[Script Info] Title: [Events] Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text Dialogue: 0,0:00:00.23,0:00:13.14,Default,,0000,0000,0000,,{\i1}37C3 Anspannungsmusik{\i0} Dialogue: 0,0:00:13.14,0:00:18.08,Default,,0000,0000,0000,,Engel: Ok dann freue ich mich euch alle\Nsehr herzlich zu Hirne hacken der hackback Dialogue: 0,0:00:18.08,0:00:23.28,Default,,0000,0000,0000,,Edition begrüßen zu dürfen. Heute unsere\Nzwei Vortragenden Linus Neumann und Kai Dialogue: 0,0:00:23.28,0:00:29.12,Default,,0000,0000,0000,,Biermann, beides bekannte Gesichter hier.\NLinus bekannt als IT security Consultant Dialogue: 0,0:00:29.12,0:00:34.20,Default,,0000,0000,0000,,und hatte das zweifelhafte Vergnügen schon\Nmit unterschiedlichsten Ransomware Gangs Dialogue: 0,0:00:34.20,0:00:39.24,Default,,0000,0000,0000,,verhandeln zu dürfen oder zu müssen. Kai\NBiermann ist Investigativjournalist und Dialogue: 0,0:00:39.24,0:00:45.00,Default,,0000,0000,0000,,hat unter anderem Mitglieder der\NRansomware Gang Conti entdeckt aufgedeckt Dialogue: 0,0:00:45.00,0:00:50.24,Default,,0000,0000,0000,,und heute werden sie uns ein bisschen was\Ndazu erzählen wie man so spieltheoretisch Dialogue: 0,0:00:50.24,0:00:55.96,Default,,0000,0000,0000,,das Ganze verhandeln mit Ransomware\NHackern angehen kann und was da die Dialogue: 0,0:00:55.96,0:00:59.92,Default,,0000,0000,0000,,spannenden Strategien sind. Bitte ein ganz\Nherzliches Willkommen für Linus und Kai! Dialogue: 0,0:00:59.92,0:01:09.87,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,0:01:09.87,0:01:15.04,Default,,0000,0000,0000,,Kai: Hallo Kongress eine Ehre hier zu\Nsein! Danke euch! Das ist der Linus, der wurde Dialogue: 0,0:01:15.04,0:01:19.32,Default,,0000,0000,0000,,schon kurz vorgestellt, der mag gern\Nreiten, schwimmen und hacken so viel zu Dialogue: 0,0:01:19.32,0:01:23.56,Default,,0000,0000,0000,,seinen Hobbys. Er wird öfters mal\Nangerufen wenn irgendwo eine Firma Dialogue: 0,0:01:23.56,0:01:29.48,Default,,0000,0000,0000,,gecybert wird und deswegen steht er hier.\NLinus: Das ist der Kai, der hat keine Dialogue: 0,0:01:29.48,0:01:36.32,Default,,0000,0000,0000,,Hobbys die er öffentlich nennen möchte.\N{\i1}Lachen{\i0} Und ruft gerne mal an wenn jemand Dialogue: 0,0:01:36.32,0:01:41.26,Default,,0000,0000,0000,,gecybert wird weil er im\NInvestigativressort von Zeit und Zeit Dialogue: 0,0:01:41.26,0:01:47.16,Default,,0000,0000,0000,,online arbeitet. Und wenn dieses Telefon\Nso bei mir klingelt ist eigentlich der Dialogue: 0,0:01:47.16,0:01:51.66,Default,,0000,0000,0000,,erste Satz immer so: Linus, du musst\Nsofort helfen, wir werden erpresst! Dialogue: 0,0:01:51.66,0:01:56.71,Default,,0000,0000,0000,,{\i1}Gemurmel{\i0} Und so als Einstieg möchte\Nich mal einen Fall von vor gar nicht allzu Dialogue: 0,0:01:56.71,0:02:03.28,Default,,0000,0000,0000,,langer Zeit schildern, wo ein Hacker oder\Neine Hackerin von einer eigenen Domain Dialogue: 0,0:02:03.28,0:02:08.44,Default,,0000,0000,0000,,eine E-Mail geschrieben hat.\N"Ich wurde angeheuert um Ihre Webseite zu Dialogue: 0,0:02:08.44,0:02:13.41,Default,,0000,0000,0000,,hacken, ich habe Zugriff auf alle\NKundendaten und mein Kunde also der der Dialogue: 0,0:02:13.41,0:02:18.40,Default,,0000,0000,0000,,mich beauftragt hat zahlt zu wenig\Ndeswegen können Sie jetzt Ihre Daten Dialogue: 0,0:02:18.40,0:02:21.62,Default,,0000,0000,0000,,zurückkaufen und ich sage in die\NSchwachstelle." Dialogue: 0,0:02:21.62,0:02:25.25,Default,,0000,0000,0000,,{\i1}wachsendes Lachen{\i0} Dialogue: 0,0:02:25.25,0:02:29.46,Default,,0000,0000,0000,,Linus: Klang schon mal jetzt nicht so auf\NAnhieb überzeugend ja? Und dann auch was Dialogue: 0,0:02:29.46,0:02:34.18,Default,,0000,0000,0000,,ich sehr schön finde du so unmittelbare\NSelbstbeschuldigung: "Mir ist klar dass es Dialogue: 0,0:02:34.18,0:02:38.09,Default,,0000,0000,0000,,ihre Daten sind und ich der Kriminelle bin\Nder sich Zugang zu ihnen verschafft hat, Dialogue: 0,0:02:38.09,0:02:41.51,Default,,0000,0000,0000,,werden sie jetzt aber nicht emotional,\Nstellen Sie sich einfach nur mal den Dialogue: 0,0:02:41.51,0:02:44.16,Default,,0000,0000,0000,,Schaden vor wenn ich veröffentliche." Dialogue: 0,0:02:44.16,0:02:46.93,Default,,0000,0000,0000,,{\i1}Lachen{\i0} Dialogue: 0,0:02:46.93,0:02:52.30,Default,,0000,0000,0000,,Linus: Ja und ich habe ja schon gesagt das\Nwar ein Erpresser ja und er hat dann seine Dialogue: 0,0:02:52.30,0:02:56.46,Default,,0000,0000,0000,,Forderung uns mitgeteilt: "ich will\N2000€". Dialogue: 0,0:02:56.46,0:03:04.28,Default,,0000,0000,0000,,{\i1}Lachen{\i0}{\i1}Linus lacht{\i0} Dialogue: 0,0:03:04.28,0:03:08.88,Default,,0000,0000,0000,,L: Ja wir haben dann halt die SQL\NInjection gefixt und ich sag mal so mit Dialogue: 0,0:03:08.88,0:03:14.12,Default,,0000,0000,0000,,ein bisschen mehr Forderung hätten wir ihn\Nwahrscheinlich auch ernst genommen, haben Dialogue: 0,0:03:14.12,0:03:18.04,Default,,0000,0000,0000,,uns dann aber entschieden vielleicht\Nerstmal nicht zu antworten, worauf hin er Dialogue: 0,0:03:18.04,0:03:22.48,Default,,0000,0000,0000,,sagte "Ich muss dem Kunden jetzt in 24\NStunden antworten und Sie müssen sich Dialogue: 0,0:03:22.48,0:03:27.80,Default,,0000,0000,0000,,jetzt entscheiden, das ist kein Blöff."\N{\i1}laute Lachen{\i0} Dialogue: 0,0:03:27.80,0:03:31.64,Default,,0000,0000,0000,,Da haben wir erstmals ein Tee getrunken.\N{\i1}lachen{\i0} Dialogue: 0,0:03:31.64,0:03:37.20,Default,,0000,0000,0000,,Und dann schrieb er wieder "ich gebe ihn\Nnoch mal 24 Stunden {\i1}viele lachen{\i0} Dialogue: 0,0:03:37.20,0:03:44.23,Default,,0000,0000,0000,,aber aber dann aber dann!"\NL: Ja doch ist ein Blöff ja haben also Dialogue: 0,0:03:44.23,0:03:48.73,Default,,0000,0000,0000,,erstmal nichts gemacht und dann schrieb\Ner: "also ich gebe ihnen jetzt noch ein Dialogue: 0,0:03:48.73,0:03:53.49,Default,,0000,0000,0000,,letztes Mal 24 Stunden dann aber wirklich!\NUnd dann wurden die Drohungen "sagt er," Dialogue: 0,0:03:53.49,0:03:57.81,Default,,0000,0000,0000,,und sie haben können sich gar nicht\Nvorstellen, was jetzt noch alles passiert Dialogue: 0,0:03:57.81,0:04:02.45,Default,,0000,0000,0000,,und ja." So der Kunde wurde auch, was wenn\Ner noch irgendwas Anderes hat und wir so Dialogue: 0,0:04:02.45,0:04:06.29,Default,,0000,0000,0000,,na ja, wenn er noch irgendwas Anderes\Nkönnte dann wird er wahrscheinlich nicht Dialogue: 0,0:04:06.29,0:04:14.36,Default,,0000,0000,0000,,2000€ fordern. Und wir haben uns aber\Ngewundert, was ist das denn für Einer? Ja? Dialogue: 0,0:04:14.36,0:04:18.52,Default,,0000,0000,0000,,Also was ist das für ein Typ der so\Nrichtig wohlformulierte lange E-Mails Dialogue: 0,0:04:18.52,0:04:24.00,Default,,0000,0000,0000,,schreibt ja? Und uns war irgendwie nicht\Nso klar, es war wohlformulierte Sprache, Dialogue: 0,0:04:24.00,0:04:28.28,Default,,0000,0000,0000,,ich sag jetzt nicht welche, aber sie war\Nschön formuliert und wir hatten zwei Dialogue: 0,0:04:28.28,0:04:33.44,Default,,0000,0000,0000,,Hypothesen. Die eine war dass ist irgend\Nso ein Abiturient der von zu Hause im Dialogue: 0,0:04:33.44,0:04:37.08,Default,,0000,0000,0000,,Kinderzimmer irgendwie meint er wäre jetzt\Nder große Hacker, weil das könnte erklären Dialogue: 0,0:04:37.08,0:04:42.32,Default,,0000,0000,0000,,dass er 2000€ für viel Geld hält {\i1}lachen{\i0}\Noder ist Irgendjemand mit Chat GPT in Dialogue: 0,0:04:42.32,0:04:45.72,Default,,0000,0000,0000,,Indien oder so für den das potenziell auch\Nviel Geld wäre. Also haben wir uns überlegt Dialogue: 0,0:04:45.72,0:04:49.64,Default,,0000,0000,0000,,na ja lass uns doch mal rausfinden. Ja\Nhaben uns entschieden wir antworten doch Dialogue: 0,0:04:49.64,0:04:53.72,Default,,0000,0000,0000,,mal und haben da gesagt:\NL: Also pass auf du solltest deine Server Dialogue: 0,0:04:53.72,0:04:57.88,Default,,0000,0000,0000,,echt nicht in der EU hosten, weil\N{\i1}Gelächter{\i0} die Polizeibehörden hier Dialogue: 0,0:04:57.88,0:05:03.76,Default,,0000,0000,0000,,arbeiten zusammen ja? Und diese Domain die\Ndu da hast die solltest du echt nicht mit Dialogue: 0,0:05:03.76,0:05:08.68,Default,,0000,0000,0000,,der Kreditkarte zahlen.\N{\i1}Linus lacht, viele Lachen{\i0} Dialogue: 0,0:05:08.68,0:05:13.60,Default,,0000,0000,0000,,Und wenn du dein SQL Map Angriffe versuch\Ndas doch mal über TOR wenigstens statt von Dialogue: 0,0:05:13.60,0:05:20.04,Default,,0000,0000,0000,,deinem anderen VServer aus, ja? Kam\Nerstmals nichts. {\i1}einige lachen{\i0} und dann Dialogue: 0,0:05:20.04,0:05:23.70,Default,,0000,0000,0000,,hab ich gesagt:\NL: Pass auf in 24 Stunden Dialogue: 0,0:05:23.70,0:05:29.48,Default,,0000,0000,0000,,{\i1}sehr viele Lachen, Applaus{\i0} Dialogue: 0,0:05:29.48,0:05:34.36,Default,,0000,0000,0000,,geht unser Bericht ans LKA. Die\NDatenschutzmeldung haben wir ohnehin schon Dialogue: 0,0:05:34.36,0:05:38.12,Default,,0000,0000,0000,,gemacht, was soll schon noch kommen ja?