musst

0:59:53.625,0:59:58.570
dich auch vergewissern, dass du wirklich[br]ein Business Case hast. Meistens hast du

0:59:58.570,1:00:02.875
den nicht, deswegen drücken die ja so bei[br]der Zeit, weil sie wissen, je länger du

1:00:02.875,1:00:06.815
über die Situation nachdenkst, umso mehr[br]Möglichkeiten dich da selber rauszuheben

1:00:06.815,1:00:11.075
findest du und umso besser geht's dir und[br]so wahrscheinlicher ist es, dass sie ihr

1:00:11.075,1:00:15.866
Geld nicht kriegen. Die Angreifer sind[br]nicht unfehlbar und trotzdem brauchst du

1:00:15.866,1:00:20.952
ein Wiederherstellungskonzept, so oder so[br]und zwar jetzt. Übrigens zum Thema

1:00:20.952,1:00:26.472
unfehlbar, hat mein Kollege Tobias heute[br]ne gestern einen Vortrag gehalten, der hat

1:00:26.472,1:00:30.887
den Titel unlocked recovering Files taken[br]hostage by Ransomware, weil wir als

1:00:30.887,1:00:35.211
kleiner Nebenaktivität unserer Aktivitäten[br]in diesem Bereich noch ein Decrypter

1:00:35.211,1:00:40.440
veröffentlichen. Dieser Talk ist Teil[br]einer Reihe, sie begann mit Hirnehaken,

1:00:40.440,1:00:44.796
sie ging weiter mit Disclosure Hack und[br]hackback von Kantorkel Dominik und mir

1:00:44.796,1:00:50.352
beim Camp. Sie hatte einen Höhepunkt[br]gestern mit Unlocked! dem Release des

1:00:50.352,1:00:54.848
decrypters für blackbuster von Tobias und[br]sie findet hoffentlich hier Ende mit

1:00:54.848,1:00:58.903
Hirne Hacken hackback Edition von Kai[br]Biermann und mir, weil damit sollte jetzt

1:00:58.903,1:01:07.024
zum Thema hoffentlich alles gesagt sein,[br]vielen Dank. <i>Applaus</i>

1:01:07.024,1:01:12.520
K: Danke![br]Engel: Wunderbar, super ja vielen Dank an

1:01:12.520,1:01:21.933
Linus und Kai.

1:01:21.933,1:01:28.792
<i>37c3 Nachspannmusik</i>

1:01:28.792,1:01:40.000
Untertitel von vielen vielen Freiwilligen und dem[br]C3Subtitles Team erstellt. Mach mit und hilf uns!