\NHaben wir ihm Angebot gemacht haben Dialogue: 0,0:05:38.12,0:05:40.56,Default,,0000,0000,0000,,gesagt:\NL: Pass auf wenn du deine Daten löscht Dialogue: 0,0:05:40.56,0:05:43.68,Default,,0000,0000,0000,,bekommst du McDonald's Gutschein\N{\i1}viele lachen{\i0} Dialogue: 0,0:05:43.68,0:05:54.44,Default,,0000,0000,0000,,über 100€ und dann kam eben so, "Eh, meine\Noffshore Server sind verschlüsselt!" L: Wie Dialogue: 0,0:05:54.44,0:05:59.48,Default,,0000,0000,0000,,so ... was für Offshore Server? was für\NVerschlüsselung? Dialogue: 0,0:06:00.32,0:06:08.20,Default,,0000,0000,0000,,"Ich will 2000€ sie haben 24 Stunden,\Nsonst..." {\i1}einige lachen{\i0} Dialogue: 0,0:06:08.20,0:06:11.60,Default,,0000,0000,0000,,L: War wieder die große Sorge, was macht\Ner denn jetzt noch ne haben wir gewartet Dialogue: 0,0:06:11.60,0:06:17.08,Default,,0000,0000,0000,,und dann kam dedos {\i1}einzelne Gelächter{\i0}\Ndann haben wir cloudflare dazwischen Dialogue: 0,0:06:17.08,0:06:21.08,Default,,0000,0000,0000,,geschaltet und dann waren wir fertig ja\N{\i1}lachen{\i0} Dialogue: 0,0:06:21.08,0:06:25.12,Default,,0000,0000,0000,,weil wir haben natürlich aus zwei Gründen\Nhier nicht bezahlt: 1. die Forderung war Dialogue: 0,0:06:25.12,0:06:28.36,Default,,0000,0000,0000,,viel zu gering, das Geld wär viel zu\Nschnell weg gewesen und der wäre wieder Dialogue: 0,0:06:28.36,0:06:33.44,Default,,0000,0000,0000,,gekommen und hätte mehr gewollt und ja ist\Nauch nichts weiter passiert. Aber Dialogue: 0,0:06:33.44,0:06:37.88,Default,,0000,0000,0000,,natürlich sind nicht alle Diskussionen\Noder alle solche Fälle, wenn man mit einem Dialogue: 0,0:06:37.88,0:06:41.86,Default,,0000,0000,0000,,verwirrten Einzeltäter zu tun hat, so\Nglimpflich und so einfach. Dialogue: 0,0:06:41.86,0:06:49.44,Default,,0000,0000,0000,,Kai: Und vor all so lustig. Das hier ist\Neiner, das ist so ein Einzeltäter, der hat Dialogue: 0,0:06:49.44,0:06:52.48,Default,,0000,0000,0000,,mutmaßlich muss ich an dieser Stelle\Nsagen, weil er steht gerade erst vor Dialogue: 0,0:06:52.48,0:06:56.12,Default,,0000,0000,0000,,Gericht und ist noch nicht verurteilt und\Ner bestreitet die Tat obwohl es ziemlich Dialogue: 0,0:06:56.12,0:07:00.24,Default,,0000,0000,0000,,gute Indizien gibt, die ihr gleich sehen\Nwerdet. Das ist so ein Einzeltäter der hat Dialogue: 0,0:07:00.24,0:07:05.88,Default,,0000,0000,0000,,in Finnland eine Firma erpresst wastamo\Ndie Therapiezentren betreibt, Dialogue: 0,0:07:05.88,0:07:13.16,Default,,0000,0000,0000,,psychiatrische Therapiezentren und hat\Nsämtliche therapeutischen Unterlagen Dialogue: 0,0:07:13.16,0:07:19.96,Default,,0000,0000,0000,,gecybert kopiert. Der hat sich alle\NProtokolle aus Therapiesitzungen, alle Dialogue: 0,0:07:19.96,0:07:24.20,Default,,0000,0000,0000,,Diagnosen von vielen vielen finnischen\NMenschen von deren Server geholt und hat Dialogue: 0,0:07:24.20,0:07:31.56,Default,,0000,0000,0000,,anschließend gesagt "ich will nicht 2000€\Nsondern 40 Bitcoin". Das waren damals, ist Dialogue: 0,0:07:31.56,0:07:39.20,Default,,0000,0000,0000,,schon zwei Jahre her, ca 180 000€ und die\NFirma hat nicht reagiert. Die hat Tee Dialogue: 0,0:07:39.20,0:07:46.08,Default,,0000,0000,0000,,getrunken und daraufhin hat er den\NPatienten und Patientinnen eine Mail Dialogue: 0,0:07:46.08,0:07:50.84,Default,,0000,0000,0000,,geschickt die Daten hat er ja und hat\Ngesagt ok, die Firma zahlt nicht dann will Dialogue: 0,0:07:50.84,0:07:57.20,Default,,0000,0000,0000,,ich von euch Geld 200€ in Bitcoin damit\Neure Therapieunterlagen nicht im Netz Dialogue: 0,0:07:57.20,0:08:02.52,Default,,0000,0000,0000,,veröffentlicht werden. Wer macht denn\Nsowas? Hier ist so eine Selbstbeschreibung Dialogue: 0,0:08:02.52,0:08:07.40,Default,,0000,0000,0000,,von ihm, könnt ihr mal lesen wenn ihr Zeit\Nhabt. Ein lustiger junger Mann 25 ist er Dialogue: 0,0:08:07.40,0:08:14.60,Default,,0000,0000,0000,,inzwischen, er glaubt er ist ein großer\NPhilanthrop und hat mit beim Umgang mit Dialogue: 0,0:08:14.60,0:08:18.60,Default,,0000,0000,0000,,Tieren schon viel übers Leben gelernt vor\Nallem hat er früh schon Ärger gemacht, der Dialogue: 0,0:08:18.60,0:08:23.32,Default,,0000,0000,0000,,hat mit 15 seine erste Verurteilung\Nkassiert, damals war er an Ddos Attacken Dialogue: 0,0:08:23.32,0:08:26.36,Default,,0000,0000,0000,,beteiligt und an einem Hobby namens\Nswatting, ich weiß nicht ob schon mal Dialogue: 0,0:08:26.36,0:08:29.88,Default,,0000,0000,0000,,gehört habt. Das ist wenn man Leuten die\NPolizei nach Hause schickt ohne Grund, Dialogue: 0,0:08:29.88,0:08:35.56,Default,,0000,0000,0000,,kann sehr ärgerlich sein. Zurück zum Fall,\Nder hat in Finnland für ziemliche Dialogue: 0,0:08:35.56,0:08:39.64,Default,,0000,0000,0000,,Aufregung gesorgt, das ist die damalige\Nfinnische Innenministerin, die fand diesen Dialogue: 0,0:08:39.64,0:08:44.24,Default,,0000,0000,0000,,data breach ein ziemlich shocking Act. Und\Ndie Formulierung ist interessant, weil es Dialogue: 0,0:08:44.24,0:08:49.04,Default,,0000,0000,0000,,mehr ein Fall von Data breach ist als ein\NFall von hacking, denn und jetzt kommen Dialogue: 0,0:08:49.04,0:08:52.84,Default,,0000,0000,0000,,wir zu einem 2. wichtigen Punkt in unserem\NTalk. Die Betroffenen sind oft nicht so Dialogue: 0,0:08:52.84,0:08:59.24,Default,,0000,0000,0000,,ganz unschuldig an dem ganzen Problem. Der\NServer auf dem alle Therapieunterlagen von Dialogue: 0,0:08:59.24,0:09:03.12,Default,,0000,0000,0000,,allen finnischen Patienten und\NPatientin lagen war erstens eine Dialogue: 0,0:09:03.12,0:09:07.84,Default,,0000,0000,0000,,selbstgebaute mySQL Datenbank die hingt\Nzweitens im Netz war drittens über Google Dialogue: 0,0:09:07.84,0:09:12.22,Default,,0000,0000,0000,,zu finden. Und nur durch ein\NStandardsystem Admin Passwort geschützt. Dialogue: 0,0:09:12.22,0:09:22.56,Default,,0000,0000,0000,,{\i1}Gemurmel{\i0} Auslieferungszustand sozusagen.\NWer macht so was? Er, das ist der CEO dieser Dialogue: 0,0:09:22.56,0:09:27.08,Default,,0000,0000,0000,,Firma Vastaamo der war ganz betroffen\Ndarüber dass jemand seine Firma ruiniert Dialogue: 0,0:09:27.08,0:09:31.32,Default,,0000,0000,0000,,hat, die ist daraufhin nämlich pleite\Ngegangen und wird bis heute verklagt Dialogue: 0,0:09:31.32,0:09:35.44,Default,,0000,0000,0000,,dafür. Der ist nicht betroffen darüber\Ndass viele viele finnische Menschen Dialogue: 0,0:09:35.44,0:09:41.16,Default,,0000,0000,0000,,erpresst wurden, sondern darüber dass eine\Nschöne Firma kaputt gegangen ist. Noch ein Dialogue: 0,0:09:41.16,0:09:44.44,Default,,0000,0000,0000,,Fakt zu den Patientendaten, den ich sehr\Ninteressant finde, sie waren nicht Dialogue: 0,0:09:44.44,0:09:51.28,Default,,0000,0000,0000,,anonymisiert und nicht verschlüsselt.\NSollte man nicht machen wenn man so heikle Dialogue: 0,0:09:51.28,0:09:56.04,Default,,0000,0000,0000,,Gesundheitsdaten hat. Und die Firma hat\Nauch Vorgaben des finnischen Dialogue: 0,0:09:56.04,0:10:01.60,Default,,0000,0000,0000,,Gesundheitssystems umgangen zur\NDatensicherung. Aber zurück zu unserem Dialogue: 0,0:10:01.60,0:10:09.84,Default,,0000,0000,0000,,Täter weil... Also er will 40 Bitcoin was\Ntamamo zahlt nicht da haben wir ihn wieder Dialogue: 0,0:10:09.84,0:10:16.48,Default,,0000,0000,0000,,den kermit, daraufhin hat er eine schlaue\NIdee, er will um seinen Druck zu erhöhen, Dialogue: 0,0:10:16.48,0:10:19.28,Default,,0000,0000,0000,,weil das ist für den Erpressern immer sehr\Nwichtig wie er auch eben schon gesehen Dialogue: 0,0:10:19.28,0:10:24.12,Default,,0000,0000,0000,,hat, er will den Druck erhöhen und sagt\Nok, wenn ihr nicht zahlt, dann liege ich Dialogue: 0,0:10:24.12,0:10:31.20,Default,,0000,0000,0000,,eben jeden Tag den ihr nicht zahlt liege\Nich 100 Patientenakten. Das Problem dabei Dialogue: 0,0:10:31.20,0:10:34.92,Default,,0000,0000,0000,,war, er hat es in ein finnischen imageboard\Ngemacht, ich hoffe ich spreche das richtig Dialogue: 0,0:10:34.92,0:10:39.96,Default,,0000,0000,0000,,aus, yillilauter heißt es, das Problem\Ndabei war, er hat so ein paar Informationen Dialogue: 0,0:10:39.96,0:10:45.28,Default,,0000,0000,0000,,seines Servers von dem er ausgeleakt hat\Nmitgeleakt, {\i1}K lacht, Gemurmel{\i0} IP-Adressen und Dialogue: 0,0:10:45.28,0:10:49.44,Default,,0000,0000,0000,,solche Dinge. Worauf hin die Polizei\Ndieser Spur folgen konnte und relativ Dialogue: 0,0:10:49.44,0:10:53.32,Default,,0000,0000,0000,,schnell dahinter kam dass da so ein\NNetzwerk von Servern existiert, dass Jemand Dialogue: 0,0:10:53.32,0:11:02.19,Default,,0000,0000,0000,,mit seiner Kreditkarte bezahlt hatte.\N{\i1}einzelne Applaus{\i0} Wird noch schöner. *Kai Dialogue: 0,0:11:02.19,0:11:06.48,Default,,0000,0000,0000,,lächelt* Das war nicht der einzige Hinweis\Nauf ihn, den die Polizei fand also, wastamo Dialogue: 0,0:11:06.48,0:11:17.28,Default,,0000,0000,0000,,zaht nicht ja sind keine netten Leute. Der\NMann reiste viel, er war er tauchte unter. Dialogue: 0,0:11:17.28,0:11:20.76,Default,,0000,0000,0000,,Also die Polizei hatte schon seinen Namen,\Nsie ahnte wer es ist und suchte ihn in Dialogue: 0,0:11:20.76,0:11:25.72,Default,,0000,0000,0000,,Finnland und er ist abgehauen ins Ausland,\Nhat aber die nicht sehr schlaue Idee Dialogue: 0,0:11:25.72,0:11:28.15,Default,,0000,0000,0000,,gehabt darüber im Internet zu posten. Dialogue: 0,0:11:28.15,0:11:28.20,Default,,0000,0000,0000,,{\i1}Gelächter{\i0} Dialogue: 0,0:11:28.20,0:11:33.40,Default,,0000,0000,0000,,Ja er hat wieder auf diesem imageboard\NJimmiLauter ein Foto gepostet wo er an der Dialogue: 0,0:11:33.40,0:11:37.72,Default,,0000,0000,0000,,französischen Küste es sich gut gehen\Nlässt und sich diesen blödsiniges Wasser Dialogue: 0,0:11:37.72,0:11:46.68,Default,,0000,0000,0000,,ins Gesicht sprüht. Und hat dieses Foto da\Ngepostet unter anderem von einem der Dialogue: 0,0:11:46.68,0:11:51.00,Default,,0000,0000,0000,,Server die im Zusammenhang mit der Tat\Nstanden, auch nicht so clever und noch Dialogue: 0,0:11:51.00,0:11:55.72,Default,,0000,0000,0000,,viel lustiger, dieses Foto war so gut, dass\Ndie Polizei einen Fingerabdruck nehmen Dialogue: 0,0:11:55.72,0:12:06.16,Default,,0000,0000,0000,,konnte.\N{\i1}Viele lachen, Applaus{\i0} Dialogue: 0,0:12:06.16,0:12:11.24,Default,,0000,0000,0000,,Die finische Polizei wusste jetzt also wo\Nsie ihn suchen muss, in Frankreich. Dialogue: 0,0:12:11.24,0:12:15.92,Default,,0000,0000,0000,,Übrigens an dieser Stelle möchten wir\Neinen kurzen Gruß an Starbug schicken, der Dialogue: 0,0:12:15.92,0:12:22.12,Default,,0000,0000,0000,,hat nämlich 2014 in einem Vortrag genau\Ndas prophezeit. Damals hat er von einem Dialogue: 0,0:12:22.12,0:12:25.56,Default,,0000,0000,0000,,Foto von Ursula von der Leihen, das in der\NBundespressekonferenz aufgenommen worden Dialogue: 0,0:12:25.56,0:12:32.00,Default,,0000,0000,0000,,war den Daumenabdruck extrahiert und\Nbewiesen dass das geht, danke Starbug! Die Dialogue: 0,0:12:32.00,0:12:41.26,Default,,0000,0000,0000,,finnische Polizei hat dir zugeschaut.\N{\i1}Applaus{\i0} Dialogue: 0,0:12:41.26,0:12:45.06,Default,,0000,0000,0000,,Nachdem wir uns jetzt mit ein paar\NAmateuren auseinandergesetzt haben die Dialogue: 0,0:12:45.06,0:12:50.57,Default,,0000,0000,0000,,eure Unternehmen ruinieren können oder\Nsich selbst oder beides, wollen wir uns mal Dialogue: 0,0:12:50.57,0:12:54.41,Default,,0000,0000,0000,,kurz ein bisschen mit Profis\Nauseinandersetzen. Und für mich ist das Dialogue: 0,0:12:54.41,0:12:59.96,Default,,0000,0000,0000,,ein bisschen ärgerlich, weil ich darüber in\Nvielen Vorträgen seit nun mehr 7 Jahren Dialogue: 0,0:12:59.96,0:13:05.48,Default,,0000,0000,0000,,rede ja? Und zwar Ransomware es ist\Nwirklich nichts Neues aber ich möchte kurz Dialogue: 0,0:13:05.48,0:13:10.26,Default,,0000,0000,0000,,eine kleine verkürze subjektive Geschichte\Nder Ransomware erzählen. Ungefähr 2016 Dialogue: 0,0:13:10.26,0:13:15.19,Default,,0000,0000,0000,,ging es los mit locky, das war so eine\NRansomware fürs Privatkundengeschäft hat Dialogue: 0,0:13:15.19,0:13:19.44,Default,,0000,0000,0000,,irgendwie so local host sofort\Nverschlüsselt und irgendwas im Bereich von Dialogue: 0,0:13:19.44,0:13:24.48,Default,,0000,0000,0000,,paar 100 Euro verlangt ja? Es kam dann\Nspäter wannacry, das war im Prinzip auch so Dialogue: 0,0:13:24.48,0:13:29.06,Default,,0000,0000,0000,,eine local host randsomeware aber\Nverbunden mit dem eternal blue Exploit hat Dialogue: 0,0:13:29.06,0:13:34.11,Default,,0000,0000,0000,,also im lokalen Netz nach SMB shares\Ngecheckt und die auch noch mal infiziert Dialogue: 0,0:13:34.11,0:13:39.24,Default,,0000,0000,0000,,ja. Also ging so ein bisschen weiter rein.\NIrgendwann 2018 müsste ryuk damit Dialogue: 0,0:13:39.24,0:13:44.43,Default,,0000,0000,0000,,angefangen haben zu erkennen, dass das\NBackup der natürliche Feind der Ransomware Dialogue: 0,0:13:44.43,0:13:49.53,Default,,0000,0000,0000,,ist und hat sich darauf konzentriert in\NRichtung ad compromise zu gehen also Dialogue: 0,0:13:49.53,0:13:53.27,Default,,0000,0000,0000,,komplette Active Directory zu übernehmen\Nund von dort aus in meisten Leute hängen Dialogue: 0,0:13:53.27,0:13:57.25,Default,,0000,0000,0000,,ja dummerweise ihren Backup Server ins\NActive Directory, was die schlechteste Dialogue: 0,0:13:57.25,0:14:02.06,Default,,0000,0000,0000,,Idee ist die man haben kann, und dann\Nzerstören sie also erst die Backups und Dialogue: 0,0:14:02.06,0:14:06.01,Default,,0000,0000,0000,,rollen dann über eine Group Policy die\NRansomware auf allen Hosts aus. Ja das fing Dialogue: 0,0:14:06.01,0:14:16.10,Default,,0000,0000,0000,,so ungefähr 2018 an und 2019 fing es an\Ndass maze sich auch so ein bisschen mehr Dialogue: 0,0:14:16.10,0:14:20.73,Default,,0000,0000,0000,,auf fileshares spezifisch konzentriert hat\Nund auf das Modell der Double extortion. Dialogue: 0,0:14:20.73,0:14:24.46,Default,,0000,0000,0000,,Double extortion könnt ihr euch so\Nvorstellen dass man.. Ich erkläre es Dialogue: 0,0:14:24.46,0:14:29.66,Default,,0000,0000,0000,,gleich ne, weil ich möchte eigentlich noch\Nmal kurz darauf reingehen wie katastrophal Dialogue: 0,0:14:29.66,0:14:34.62,Default,,0000,0000,0000,,es ist dass wir 2023 noch darüber reden\Nja? Seit 2019 mindestens ist das die Dialogue: 0,0:14:34.62,0:14:39.19,Default,,0000,0000,0000,,gleiche Masche, seit 2016 ist es ein\NGeschäftsmodell und es sollte einfach so Dialogue: 0,0:14:39.19,0:14:42.82,Default,,0000,0000,0000,,sein wie in jedem IT security lifeecycle,\Ndu hast eine Prävention wenn die Dialogue: 0,0:14:42.82,0:14:46.52,Default,,0000,0000,0000,,fehlschlägt hast du eine Detektion und\Nwenn die fehschlägt hast eine Recovery. Dialogue: 0,0:14:46.52,0:14:50.31,Default,,0000,0000,0000,,Die meisten Leute gehen davon aus, dass es\Nvielleicht nicht ganz so gut bei Ihnen Dialogue: 0,0:14:50.31,0:14:53.70,Default,,0000,0000,0000,,aussieht ne, haben eine Prävention\Nvielleicht eine Detektion und die Recovery Dialogue: 0,0:14:53.70,0:14:58.86,Default,,0000,0000,0000,,eigentlich nicht ganz so gut. Aber wie es\Nwirklich in der Realität für sie aussieht Dialogue: 0,0:14:58.86,0:15:03.45,Default,,0000,0000,0000,,so... und wenn man das mal nicht grafisch\Nversinicht sondern so wie dann eine Dialogue: 0,0:15:03.45,0:15:08.26,Default,,0000,0000,0000,,Webseite aussieht, das wäre jetzt hier,\Nich glaube Blackcat Alfi die die vor 2 D Dialogue: 0,0:15:08.26,0:15:13.38,Default,,0000,0000,0000,,Wochen hochgegangen sind dann sieht das\Nungefähr so aus du hast eine Webseite Dialogue: 0,0:15:13.38,0:15:17.22,Default,,0000,0000,0000,,Forderung das ist ein Hidden Service und\Nda wird dir dann erklärt wie du Bitcoin Dialogue: 0,0:15:17.22,0:15:21.05,Default,,0000,0000,0000,,kaufen kannst. Habe ich in Hirne hacken\Nschon ausführlich erklärt. die Leute die Dialogue: 0,0:15:21.05,0:15:25.75,Default,,0000,0000,0000,,die Webseite sehen führen dann als \Nnächstes ungefähr zu dieser Situation: Dialogue: 0,0:15:25.75,0:15:29.40,Default,,0000,0000,0000,,"Have you tried paing the ransome"? \NWeil das die einzige Möglichkeit Dialogue: 0,0:15:29.40,0:15:33.40,Default,,0000,0000,0000,,ist an die Dateien wieder \Nran zukommen. Wenn man das tut, sieht Dialogue: 0,0:15:33.40,0:15:38.94,Default,,0000,0000,0000,,eine Seite ungefähr so aus, wo es ein\Nbisschen Instruktionen gibt wie man die Dialogue: 0,0:15:38.94,0:15:44.52,Default,,0000,0000,0000,,Dateien wiederherstellt und außerdem sind\Ndie Angreifer so nett, sie versprechen den Dialogue: 0,0:15:44.52,0:15:48.80,Default,,0000,0000,0000,,kompletten Bericht, wie sie reingekommen\Nsind und ich denke natürlich als Security Dialogue: 0,0:15:48.80,0:15:52.98,Default,,0000,0000,0000,,Konz, alles klar ein ordentlicher Bericht\Nja cool so ein redteam Bericht da bin ich Dialogue: 0,0:15:52.98,0:15:57.62,Default,,0000,0000,0000,,mal gespannt. Das ist er ja und eine\NStandardantwort, die kommt in dem Moment wo Dialogue: 0,0:15:57.62,0:16:01.92,Default,,0000,0000,0000,,die Bitcoins gezahlt sind, erscheint die\Nim Chat ja so quasi in in der gleichen Dialogue: 0,0:16:01.92,0:16:06.33,Default,,0000,0000,0000,,Zeit. Das heißt die ist hard codet in dieser\NWebseite drin und das bedeutet diese Web Dialogue: 0,0:16:06.33,0:16:10.45,Default,,0000,0000,0000,,diese Angreifer sind absolute onetrack\NPonys die haben es hier mit meterpreter Dialogue: 0,0:16:10.45,0:16:14.93,Default,,0000,0000,0000,,gemacht, ja ihr könnt euch ungefähr\Nvorstellen wie wenig idea du brauchst, Dialogue: 0,0:16:14.93,0:16:20.59,Default,,0000,0000,0000,,damit man meterpreter nicht erkennt ja und\Ndiese Angreifer sind onetrack Ponys und Dialogue: 0,0:16:20.59,0:16:26.20,Default,,0000,0000,0000,,du bist ihr Opfer. Wir alle kennen diesen\Nklugen Satz, übrigens kann man immer sagen, Dialogue: 0,0:16:26.20,0:16:29.95,Default,,0000,0000,0000,,kann man immer sagen, nur nicht beim\Nincident. Der kommt Dialogue: 0,0:16:29.95,0:16:36.32,Default,,0000,0000,0000,,{\i1}Lachen, Applaus{\i0} Dialogue: 0,0:16:36.32,0:16:48.99,Default,,0000,0000,0000,,also kommt nicht an, kommt nicht an. Ja\Nlearn from my fail ja? {\i1}Lachen{\i0} Dialogue: 0,0:16:48.99,0:16:51.80,Default,,0000,0000,0000,,Ich habe gerade gesagt wir sprechen über\Ndouble extortion, double extortion Dialogue: 0,0:16:51.80,0:16:55.72,Default,,0000,0000,0000,,funktioniert so: die Angreifer haben\Ngemerkt dass das Backup für sie ein Dialogue: 0,0:16:55.72,0:16:59.92,Default,,0000,0000,0000,,Problem ist und sagen Backup haben wir\Nauch. {\i1}L lacht{\i0} Und das werden wir jetzt Dialogue: 0,0:16:59.92,0:17:04.42,Default,,0000,0000,0000,,veröffentlichen, ja? Das heißt sie\Nerpressen dich einerseits oder sie Dialogue: 0,0:17:04.42,0:17:08.67,Default,,0000,0000,0000,,verlangen Lösegeld für deine Daten und\Nerpressen dich gleichzeitig mit der Dialogue: 0,0:17:08.67,0:17:12.97,Default,,0000,0000,0000,,Veröffentlichung, haben also jetzt zwei\NDruckmittel gegen dich mit denen sie Dialogue: 0,0:17:12.97,0:17:18.14,Default,,0000,0000,0000,,versuchen Geld von dir zu bekommen. Und\Ndas Ganze passiert jetzt seit vielen Dialogue: 0,0:17:18.14,0:17:23.77,Default,,0000,0000,0000,,vielen Jahren und irgendwie Kai schreibt\Ndrüber, ich rede drüber, die Deutsche Bahn Dialogue: 0,0:17:23.77,0:17:28.91,Default,,0000,0000,0000,,hat schon mal auf ihren Anzeigetafeln\Ngehabt, ja? {\i1}lachen{\i0} Aber niemand kümmert Dialogue: 0,0:17:28.91,0:17:33.82,Default,,0000,0000,0000,,sich drum und wenn du die Zeitung\Naufmachst ja, was was wird diskutiert? Dialogue: 0,0:17:33.82,0:17:39.90,Default,,0000,0000,0000,,Cyberwar... Was wäre wie fürchterlich wäre\Ndas Kai, wenn der Cyberwar jetzt käme? Dialogue: 0,0:17:39.90,0:17:43.38,Default,,0000,0000,0000,,Kai: Ja schrecklich oder?\NL: Das wäre doch total schlimm ja. Dialogue: 0,0:17:43.38,0:17:48.01,Default,,0000,0000,0000,,K: Ich mir wird langsam langweilig über\NRansomeware zu schreiben ganz ehrlich weil es so Dialogue: 0,0:17:48.01,0:17:52.52,Default,,0000,0000,0000,,vorhersagbar ist. Und wenn man sich nur\Neinen kurzen Moment vorstellen würde Dialogue: 0,0:17:52.52,0:17:56.79,Default,,0000,0000,0000,,überall in Deutschland würden maskierte\NMenschen in große und kleine Firmen Dialogue: 0,0:17:56.79,0:18:02.76,Default,,0000,0000,0000,,reinrennen ja? Würden die Computer nehmen\Nund wieder rausrennen, was wäre in diesem Dialogue: 0,0:18:02.76,0:18:08.56,Default,,0000,0000,0000,,Land los? Also bei großen Firmen ja, Metro\Nund wenzo, Continental und wen so alles Dialogue: 0,0:18:08.56,0:18:12.09,Default,,0000,0000,0000,,erwischt hat da rennen 100 Leute rein ja,\Nreißen alle Rechner aus der Wand und Dialogue: 0,0:18:12.09,0:18:16.31,Default,,0000,0000,0000,,verschwinden, was wäre in diesem Land los\Nwenn das jeden Tag dreimal passiert, ja? Dialogue: 0,0:18:16.31,0:18:20.29,Default,,0000,0000,0000,,Wir hätten den Kriegszustand den Cyberwar!\NKeinen interessiert, weil es digital Dialogue: 0,0:18:20.29,0:18:24.75,Default,,0000,0000,0000,,passiert und das verstehe ich immer nicht.\NL: Ich denke also der Cyberwar, den sich Dialogue: 0,0:18:24.75,0:18:28.70,Default,,0000,0000,0000,,vor dem sich alle fürchten übrigens ein\Nabsolut fürchterlicher Begriff, den ich Dialogue: 0,0:18:28.70,0:18:32.22,Default,,0000,0000,0000,,mir nicht zu eigen machen möchte, die\NSchrecken des Krieges sind unvergleichbar Dialogue: 0,0:18:32.22,0:18:36.23,Default,,0000,0000,0000,,mit ein paar Scharmützeln im Internet. Ja\Ndas ist klar vorweg zu sagen, aber wenn wir Dialogue: 0,0:18:36.23,0:18:40.02,Default,,0000,0000,0000,,uns davor fürchten digital angegriffen zu\Nwerden, dann könnten wir wahrscheinlich im Dialogue: 0,0:18:40.02,0:18:43.88,Default,,0000,0000,0000,,Moment irgendwann mal zu der Ansicht\Nkommen, dass wir das falsche fürchten und Dialogue: 0,0:18:43.88,0:18:47.90,Default,,0000,0000,0000,,es jetzt schon schlimmer ist, als wir\Nfürchten und wir müssen die bittere Dialogue: 0,0:18:47.90,0:18:52.42,Default,,0000,0000,0000,,Erkenntnis sehen, dass wir längst dagegen\Nhätten etwas unternehmen können und wenn Dialogue: 0,0:18:52.42,0:18:56.24,Default,,0000,0000,0000,,irgendwann einmal der große Cyberwar\Nlosgeht, werden die Angreifer auch nicht Dialogue: 0,0:18:56.24,0:19:00.65,Default,,0000,0000,0000,,anders vorgehen als die Angreifer, die uns\Nheute schon Millionen und Milliarden Dialogue: 0,0:19:00.65,0:19:05.86,Default,,0000,0000,0000,,Schäden verursachen. Deswegen gibt es in\Ndiesem Vortrag die einzig wichtige Folie, Dialogue: 0,0:19:05.86,0:19:11.26,Default,,0000,0000,0000,,die ich einmal kurz runterrattern möchte\Nbevor wir uns wieder den Angreifern widmen Dialogue: 0,0:19:11.26,0:19:15.22,Default,,0000,0000,0000,,und den schönen Verhandlungen mit ihnen.\NWas ihr in einer solchen Situation Dialogue: 0,0:19:15.22,0:19:18.80,Default,,0000,0000,0000,,braucht, wenn ihr von Ransomware getroffen\Nseid, ist ein priorisiertes Dialogue: 0,0:19:18.80,0:19:23.42,Default,,0000,0000,0000,,Wiederherstellungskonzept. Euer Problem\Nist nicht, dass alle Dateien weg sind, euer Dialogue: 0,0:19:23.42,0:19:27.45,Default,,0000,0000,0000,,Problem ist dass die Dateien von gestern\Nund von vor zwei Wochen weg sind. Das Dialogue: 0,0:19:27.45,0:19:31.18,Default,,0000,0000,0000,,langzeitarchiv ist gar nicht das Problem,\Ndas Problem was diese Unternehmen haben Dialogue: 0,0:19:31.18,0:19:34.79,Default,,0000,0000,0000,,ist dass die Produktion oder der\NGeschäftsbetrieb unmittelbar sofort Dialogue: 0,0:19:34.79,0:19:39.86,Default,,0000,0000,0000,,stillsteht und das kostet sehr viel Geld.\NWas gibt's also für Best Practices für Dialogue: 0,0:19:39.86,0:19:43.97,Default,,0000,0000,0000,,eure Backups? Sie müssen unveränderbar\Nsein Write only Backups, ein NutzerIn darf Dialogue: 0,0:19:43.97,0:19:47.96,Default,,0000,0000,0000,,nicht in der Lage sein ihre eigenen\NBackups zu löschen und es darf auch nicht Dialogue: 0,0:19:47.96,0:19:52.39,Default,,0000,0000,0000,,ein Admin oder eine Admina in der Lage\Nsein diese Backups zu löschen zumindest Dialogue: 0,0:19:52.39,0:19:56.73,Default,,0000,0000,0000,,nicht mit den Rechten im AD vergeben\Nwerden. Es muss unabhängig sein auf einer Dialogue: 0,0:19:56.73,0:20:01.29,Default,,0000,0000,0000,,eigenen Infrastruktur, es muss isoliert\Nsein, also komplett getrenntes identity Dialogue: 0,0:20:01.29,0:20:05.88,Default,,0000,0000,0000,,Access Management, keinesfalls im Active\NDirectory. Wer den Backup Server Dialogue: 0,0:20:05.88,0:20:10.57,Default,,0000,0000,0000,,administriert, geht mit einer Tastatur und\Neinem Bildschirm in den Serverraum und Dialogue: 0,0:20:10.57,0:20:14.26,Default,,0000,0000,0000,,steckt die da dran. Keine remote\Nadministration von dem Backup Server, Dialogue: 0,0:20:14.26,0:20:18.72,Default,,0000,0000,0000,,keine Verbindung in euer ad. Wir machen\Nnatürlich versionierte Backups, damit wir Dialogue: 0,0:20:18.72,0:20:22.43,Default,,0000,0000,0000,,auch frühere Zustände wiederherstellen\Nkönnen, wir machen verifizierte Backups. Dialogue: 0,0:20:22.43,0:20:26.75,Default,,0000,0000,0000,,Man könnte das ja einfach mal prüfen bevor\Nman es braucht, ja! Wie viel Geld könnte Dialogue: 0,0:20:26.75,0:20:31.54,Default,,0000,0000,0000,,man da sparen, wenn man auch noch einen\NFehler entdeckt, wir überwachen das Backup Dialogue: 0,0:20:31.54,0:20:36.01,Default,,0000,0000,0000,,also ist ein Backup erfolgt und ist der\Nder Datenbestand auf dem fallserver Dialogue: 0,0:20:36.01,0:20:39.92,Default,,0000,0000,0000,,integer! Und vor allem machen wir unsere\NBackups risikobasiert also die Dialogue: 0,0:20:39.92,0:20:44.98,Default,,0000,0000,0000,,Wiederherstellung des Geschäftsmodells\Nwird priorisiert. Die meisten Daten die Dialogue: 0,0:20:44.98,0:20:49.85,Default,,0000,0000,0000,,Ihr nicht bra.. Ihr Backup werdet ihr im\Nakuten Fall nicht brauchen, ja wenn ihr Dialogue: 0,0:20:49.85,0:20:53.26,Default,,0000,0000,0000,,mal jemanden seht, der dann so ankommt\Nsagt, wir haben alles auf Tape und du Dialogue: 0,0:20:53.26,0:20:57.45,Default,,0000,0000,0000,,denkst okay weißt du wie lange das dauert\Ndieses Tape einzuspielen? {\i1}lächelt{\i0} Dann Dialogue: 0,0:20:57.45,0:21:04.18,Default,,0000,0000,0000,,verstehst du dass potentiell auch Leute\Ndiese Zahlungen in Erwägung ziehen die Dialogue: 0,0:21:04.18,0:21:08.61,Default,,0000,0000,0000,,Backups haben. Also bitte bitte bitte das\Nsind alle Lehren die es hier zu ziehen Dialogue: 0,0:21:08.61,0:21:12.04,Default,,0000,0000,0000,,gibt, und das das was wir gleich über\NVerhandlungen berichten, das vergesst ich Dialogue: 0,0:21:12.04,0:21:15.67,Default,,0000,0000,0000,,am besten wieder ganz schnell, das war nur\Num euch hierher zu locken, weil uns Leute Dialogue: 0,0:21:15.67,0:21:18.99,Default,,0000,0000,0000,,immer danach fragen, wie denn so eine\NVerhandlung läuft. {\i1}einzelne Applaus{\i0} Dialogue: 0,0:21:18.99,0:21:27.90,Default,,0000,0000,0000,,K: Ich entschuldige mich für diesen\NVortrag. {\i1}Applaus{\i0} Dialogue: 0,0:21:27.90,0:21:31.95,Default,,0000,0000,0000,,K: Es war etwas lehrerhaft aber ich glaube\Nes musste sein. Kommen wir zurück zu den Dialogue: 0,0:21:31.95,0:21:36.00,Default,,0000,0000,0000,,lustigen Leuten. Wir sind ja durch eine\NVerkettung unwahrscheinlicher Zufälle Dialogue: 0,0:21:36.00,0:21:40.64,Default,,0000,0000,0000,,beide Psychologen mal gewesen und haben\Nnoch dazu dasselbe an delben Uni studiert, Dialogue: 0,0:21:40.64,0:21:43.98,Default,,0000,0000,0000,,wie wir später festgestellt haben,\Ndeswegen interessieren uns natürlich die Dialogue: 0,0:21:43.98,0:21:48.32,Default,,0000,0000,0000,,psychologischen Effekte dahinter und auch\Ndie Psyche der Täter, deswegen wollen wir Dialogue: 0,0:21:48.32,0:21:52.02,Default,,0000,0000,0000,,hier so ein paar vorstellen, damit ihr eine\NVorstellung dafür kriegt, was sind das für Dialogue: 0,0:21:52.02,0:21:56.36,Default,,0000,0000,0000,,Leute eigentlich ja? Warum sind die\Nkriminell, was tun die so. Und wir fangen Dialogue: 0,0:21:56.36,0:22:02.80,Default,,0000,0000,0000,,mit einem sehr Prominenten und schillernen\NFall an, ihr seht da Maxim Jakubetz, das Dialogue: 0,0:22:02.80,0:22:08.12,Default,,0000,0000,0000,,ist ein junger Russe. Ich habe ihn hier\Nsowas wie der Pate genannt, weil er ist Dialogue: 0,0:22:08.12,0:22:11.36,Default,,0000,0000,0000,,eine Ausnahme, er ist ein sehr\Nklischeehafter krimineller Typ, wie ihr Dialogue: 0,0:22:11.36,0:22:16.20,Default,,0000,0000,0000,,gleich noch sehen werdet. Also nicht nur\Nja das ist ein Lamborghini Huracan, den er Dialogue: 0,0:22:16.20,0:22:20.36,Default,,0000,0000,0000,,da fährt, das ist seiner. Das Klischee geht\Nnoch viel weiter, wenn ihr das Dialogue: 0,0:22:20.36,0:22:24.84,Default,,0000,0000,0000,,Nummernschild betrachtet, falls ihr\Nrussisch könnt, da steht W o R nicht Bor, Dialogue: 0,0:22:24.84,0:22:30.91,Default,,0000,0000,0000,,sondern wor und wor übersetzt heißt Dieb\N{\i1}lächelt{\i0}. Seine ganze Gang fuhr mit Dialogue: 0,0:22:30.91,0:22:34.46,Default,,0000,0000,0000,,diesen Nummernschildern rum.\N{\i1}einzelne Gelächter{\i0} Dialogue: 0,0:22:34.46,0:22:38.85,Default,,0000,0000,0000,,Das konnte er problemlos tun, weil er hat\Ndie Tochter eines FSB Offiziers geheiratet Dialogue: 0,0:22:38.85,0:22:46.38,Default,,0000,0000,0000,,und muss in Russland nicht viel fürchten.\NKlischeehaft weil er so richtig Bling Dialogue: 0,0:22:46.38,0:22:52.81,Default,,0000,0000,0000,,Bling protzt mit seinem Reichtum und er\Nund seine Freunde sowas machen. Das ist Dialogue: 0,0:22:52.81,0:22:57.76,Default,,0000,0000,0000,,die Lomonosof Universität mitten in\NMoskau, niemand stört sie dabei, wie Dialogue: 0,0:22:57.76,0:23:03.06,Default,,0000,0000,0000,,gesagt FSB Offizier. Polizei bestochen und\Nso weiter. Diese Gang, die sind sowas wie Dialogue: 0,0:23:03.06,0:23:07.20,Default,,0000,0000,0000,,die Großväter der Ransomware, die nannten\Nsich evil Cop, auch da waren sie relativ Dialogue: 0,0:23:07.20,0:23:11.85,Default,,0000,0000,0000,,eindeutig in ihrer Bezeichnung.\N{\i1}Gelächter{\i0} Dialogue: 0,0:23:11.85,0:23:14.76,Default,,0000,0000,0000,,Die haben schätzungsweise, es sind immer\NSchätzungen von Ermittlern, deswegen wer weiß Dialogue: 0,0:23:14.76,0:23:19.22,Default,,0000,0000,0000,,ob es stimmt und wie viel es wirklich war,\Ndie haben mit ihrem Banking Trojaner Dialogue: 0,0:23:19.22,0:23:24.79,Default,,0000,0000,0000,,namens Zeus oder süß ca 70 Millionen\NDollar erpresst indem sie Online Banking Dialogue: 0,0:23:24.79,0:23:29.76,Default,,0000,0000,0000,,Informationen abgesaugt und dann\Nausgenutzt haben. Und ja die werden Dialogue: 0,0:23:29.76,0:23:36.33,Default,,0000,0000,0000,,gesucht, ne? Also das FBI hätte sie gern,\Nsie sitzen in Russland, werden da auch Dialogue: 0,0:23:36.33,0:23:41.07,Default,,0000,0000,0000,,nicht wegfahren. Und sicher auch kein\NUrlaub wo anders machen als auf der Krim. Dialogue: 0,0:23:41.07,0:23:45.51,Default,,0000,0000,0000,,Das Interessante ist, weswegen wir sie hier\Ndrin haben, sie sind wirklich so was wie Dialogue: 0,0:23:45.51,0:23:50.72,Default,,0000,0000,0000,,die Großväter der Ransomware Modelle, die\Nuns heute plagen. Also die Wirtschaft Dialogue: 0,0:23:50.72,0:23:55.86,Default,,0000,0000,0000,,mehrheitlich. Sie haben RAS erfunden\NRansomware As a Service also sie haben Dialogue: 0,0:23:55.86,0:24:00.27,Default,,0000,0000,0000,,irgendwann aufgehört das Zeug selber\Neinzusetzen, sie haben es vermietet Dialogue: 0,0:24:00.27,0:24:05.54,Default,,0000,0000,0000,,verkauft. Hier sind sie noch mal ein\Nbisschen größer nette junge Leute. Sie Dialogue: 0,0:24:05.54,0:24:09.67,Default,,0000,0000,0000,,haben angefangen ihre kriminellen\NFähigkeiten aufs Programmieren zu Dialogue: 0,0:24:09.67,0:24:13.85,Default,,0000,0000,0000,,beschränken und anschließend in\Nkriminellen Forum ihre Tools anzubieten, Dialogue: 0,0:24:13.85,0:24:18.29,Default,,0000,0000,0000,,und wie sehen Leute aus die sowas dann\Nweiter verkaufen? So Dialogue: 0,0:24:18.29,0:24:20.80,Default,,0000,0000,0000,,{\i1}Gelächter{\i0} Dialogue: 0,0:24:20.80,0:24:27.69,Default,,0000,0000,0000,,das ist Daniel Schukin, der wurde so noch\Nnicht öffentlich genannt, der ist einer Dialogue: 0,0:24:27.69,0:24:30.96,Default,,0000,0000,0000,,der Menschen die davon lebt diese\NVermietung zu organisieren, Dialogue: 0,0:24:30.96,0:24:34.53,Default,,0000,0000,0000,,höchstwahrscheinlich, muss ich an der\NStelle sagen, er ist auch nicht Dialogue: 0,0:24:34.53,0:24:37.80,Default,,0000,0000,0000,,verurteilt, hat auch Russland bis\Njahrelang nicht verlassen. Das da ist in Dialogue: 0,0:24:37.80,0:24:41.63,Default,,0000,0000,0000,,Antalia, da glaubt er noch reisen zu\Nkönnen, da hat er diese Yacht gemietet mit Dialogue: 0,0:24:41.63,0:24:48.85,Default,,0000,0000,0000,,Freunden zusammen. Wer ist dieser Mensch?\NAuch ein junger Russe, etwas begabt was Dialogue: 0,0:24:48.85,0:24:54.15,Default,,0000,0000,0000,,die Technik angeht, lebt in Krasnodar, mag\NBMWs und Gucci und große Feste, zeigt sich Dialogue: 0,0:24:54.15,0:24:59.80,Default,,0000,0000,0000,,gern mit seiner Frau und mit Freunden den\Ner das Essen bezahlt, der hat Webseiten Dialogue: 0,0:24:59.80,0:25:06.10,Default,,0000,0000,0000,,für Online Casinos und Crypto und anderen\NSchmuddelkram und der vermietet oder hat Dialogue: 0,0:25:06.10,0:25:11.65,Default,,0000,0000,0000,,vermietet REvil, ein weiteres großes\NRansomware, Familienmodell. Und er scheint Dialogue: 0,0:25:11.65,0:25:17.05,Default,,0000,0000,0000,,nicht schlecht davon zu leben, hier ist er\Nwieder, breites Lächeln. Das im Arm ist Dialogue: 0,0:25:17.05,0:25:20.78,Default,,0000,0000,0000,,seine Frau, die tut hier nichts zur Sache,\Ndeswegen ist sie so ein bisschen Dialogue: 0,0:25:20.78,0:25:26.44,Default,,0000,0000,0000,,ausgeblendet. Und leider wollte der nicht\Nmit uns reden, ich weiß auch nicht warum, Dialogue: 0,0:25:26.44,0:25:29.17,Default,,0000,0000,0000,,wir haben es versucht, also ich habe viele\NE-Mails geschrieben, die er nie Dialogue: 0,0:25:29.17,0:25:33.98,Default,,0000,0000,0000,,beantwortet hat. Das Interessante an\Ndieser Stelle, man beachte seine Uhr, Dialogue: 0,0:25:33.98,0:25:39.58,Default,,0000,0000,0000,,falls Sie die erkennen könnt, hier ist sie\Ngrößer. Das ist eine vangard encrypto also Dialogue: 0,0:25:39.58,0:25:44.24,Default,,0000,0000,0000,,die Uhr allein kostet schon so 50 bis 70\N000 € wenn man auf so hässliche Uhren Dialogue: 0,0:25:44.24,0:25:50.16,Default,,0000,0000,0000,,steht, und statt der 12 ist da ein QR-Code\Neingraviert, damit wirbt die Firma dass Dialogue: 0,0:25:50.16,0:25:54.10,Default,,0000,0000,0000,,man da seine Bitcoin Wallet eingravieren\Nkann. Dialogue: 0,0:25:54.10,0:25:58.96,Default,,0000,0000,0000,,{\i1}Applaus, L, K und Alle lachen{\i0} Dialogue: 0,0:25:58.96,0:26:02.72,Default,,0000,0000,0000,,Die öffentliche die öffentliche das muss\Nman sich auch erstmal leisten können. Dialogue: 0,0:26:02.72,0:26:07.37,Default,,0000,0000,0000,,Genau, wir konnten sie leider nicht\Nentschlüsseln, also ich habe es versucht Dialogue: 0,0:26:07.37,0:26:23.80,Default,,0000,0000,0000,,aber wir konnten sie leider nicht lesen.\NDas FBI konnte es. {\i1}Lachen, Applaus{\i0} Dialogue: 0,0:26:23.80,0:26:28.46,Default,,0000,0000,0000,,Das FBI hat gerade erst noch gar nicht so\Nlange her 317000 von ihnen beschlagnahmt, Dialogue: 0,0:26:28.46,0:26:33.48,Default,,0000,0000,0000,,ne also die Crypto sind genau in den Händen\Ndes FBI. Ich glaube übrigens FBI ist der Dialogue: 0,0:26:33.48,0:26:38.82,Default,,0000,0000,0000,,größte Halter von Bitcoins überhaupt\Nweltweit, oder? {\i1}Viele lachen{\i0} Dialogue: 0,0:26:38.82,0:26:43.100,Default,,0000,0000,0000,,So er selbst wurde nicht gefasst aber\Njunge Russen, die sich für unverwundbar Dialogue: 0,0:26:43.100,0:26:47.68,Default,,0000,0000,0000,,halten, das ist ein wichtiger Aspekt\Ndabei, weil sie entweder Behörden Dialogue: 0,0:26:47.68,0:26:52.55,Default,,0000,0000,0000,,bestechen oder direkt in Verbindung stehen\Nmit Behörden, die sind so relativ die Dialogue: 0,0:26:52.55,0:26:57.58,Default,,0000,0000,0000,,bilden so eine relativ kleine Gruppe der\NHinterleute dieser ganzen Ransomware Dialogue: 0,0:26:57.58,0:27:03.27,Default,,0000,0000,0000,,Modelle, die sind aber nicht die große\NMasse, die sind wirklich Ausnahmen. Die Dialogue: 0,0:27:03.27,0:27:11.46,Default,,0000,0000,0000,,die die eigentliche Arbeit machen, die\Nsehen anders aus. Das hier ist eine Dialogue: 0,0:27:11.46,0:27:16.75,Default,,0000,0000,0000,,Wohnung in einem relativ runtergekommenen\NNeubaublock in Harkiv in der Ukraine Dialogue: 0,0:27:16.75,0:27:22.79,Default,,0000,0000,0000,,Straße ist 23 August, wen es interessiert.\NDen Namen nenne ich hier nicht, weil dieser Dialogue: 0,0:27:22.79,0:27:27.05,Default,,0000,0000,0000,,Mensch nie verurteilt wurde und nicht mal\Nangeklagt, der wurde laufen gelassen, ich Dialogue: 0,0:27:27.05,0:27:32.20,Default,,0000,0000,0000,,erzähle gleich warum. Deswegen hier nur\Nsein Name in dem Internet unterwegs war Dialogue: 0,0:27:32.20,0:27:38.98,Default,,0000,0000,0000,,Jeep. Der erklärt sich auch gleich. Dieser\NMann war für emotet unterwegs. Emotet Dialogue: 0,0:27:38.98,0:27:46.22,Default,,0000,0000,0000,,ebenfalls eine riesige Ransomware Familie\Nja, die weltweit tausende Opfer verursacht Dialogue: 0,0:27:46.22,0:27:52.47,Default,,0000,0000,0000,,hat. Das BKA nannte emotet einen der\Ngefährlichsten Trojaner weltweit und BSI Dialogue: 0,0:27:52.47,0:27:56.53,Default,,0000,0000,0000,,Chef Arne Schönbum ex BSI Chef Arne\NSchönbum, falls sich noch jemand an ihn Dialogue: 0,0:27:56.53,0:28:03.15,Default,,0000,0000,0000,,erinnert, nannte es den König der\NSchadsoftware, aber und deswegen zeigen Dialogue: 0,0:28:03.15,0:28:09.80,Default,,0000,0000,0000,,wir es hier auch emotet machte Fehler. Die\Nhaben einen Server in Brasilien offen Dialogue: 0,0:28:09.80,0:28:14.13,Default,,0000,0000,0000,,gelassen, so dass dort Serverlocks\Nrumlagen, die Ermittlungsbehörden finden Dialogue: 0,0:28:14.13,0:28:18.54,Default,,0000,0000,0000,,konnten und dank dieser Serverlocks\Nhangelten Sie sich durch die gesamte Dialogue: 0,0:28:18.54,0:28:24.50,Default,,0000,0000,0000,,Infrastruktur dieser Gruppe und kamen\Nzumindest nach Angaben des BKA zu dieser Dialogue: 0,0:28:24.50,0:28:29.13,Default,,0000,0000,0000,,Wohnung, dort laufen alle Fäden zusammen\Nund deswegen gab's da 2021 diese Dialogue: 0,0:28:29.13,0:28:34.19,Default,,0000,0000,0000,,Wohnungsdurchsuchung, polizia steht da auf\Nder Jacke, also die ukrainische Polizei Dialogue: 0,0:28:34.19,0:28:38.56,Default,,0000,0000,0000,,bricht da gerade ein, BKA Beamte waren\Ndabei, ja also da liefen alle Fäden von Dialogue: 0,0:28:38.56,0:28:43.07,Default,,0000,0000,0000,,emotet zusammen hier.\NL: Sieht aus wie bei mir. Dialogue: 0,0:28:43.07,0:28:49.04,Default,,0000,0000,0000,,{\i1}viele lachen{\i0}\NK: Okay du hast auch Flohmarkt zeug? {\i1}lächelt{\i0} Dialogue: 0,0:28:49.04,0:28:53.11,Default,,0000,0000,0000,,K: Das ist der Schreibtisch dieses Mannes\Nund das die Wohnung eines damals 47 Jahre Dialogue: 0,0:28:53.11,0:28:58.03,Default,,0000,0000,0000,,alten Ukrainers, seines Zeichens\NSystemadministrator für Linux und der Dialogue: 0,0:28:58.03,0:29:02.90,Default,,0000,0000,0000,,wartet Server für kleine Firmen. Und er\Ntut das für kleines Geld. Und der hat mit Dialogue: 0,0:29:02.90,0:29:08.16,Default,,0000,0000,0000,,uns geredet, der war sehr nett und sagte\Nalso das auf diesen Backends gefährliche Dialogue: 0,0:29:08.16,0:29:12.80,Default,,0000,0000,0000,,trojaner waren, ich wusste es nicht, er\Nhat sich nicht dafür interessiert Dialogue: 0,0:29:12.80,0:29:19.58,Default,,0000,0000,0000,,wahrscheinlich. Er hat 12 Server von\Nemotet gewartet und nahm dafür $40 pro Dialogue: 0,0:29:19.58,0:29:27.64,Default,,0000,0000,0000,,Server und Monat $480. Ich finde es\Ninteressant, weil auch so gigantische Dialogue: 0,0:29:27.64,0:29:31.57,Default,,0000,0000,0000,,Erpressungsmodelle ja, wir reden über\Ngigantische Erpessungsmodelle die weltweit Dialogue: 0,0:29:31.57,0:29:35.85,Default,,0000,0000,0000,,funktionieren, basieren auf solcher\NInfrastruktur. Nach Auskunft der Polizei Dialogue: 0,0:29:35.85,0:29:40.58,Default,,0000,0000,0000,,die da in der Wohnung war, da sieht man\Nsie noch mal, war ein Großteil davon vom Dialogue: 0,0:29:40.58,0:29:48.18,Default,,0000,0000,0000,,Flohmarkt, Jahre alt. Übrigens könnt ihr\NKyrillisch lesen? Da steht Department Dialogue: 0,0:29:48.18,0:29:51.73,Default,,0000,0000,0000,,KeeberPolitsii, finde ich toll, falls\Nirgendjemand hiermer so Aufkleber macht, Dialogue: 0,0:29:51.73,0:29:56.56,Default,,0000,0000,0000,,ich hätte gern ein paar davon.\N{\i1}Gelächter{\i0} Dialogue: 0,0:29:56.56,0:30:01.21,Default,,0000,0000,0000,,L: Kommen wir zurück zu einer anderen\NRansomware Gang, ich habe ja gesagt, dass Dialogue: 0,0:30:01.21,0:30:05.100,Default,,0000,0000,0000,,ich öfter mal die Freude habe mich mit\Ndenen auseinandersetzen zu dürfen, Dialogue: 0,0:30:05.100,0:30:10.30,Default,,0000,0000,0000,,hauptsächlich deshalb weil Leute denken\Nich könnte ihn Bitcoin organisieren, ich Dialogue: 0,0:30:10.30,0:30:16.75,Default,,0000,0000,0000,,habe keine Ahnung wie auf die Idee kommen\Naber irgendwie klappt's dann auch. So Dialogue: 0,0:30:16.75,0:30:21.06,Default,,0000,0000,0000,,sieht dann so eine Ransom Note aus, die\Nliegt auf deinem Desktop und angegeben Dialogue: 0,0:30:21.06,0:30:25.73,Default,,0000,0000,0000,,wird halt ein Tor hinden Service und in\Ndiesem Fall ein Login und wenn man da Dialogue: 0,0:30:25.73,0:30:29.57,Default,,0000,0000,0000,,drauf klickt kommt halt so ein Chat, ja\Nist etwas andere Gang jetzt in diesem Dialogue: 0,0:30:29.57,0:30:35.52,Default,,0000,0000,0000,,Fall, mal Screenshot von blackbuster\Nrausgesucht und die sagen also sie wollen Dialogue: 0,0:30:35.52,0:30:41.21,Default,,0000,0000,0000,,Geld haben. Und jetzt beginnt der Moment\Nfür den sich so viele Leute interessieren, Dialogue: 0,0:30:41.21,0:30:44.75,Default,,0000,0000,0000,,ich werde also immer nach Vorträgen\Ngefragt, dass ich genau das mal Dialogue: 0,0:30:44.75,0:30:48.13,Default,,0000,0000,0000,,beschreiben soll und wie ich gerade schon\Nsagte ich beschreibe das nicht ohne vorher Dialogue: 0,0:30:48.13,0:30:51.54,Default,,0000,0000,0000,,zu sagen, wie man sich davor schützen\Nkann. Weil das ist die Situation in der Dialogue: 0,0:30:51.54,0:30:55.20,Default,,0000,0000,0000,,man wirklich nicht sein möchte, ja. Der\NChat geht natürlich ein bisschen länger, Dialogue: 0,0:30:55.20,0:30:59.54,Default,,0000,0000,0000,,ich habe mich jetzt mal so inhaltlich grob\Nzusammengefasst. Wir veröffentlichen in 10 Dialogue: 0,0:30:59.54,0:31:03.80,Default,,0000,0000,0000,,Tagen, wir haben einen Decrypter, wir\Nwollen in diesem Beispiel 100 Millionen, Dialogue: 0,0:31:03.80,0:31:07.62,Default,,0000,0000,0000,,ja. Hab jetzt einfach mal 100 genommen,\Ndamit ihr ungefähr die Relationen sieht, Dialogue: 0,0:31:07.62,0:31:13.92,Default,,0000,0000,0000,,die die Verhandlung betreffen. Und man\Nsagt natürlich erstmals, Junge, Beweis du Dialogue: 0,0:31:13.92,0:31:16.96,Default,,0000,0000,0000,,doch bitte erstmal dass du die Dateien\Nhast ja, also vorher stellt man sich Dialogue: 0,0:31:16.96,0:31:20.68,Default,,0000,0000,0000,,erstmal so ein bisschen doof, es ist auf\Njeden Fall klug irgendwie so ein paar doofe Dialogue: 0,0:31:20.68,0:31:25.37,Default,,0000,0000,0000,,Sachen zu fragen ne, was ist BTC irgendwie\Nsowas um den irgendwie zu vermitteln, dass Dialogue: 0,0:31:25.37,0:31:30.46,Default,,0000,0000,0000,,man relativ dumm ist, ja? Man sagt dann\Nso, ok, aber Beweis doch mal bitte dass Du Dialogue: 0,0:31:30.46,0:31:33.24,Default,,0000,0000,0000,,die Dateien hast, dann sagen die kein\NThema, hier ist die Liste ja und dann Dialogue: 0,0:31:33.24,0:31:39.71,Default,,0000,0000,0000,,kriegt man so ein Output von tree oder\Nfind oder was auch immer ja? Und dann Dialogue: 0,0:31:39.71,0:31:42.88,Default,,0000,0000,0000,,sagen sie such dir drei Dateien aus, die\Nschicken wir dir ja, das heißt sie geben Dialogue: 0,0:31:42.88,0:31:46.83,Default,,0000,0000,0000,,dir die komplette Liste, du kannst dir\Ndrei aussuchen, die kriegst du zurück und Dialogue: 0,0:31:46.83,0:31:54.37,Default,,0000,0000,0000,,damit beweisen sie dass du dass sie diese\Ndass Sie alle Dateien haben ne. Hier ist Dialogue: 0,0:31:54.37,0:32:00.20,Default,,0000,0000,0000,,deine x Doc X Y xlsx und zxe, das Gute ist\Ndie die Liste der Dateien kriegst du für Dialogue: 0,0:32:00.20,0:32:05.44,Default,,0000,0000,0000,,umme ja und die brauchst du um den Schaden\Nabzuschätzen, der beispielsweise bei einer Dialogue: 0,0:32:05.44,0:32:10.16,Default,,0000,0000,0000,,Veröffentlichung droht, potenziell aber\Nz.B auch für die dsgvo Meldung also diese Dialogue: 0,0:32:10.16,0:32:14.72,Default,,0000,0000,0000,,die Liste an Dateien gibt's kostenlos und\Nin vielen Fällen selbst, wenn man gar Dialogue: 0,0:32:14.72,0:32:18.90,Default,,0000,0000,0000,,keine Absicht hat zu bezahlen, lohnt es\Nsich die sich zu organisieren ja? Dialogue: 0,0:32:18.90,0:32:25.09,Default,,0000,0000,0000,,Kostenlose Leistung, die man hier kriegt.\N{\i1}viele lachen{\i0} Dialogue: 0,0:32:25.09,0:32:28.40,Default,,0000,0000,0000,,Und dann sagt man sowas wie du weißt du,\Nwir stellen gerade von Tapes wieder her Dialogue: 0,0:32:28.40,0:32:32.03,Default,,0000,0000,0000,,das dauert zwar ein bisschen, aber\Neigentlich sind wir hier guter Dinge. Dann Dialogue: 0,0:32:32.03,0:32:36.52,Default,,0000,0000,0000,,sagen die, stell dir mal vor wenn wir das\Nalles veröffentlichen und man sagt so ja Dialogue: 0,0:32:36.52,0:32:42.34,Default,,0000,0000,0000,,eigentlich ist da jetzt nichts großartig\Nkritisches dabei! Wir verkaufen das an die Dialogue: 0,0:32:42.34,0:32:47.72,Default,,0000,0000,0000,,Konkurrenz! Auch immer ein sehr spannender\NFall, ja, wenn man diese Gespräche führt Dialogue: 0,0:32:47.72,0:32:50.47,Default,,0000,0000,0000,,ja und die Betroffen Unternehmen sagen, oh\Nmein Gott die verkauft das an die Dialogue: 0,0:32:50.47,0:32:53.90,Default,,0000,0000,0000,,Konkurrenz, oh mein Gott die Verkauf das\Nan die Konkurrenz, wenn man sagt ok, pass Dialogue: 0,0:32:53.90,0:32:58.16,Default,,0000,0000,0000,,auf, ich mache euch ein Angebot, ich gebe\Neuch die Daten von der Konkurenz. Das Dialogue: 0,0:32:58.16,0:33:01.86,Default,,0000,0000,0000,,werden wir nie machen! Ja okay aber eure\NKonkurrenz haltet ihr für so verkommen Dialogue: 0,0:33:01.86,0:33:05.91,Default,,0000,0000,0000,,dass Sie von irgendwelchen Gangstern für\NBitcoin eure Daten kaufen {\i1}gelächter{\i0}? Dialogue: 0,0:33:05.91,0:33:10.12,Default,,0000,0000,0000,,Also sagt man, kannst du gern probieren\Nwir gehen eigentlich nicht davon aus dass Dialogue: 0,0:33:10.12,0:33:14.26,Default,,0000,0000,0000,,sie dir da sonderlich viel Geld für geben\Nja? Außerdem muss man tatsächlich sehr Dialogue: 0,0:33:14.26,0:33:19.25,Default,,0000,0000,0000,,traurigerweise sagen die Veröffentlichung\Nbringt meist einen sehr geringen Schaden Dialogue: 0,0:33:19.25,0:33:26.32,Default,,0000,0000,0000,,für dich selber. Weiß auch der Gründer und\NCE von Motel One, Dieter Müller der sich Dialogue: 0,0:33:26.32,0:33:31.57,Default,,0000,0000,0000,,nachdem dem Motel One gebreached wurde und\Nalle Kundendaten ins Internet gegangen Dialogue: 0,0:33:31.57,0:33:36.21,Default,,0000,0000,0000,,sind, geweigert hat mit den Leuten zu\Nverhandeln und eventuell diesen Schaden Dialogue: 0,0:33:36.21,0:33:42.15,Default,,0000,0000,0000,,von den Kunden abzuwenden ja? Der Mann hat\Ngeringe Ansprüche an sich selbst und hohe Dialogue: 0,0:33:42.15,0:33:45.70,Default,,0000,0000,0000,,Ansprüche an den Staat, denn an der\Ngesamten Misere ja dass alle Motel One Dialogue: 0,0:33:45.70,0:33:50.11,Default,,0000,0000,0000,,Kunden jetzt mit übernachtungsdaten und\Nallem im Internet stehen, ist natürlich Dialogue: 0,0:33:50.11,0:33:54.80,Default,,0000,0000,0000,,der Staat schuld, denn der Staat hat noch\Nkeinen Weg gefunden seiner staatlichen Dialogue: 0,0:33:54.80,0:33:59.15,Default,,0000,0000,0000,,Hoheitsaufgabe gerecht zu werden und seine\NBürger und Unternehmen vor kriminellen Dialogue: 0,0:33:59.15,0:34:03.27,Default,,0000,0000,0000,,digitalen Angriffen zu schützen.\N{\i1}Einzelne Applaus{\i0} Dialogue: 0,0:34:03.27,0:34:06.65,Default,,0000,0000,0000,,Kann natürlich jetzt auch nicht seine\NSchuld sein. Wie ich habe schon gesagt, Dialogue: 0,0:34:06.65,0:34:11.73,Default,,0000,0000,0000,,der Mann hat geringe Ansprüche an sich\Nselbst, hohe Ansprüche an den Staat, Dialogue: 0,0:34:11.73,0:34:16.92,Default,,0000,0000,0000,,Coronazeiten waren irgendwo im Bereich 100\NMillionen Coronahilfen, die der Dialogue: 0,0:34:16.92,0:34:21.53,Default,,0000,0000,0000,,eingestrichen hat, dadurch hat Motel One\Nam Ende seine Geschäftsergebnisse Dialogue: 0,0:34:21.53,0:34:25.23,Default,,0000,0000,0000,,signifikant verbessern können und er hat\Nnoch ein paar Interviews gegeben, dass das Dialogue: 0,0:34:25.23,0:34:29.21,Default,,0000,0000,0000,,eine Frechheit wäre und zu wenig.\N{\i1}Gelächter{\i0} Dialogue: 0,0:34:29.21,0:34:32.64,Default,,0000,0000,0000,,Aber tatsächlich mal ne, man muss\Ntatsächlich sagen Motel One hat de facto Dialogue: 0,0:34:32.64,0:34:37.11,Default,,0000,0000,0000,,keinen Schaden dadurch, dass diese Daten\Nveröffentlicht wurden. Irgendwann ich Dialogue: 0,0:34:37.11,0:34:42.25,Default,,0000,0000,0000,,glaube es war man sieht es im Bild 2021\Nwurde extensure gebridged von Lockbit und Dialogue: 0,0:34:42.25,0:34:46.88,Default,,0000,0000,0000,,das vll natürlich sehr interessant, also\Nhaben wir auf dem Lockbit Block so den Dialogue: 0,0:34:46.88,0:34:50.17,Default,,0000,0000,0000,,Countdown geguckt und so ne und dann\Nwurden irgendwann die Daten von extenser Dialogue: 0,0:34:50.17,0:34:53.90,Default,,0000,0000,0000,,veröffentlichicht da hat man sich ja dann\Ndoch mal für interessiert, das war aber Dialogue: 0,0:34:53.90,0:34:58.69,Default,,0000,0000,0000,,total so ein Einzeldownload ja, du\Nkonntest jede Datei einzeln, das war total Dialogue: 0,0:34:58.69,0:35:03.06,Default,,0000,0000,0000,,unsortiert umständlich zeitaufwendig ja\Nund die wurden auch immer wieder offline Dialogue: 0,0:35:03.06,0:35:06.50,Default,,0000,0000,0000,,genommen und dann wurde die Deadline\Nverlängert wann die released werden und Dialogue: 0,0:35:06.50,0:35:11.82,Default,,0000,0000,0000,,irgendwie sind sie jetzt nicht mehr zu\Nfinden. Ich denke warum die Angreifer so Dialogue: 0,0:35:11.82,0:35:17.55,Default,,0000,0000,0000,,und nicht anders veröffentlichen ist ganz\Nklar, in dem Moment wo sie vollständig Dialogue: 0,0:35:17.55,0:35:22.32,Default,,0000,0000,0000,,veröffentlichen, haben Sie Ihr Kind mit\Ndem Bade ausgegossen, es wird Niemand mehr Dialogue: 0,0:35:22.32,0:35:27.15,Default,,0000,0000,0000,,bezahlen. Wenn sie aber so scheibchenweise\Nveröffentlichen, können sie potenziell Dialogue: 0,0:35:27.15,0:35:31.69,Default,,0000,0000,0000,,noch weiter erpressen und dich doch\Nüberzeugen denen etwas Geld zu geben. Denn Dialogue: 0,0:35:31.69,0:35:35.79,Default,,0000,0000,0000,,für sie ist das ja eine Alles oder Nichts\NSituation und diese Dateien zu Dialogue: 0,0:35:35.79,0:35:40.04,Default,,0000,0000,0000,,veröffentlichen, dann haben sie halt statt\Nirgendwie potenziell Millionen einfach nur Dialogue: 0,0:35:40.04,0:35:44.25,Default,,0000,0000,0000,,ein mahnendes Beispiel für den nächsten\Nund ein Fall, wo ich wieder erzählen kann, Dialogue: 0,0:35:44.25,0:35:48.95,Default,,0000,0000,0000,,eigentlich kein Schaden entstanden. Wir\Nhaben auch darüber gesprochen, das nennt Dialogue: 0,0:35:48.95,0:35:53.52,Default,,0000,0000,0000,,man dann also die Angreifer wollen Druck\Nerhöhen ja, sie machen inzwischen auch mal Dialogue: 0,0:35:53.52,0:35:57.77,Default,,0000,0000,0000,,die Meldung an an die Behörden für dich\Nja, auch da natürlich einfach um den Druck Dialogue: 0,0:35:57.77,0:36:03.75,Default,,0000,0000,0000,,zu erhöhen, weil Druck ist alles was die\Nhaben, oder sie belästigen die Leute die Dialogue: 0,0:36:03.75,0:36:09.77,Default,,0000,0000,0000,,nicht zahlen ja, rufen dann z.B dort an\Noder lassen dort anrufen oder erpressen Dialogue: 0,0:36:09.77,0:36:13.54,Default,,0000,0000,0000,,eben die Kunden um den rufschaden\Nirgendwie zu maximieren. Also die Gruppen Dialogue: 0,0:36:13.54,0:36:18.80,Default,,0000,0000,0000,,arbeiten daran diesen Rufschaden zu\Nvergrößern. Ja in unserem Beispiel sagen Dialogue: 0,0:36:18.80,0:36:23.94,Default,,0000,0000,0000,,wir mal, wir würden jetzt irgendwie in\NRichtung einer Zahlung uns orientieren, Dialogue: 0,0:36:23.94,0:36:28.49,Default,,0000,0000,0000,,dann sagen wir Bruder, wie sollen wir dir\Nüberhaupt vertrauen? Und dann sagt er, mein Dialogue: 0,0:36:28.49,0:36:32.55,Default,,0000,0000,0000,,Freund wir sind die CyberSwan Gruppe,\Ngoogle uns, wir haben fünf Sterne auf yelp! Dialogue: 0,0:36:32.55,0:36:37.68,Default,,0000,0000,0000,,{\i1}viele lachen{\i0} Und es ist es ist natürlich\Nwirklich wichtig für diese Mechanik der Dialogue: 0,0:36:37.68,0:36:41.62,Default,,0000,0000,0000,,Verhandlung zu wissen, die müssen auch\Nihren Ruf schützen. Wenn die euch Dialogue: 0,0:36:41.62,0:36:46.50,Default,,0000,0000,0000,,betrügen, dann wird das ja bekannt und\Ndann zahlt ihnen niemand mehr. Das heißt Dialogue: 0,0:36:46.50,0:36:51.85,Default,,0000,0000,0000,,Vertrauen ist für die eine entscheidende\NSache ja? Außerdem haben die auch den Dialogue: 0,0:36:51.85,0:36:57.25,Default,,0000,0000,0000,,ganzen Rest des Internets noch vor sich,\Ndass sie jetzt ein zweites Mal dich Dialogue: 0,0:36:57.25,0:37:02.60,Default,,0000,0000,0000,,erpressen ist eher unwahrscheinlich. Aber\Ndann sagst du so was wie ja boah das mit Dialogue: 0,0:37:02.60,0:37:08.69,Default,,0000,0000,0000,,den Tapes kennt sie ja dauert ey... pass auf\Nwir zahlen dir 25 Dann kommen wir wollen Dialogue: 0,0:37:08.69,0:37:13.48,Default,,0000,0000,0000,,100 und du hast noch 7 Tage danach wird es\Nteurer und dann denkst das ist natürlich Dialogue: 0,0:37:13.48,0:37:18.28,Default,,0000,0000,0000,,jetzt auch wieder dieses Druck ne? Wir\Nwollen mehr Geld später und dann sagst du Dialogue: 0,0:37:18.28,0:37:23.27,Default,,0000,0000,0000,,ja pass auf Alter in 7 Tagen sind wir\Nfertig, du kannst mir hier maximal 50 Dialogue: 0,0:37:23.27,0:37:28.07,Default,,0000,0000,0000,,Millionen sparen, das muss aber auch\Nirgendwie businesscase für mich sein ich Dialogue: 0,0:37:28.07,0:37:34.28,Default,,0000,0000,0000,,zahle dir 40 ja? Dann sagen die wir wollen\N70, das unser letztes Angebot, es gilt nur Dialogue: 0,0:37:34.28,0:37:39.70,Default,,0000,0000,0000,,24 Stunden und dann sagst du sowas wie, ey\NJunge, je länger das hier dauert, umso Dialogue: 0,0:37:39.70,0:37:43.93,Default,,0000,0000,0000,,weniger ist deine Dienstleistung für mich\NWert, ich stell ja hier gerade von Tapes Dialogue: 0,0:37:43.93,0:37:48.76,Default,,0000,0000,0000,,wieder her. Und das ist der entscheidende\NPunkt in diesen Verhandlung für die Dialogue: 0,0:37:48.76,0:37:52.16,Default,,0000,0000,0000,,Angreifer geht es um alles oder nichts,\Nalso die stehen vor einer Situation dass Dialogue: 0,0:37:52.16,0:37:55.69,Default,,0000,0000,0000,,sie entweder von dir Geld bekommen oder\Ngar nichts und dann haben Sie noch die Dialogue: 0,0:37:55.69,0:37:58.87,Default,,0000,0000,0000,,Kosten dass sie deine Daten\Nveröffentlichen müssen und genau da musst Dialogue: 0,0:37:58.87,0:38:03.32,Default,,0000,0000,0000,,du diesem Druck wiederstehen, der\Nzeitliche Druck wird von denen nur deshalb Dialogue: 0,0:38:03.32,0:38:09.56,Default,,0000,0000,0000,,angebracht, weil sie also weil sie wissen,\Nje länger Du nicht zahlst desto Dialogue: 0,0:38:09.56,0:38:14.09,Default,,0000,0000,0000,,unwahrscheinlicher zahlst du. Insofern ist\Ndas durchaus sinnvoll in einer solchen Dialogue: 0,0:38:14.09,0:38:18.83,Default,,0000,0000,0000,,Situation , wenn du die Zeit hast, auch\Ntatsächlich auf Zeit zu spielen, weil die Dialogue: 0,0:38:18.83,0:38:24.38,Default,,0000,0000,0000,,wissen, je länger der Spaß hier geht, umso\Nunwahrscheinlicher zahlst du. Na gut dann Dialogue: 0,0:38:24.38,0:38:30.37,Default,,0000,0000,0000,,kommt irgendwie so was, ja 60 Millionen weil Du\Nes bist, letzte Preis ja? {\i1}lachen{\i0} Und dann sagst Dialogue: 0,0:38:30.37,0:38:35.67,Default,,0000,0000,0000,,du, das ist der Moment den die Kunden\Nmeistens nicht wollen, ja? Dann sagst mal Dialogue: 0,0:38:35.67,0:38:40.31,Default,,0000,0000,0000,,ok tut mir leid, ich erkläre die Behandlung\Nfür gescheitert, hätte hier eine Win-Win Dialogue: 0,0:38:40.31,0:38:45.16,Default,,0000,0000,0000,,Situation werden können, aber na ja\Nvielleicht beim nächsten Mal. Dialogue: 0,0:38:45.16,0:38:50.18,Default,,0000,0000,0000,,{\i1}viele lachen{\i0} Dialogue: 0,0:38:50.18,0:38:53.37,Default,,0000,0000,0000,,Und dann kommt, ok lass mich mal mit dem\NBoss reden. Dialogue: 0,0:38:53.37,0:38:56.29,Default,,0000,0000,0000,,{\i1}viele lachen{\i0} Dialogue: 0,0:38:56.29,0:39:00.14,Default,,0000,0000,0000,,Du verhandelst jetzt mit dem Level One\NCustomer Support! Und der hat klare Dialogue: 0,0:39:00.14,0:39:05.57,Default,,0000,0000,0000,,Grenzen und erst wenn der mit jemand\Nanders reden muss über den Deal, den er dir Dialogue: 0,0:39:05.57,0:39:10.17,Default,,0000,0000,0000,,machen kann, merkst du dass du vielleicht\Nlangsam in einen Bereich kommst der Dialogue: 0,0:39:10.17,0:39:15.90,Default,,0000,0000,0000,,vielleicht für dich auch interessant ist\Nja? Natürlich kann auch das ein Spiel sein Dialogue: 0,0:39:15.90,0:39:19.82,Default,,0000,0000,0000,,aber in diesem Fall werdet ihr gleich\Nsehen war es nicht, es gibt einen Boss. Dialogue: 0,0:39:19.82,0:39:24.34,Default,,0000,0000,0000,,Dann kommt eben so was her: ok 50%\Nallerletzte Preis ja und dann sagst du Dialogue: 0,0:39:24.34,0:39:28.62,Default,,0000,0000,0000,,sowas eh, woher weiß ich dass du die Datei\Nüberhaupt wieder herstellen kannst? Ja Dialogue: 0,0:39:28.62,0:39:32.24,Default,,0000,0000,0000,,auch das erst ganz am Ende machen, weil\Ndas ja ein Interesse überhaupt Dialogue: 0,0:39:32.24,0:39:36.77,Default,,0000,0000,0000,,signalisiert. Also die Prüfung, dass Sie\NDateien wiederherstellen können. Jede Dialogue: 0,0:39:36.77,0:39:41.04,Default,,0000,0000,0000,,Ransomware Gang bietet dafür an, schick\Nmir zwei Dateien mein Freund, entschlüssel Dialogue: 0,0:39:41.04,0:39:44.98,Default,,0000,0000,0000,,ich dir, kriegst du zurück, schickst Du ja\Nhier ist A encrypted und B encrypted und Dialogue: 0,0:39:44.98,0:39:49.26,Default,,0000,0000,0000,,dann schickt er dir die entschlüsselten\NDateien zurück. Das ist ein sehr wichtiger Dialogue: 0,0:39:49.26,0:39:53.50,Default,,0000,0000,0000,,Schritt den man keinesfalls vergessen\Ndarf! Du musst dich vergewissern, dass Dialogue: 0,0:39:53.50,0:39:57.99,Default,,0000,0000,0000,,dein Freund die Dienstleistung auch\Nwirklich erbringen kann, sonst riskierst Dialogue: 0,0:39:57.99,0:40:02.32,Default,,0000,0000,0000,,du mit diesen Leuten hier zu tun zu haben.\NDas war wannacry, ihr erinnert euch, die Dialogue: 0,0:40:02.32,0:40:07.48,Default,,0000,0000,0000,,ganze Ransomware hat in der Welt nur drei\NBitcoin Adressen angegeben und, als ich die Dialogue: 0,0:40:07.48,0:40:11.24,Default,,0000,0000,0000,,doppelten Screenshots gesehen habe mit dem\Ngleichen Bitcoin Wallet, war mir auch Dialogue: 0,0:40:11.24,0:40:15.11,Default,,0000,0000,0000,,sofort klar, die werden die Zahlung nicht\Nzuordnen können, hier besteht keine Dialogue: 0,0:40:15.11,0:40:21.25,Default,,0000,0000,0000,,Absicht der Wiederherstellung. Und war ja\Nauch bei Wannacry nicht so. Also wichtig Dialogue: 0,0:40:21.25,0:40:25.85,Default,,0000,0000,0000,,sicherstellen und erst spät sicherstellen,\Nweil damit signalisierst du überhaupt Dialogue: 0,0:40:25.85,0:40:30.57,Default,,0000,0000,0000,,Interesse an der ernsthaftes Interesse an\Nder Wiederherstellung. Und dann kommen die Dialogue: 0,0:40:30.57,0:40:34.89,Default,,0000,0000,0000,,klugen Leute und sagen, hey Vorsicht wenn\Ndu zahlst, dann hacken sie dich direkt Dialogue: 0,0:40:34.89,0:40:39.55,Default,,0000,0000,0000,,wieder. Und das ist aber Quatsch, übrigens\Nhier das ist also auf dem Sixpack steht Dialogue: 0,0:40:39.55,0:40:44.28,Default,,0000,0000,0000,,Mythos auf dem nächsten Sixpack steht\NRealität, aber dol i kann nicht so gut Dialogue: 0,0:40:44.28,0:40:47.86,Default,,0000,0000,0000,,schreiben wie ich. Die Realität ist\N{\i1}lächeln{\i0} Dialogue: 0,0:40:47.86,0:40:50.62,Default,,0000,0000,0000,,der Rest des Internets wartet auf Sie, die\Nhaben überhaupt gar keinen Grund noch mal Dialogue: 0,0:40:50.62,0:40:54.99,Default,,0000,0000,0000,,dich zu hacken, die geben auch übrigens\NGarantien dass diese Ransomware Gang dich Dialogue: 0,0:40:54.99,0:41:00.54,Default,,0000,0000,0000,,nicht noch mal hackt. Es gibt aber genug\NAndere! Also früher oder später musst du Dialogue: 0,0:41:00.54,0:41:06.92,Default,,0000,0000,0000,,dich schützen und ich kenne mehrere Fälle\Nin den die CEOs oder der Vorstand, oder Dialogue: 0,0:41:06.92,0:41:12.76,Default,,0000,0000,0000,,sonst was nach der Zahlung gesagt hat,\Njetzt haben wir es hinter uns lehnt euch Dialogue: 0,0:41:12.76,0:41:19.30,Default,,0000,0000,0000,,zurück, fahrt die Systeme wieder hoch,\Nalles rein ins ad und den MySQL Server in Dialogue: 0,0:41:19.30,0:41:24.46,Default,,0000,0000,0000,,die Cloud und gebt ihm. Und kurze Zeit\Ndarauf war das Geschrei groß, ja? Also ihr Dialogue: 0,0:41:24.46,0:41:29.38,Default,,0000,0000,0000,,kommt sowieso nicht drum herum euch besser\Nzu schützen, am besten macht ihr das bevor Dialogue: 0,0:41:29.38,0:41:34.60,Default,,0000,0000,0000,,ihr den Case habt, aber egal ob du zahlst\Noder nicht, die Anderen werden kommen, ja? Dialogue: 0,0:41:34.60,0:41:39.32,Default,,0000,0000,0000,,Du hältst dir eine von 100 Gangs vom Leib\Nund dummerweise machen die nicht so eine Dialogue: 0,0:41:39.32,0:41:42.99,Default,,0000,0000,0000,,Garantie wie Schutzgeld, dass sie sagen\Npass auf wenn die anderen Gangs kommen Dialogue: 0,0:41:42.99,0:41:45.30,Default,,0000,0000,0000,,dann prügeln wir die raus oder so.\N{\i1}lachen{\i0} Dialogue: 0,0:41:45.30,0:41:49.72,Default,,0000,0000,0000,,Na ja dann sagen Sie, hier ist unser\Nunsere Bitcoin Wallet ja die nehmen Dialogue: 0,0:41:49.72,0:41:53.95,Default,,0000,0000,0000,,üblicherweise eine frische, brauchen sie\Nauch damit sie erkennen, dass die Zahlung Dialogue: 0,0:41:53.95,0:41:57.78,Default,,0000,0000,0000,,von dir ist. Du nimmst üblicherweise eine\Nfrische und schickst mal ein satoschi Dialogue: 0,0:41:57.78,0:42:02.56,Default,,0000,0000,0000,,rüber, ja? Achtung, das ist interessanter\NMoment, weil dann sehen die wie viel Geld Dialogue: 0,0:42:02.56,0:42:06.35,Default,,0000,0000,0000,,auf deinem Wallet liegt. Ja in dem Moment\Nbeweist du, dass du über ein über eine Dialogue: 0,0:42:06.35,0:42:10.99,Default,,0000,0000,0000,,Summe verfügst. Es kann also durchaus auch\Ninteressant sein an der Stelle vielleicht Dialogue: 0,0:42:10.99,0:42:15.97,Default,,0000,0000,0000,,doch nur 40 da liegen zu haben statt der\N50 und zu sagen hey Scheiße, Freitagabend, Dialogue: 0,0:42:15.97,0:42:22.57,Default,,0000,0000,0000,,du weißt wie das ist, neh, ich habe jetzt\Necht nicht... {\i1}viele lachen{\i0} Dialogue: 0,0:42:22.57,0:42:28.33,Default,,0000,0000,0000,,Dann sagen sie, ist angekommen und dann\Nschickst du den Rest und jetzt kommt sehr Dialogue: 0,0:42:28.33,0:42:32.88,Default,,0000,0000,0000,,ein sehr wichtiger Hinweis, bezahle nur,\Nwenn du ein Business Case hast. Du hast Dialogue: 0,0:42:32.88,0:42:37.51,Default,,0000,0000,0000,,meistens keinen, das Einzige, was hier eine\NRolle spielt ist, dass deine Dialogue: 0,0:42:37.51,0:42:41.93,Default,,0000,0000,0000,,Wiederherstellung potentiell schneller\Ngeht. Alle sonstigen Folgekosten, die Dialogue: 0,0:42:41.93,0:42:47.15,Default,,0000,0000,0000,,Systeme härten, die Systeme desinfizieren,\NDinge maximal neu aufbauen, eine komplette Dialogue: 0,0:42:47.15,0:42:51.27,Default,,0000,0000,0000,,Renovierung deiner Infrastruktur, die\NKosten hast Du ohnehin, die hast du auch Dialogue: 0,0:42:51.27,0:42:55.82,Default,,0000,0000,0000,,jetzt schon vor dir, weil du es e machen\Nmusst entweder bevor du gebreacht wurdest Dialogue: 0,0:42:55.82,0:42:59.76,Default,,0000,0000,0000,,oder danach. Das heißt du musst diesen\NCase wirklich sehr genau durchrechnen Dialogue: 0,0:42:59.76,0:43:04.06,Default,,0000,0000,0000,,bevor du in Erwägung ziehst eine solche\NZahlung vorzunehmen. Wenn du es dann Dialogue: 0,0:43:04.06,0:43:09.09,Default,,0000,0000,0000,,gemacht hast, kommt sowas wie Yow, wir\Nhaben deine Dateien gelöscht, hier ist das Dialogue: 0,0:43:09.09,0:43:17.03,Default,,0000,0000,0000,,deletion Lock, also das Output von rm-RF.\NDas sieht dann so aus, und {\i1}Linus lächelt{\i0} Dialogue: 0,0:43:17.03,0:43:22.43,Default,,0000,0000,0000,,ich meine, die haben sogar ihre local\Nlanguage auf Russisch eingestellt, ja? Dialogue: 0,0:43:22.43,0:43:27.29,Default,,0000,0000,0000,,Also man sieht hier unten die Translation\Nfür gelöscht und Verzeichnis gelöscht also Dialogue: 0,0:43:27.29,0:43:33.27,Default,,0000,0000,0000,,ein Output von rm-RF. Und dann sagen Sie\Nyoh, wir bereiten jetzt dein Decrypter Dialogue: 0,0:43:33.27,0:43:39.78,Default,,0000,0000,0000,,vor.\N{\i1}einzelne Gelächter{\i0} Dialogue: 0,0:43:39.78,0:43:46.08,Default,,0000,0000,0000,,Und man denkt so, bei den anderen geht das\Neigentlich immer relativ schnell. *Linus Dialogue: 0,0:43:46.08,0:43:52.84,Default,,0000,0000,0000,,lächelt* So nach einer Stunde fragt man\Nmal nach und dann kommt, eh ich kann den Dialogue: 0,0:43:52.84,0:44:02.58,Default,,0000,0000,0000,,Typen nicht erreichen, hab mal kurz Geduld\Nbitte {\i1}Lachen{\i0} und dann kann das Dialogue: 0,0:44:02.58,0:44:07.60,Default,,0000,0000,0000,,manchmal ein bisschen dauern und dann \Nkommt hey, hier ist der Decrypter, Dialogue: 0,0:44:07.60,0:44:11.90,Default,,0000,0000,0000,,sorry der Typ war draußen einen\Nsaufen, Ja? {\i1}video läufzt, alle lachen{\i0} Dialogue: 0,0:44:11.90,0:44:15.31,Default,,0000,0000,0000,,Und an dieser Stelle zeigt sich, du\Nwürdest dem Level One Support auch keinen Dialogue: 0,0:44:15.31,0:44:19.38,Default,,0000,0000,0000,,Schlüssel geben, der Millionen wert ist,\Nweil dann machen sie side Deals ja? Dann Dialogue: 0,0:44:19.38,0:44:24.50,Default,,0000,0000,0000,,verkaufen die den Schlüssel über ihre\Neigene Konten. Klüger hat das LV gemacht, Dialogue: 0,0:44:24.50,0:44:29.35,Default,,0000,0000,0000,,blackcat be denen war das so, die haben\Nquasi also auf Ihrem Server war das Dialogue: 0,0:44:29.35,0:44:33.74,Default,,0000,0000,0000,,Bitcoin Wallet direkt angegeben und hat\Ndas immer gepollt, ja? Und das heißt auch Dialogue: 0,0:44:33.74,0:44:39.08,Default,,0000,0000,0000,,die Veröffentlichung von den decryption\NTools und deinem Pentestbericht erfolgte Dialogue: 0,0:44:39.08,0:44:44.16,Default,,0000,0000,0000,,automatisch, so haben die den Key von den\Nvon ihren Verhandlern weggehalten. Bei Dialogue: 0,0:44:44.16,0:44:48.61,Default,,0000,0000,0000,,dieser Gang die ich hier im Beispiel hatte\Nwar es eben so, dass sie manuelle Dialogue: 0,0:44:48.61,0:44:54.30,Default,,0000,0000,0000,,Interaktion oder oder direkte Interaktion\Nmit ihrem Chef brauchten und die hatten Dialogue: 0,0:44:54.30,0:44:59.00,Default,,0000,0000,0000,,halt echt nicht dessen die Nummer, nah?\NDie können halt auch nur mit dem über Dialogue: 0,0:44:59.00,0:45:03.55,Default,,0000,0000,0000,,diesen Chat kommunizieren, aber ich bin\Nehrlich die Stunden bis wir den Decrypter Dialogue: 0,0:45:03.55,0:45:10.52,Default,,0000,0000,0000,,hatten waren etwas weniger entspannt, auch\Nwenn ich mir relativ sicher war, dass sie Dialogue: 0,0:45:10.52,0:45:15.94,Default,,0000,0000,0000,,die Zahlung machen würden. Und Kai kann\Nnoch mal ein bisschen was darüber reden, Dialogue: 0,0:45:15.94,0:45:18.42,Default,,0000,0000,0000,,wie es dann auf der anderen Seite\Naussieht. Dialogue: 0,0:45:18.42,0:45:23.51,Default,,0000,0000,0000,,Kai: Wir machen noch mal ein kleinen\NExkurs zu den Leuten, die auf der anderen Dialogue: 0,0:45:23.51,0:45:29.77,Default,,0000,0000,0000,,Seite sitzen. Das interessante an diesen\NModellen ist, wir kommen auch gleich noch Dialogue: 0,0:45:29.77,0:45:33.29,Default,,0000,0000,0000,,zum Level 1 Support. Das interessante an\Ndiesen Modellen ist dass sehr viel Dialogue: 0,0:45:33.29,0:45:37.40,Default,,0000,0000,0000,,outgesourced ist, wie in der Wirtschaft\Nauch an sogenannte Affiliates, da ist Dialogue: 0,0:45:37.40,0:45:43.23,Default,,0000,0000,0000,,Einer. Das sind Menschen die sozusagen auf\Neigene Rechnung für irgendeine Ransomware Dialogue: 0,0:45:43.23,0:45:48.66,Default,,0000,0000,0000,,Familie arbeiten und ihre Beute teilen,\Ndie Deals sind meist 75% für diese Dialogue: 0,0:45:48.66,0:45:53.78,Default,,0000,0000,0000,,Menschen, 25% oder 20% für die Gäng\Ndahinter, die Vermieter den wir vorhin Dialogue: 0,0:45:53.78,0:45:59.03,Default,,0000,0000,0000,,gesehen haben. Das hier ist Sebastian\NVahoung, ein Kanadier inzwischen Dialogue: 0,0:45:59.03,0:46:05.77,Default,,0000,0000,0000,,verurteilt. Der hat für Networker\Ngearbeitet, wieder eine sehr große Familie Dialogue: 0,0:46:05.77,0:46:13.78,Default,,0000,0000,0000,,und war der eifrigste Affiliate von\NNetworker. Der hat dutzende Angriffe Dialogue: 0,0:46:13.78,0:46:20.50,Default,,0000,0000,0000,,gefahren und allein er hat 1400 Bitcoin einge-\Nsammelt mit diesen Erpressungen, damals Dialogue: 0,0:46:20.50,0:46:26.48,Default,,0000,0000,0000,,27 Millionen Dollar. Jetzt fragt man sich,\Nwer ist so ein Mensch, ja? Dem ging es gar Dialogue: 0,0:46:26.48,0:46:30.79,Default,,0000,0000,0000,,nicht so schlecht, das war sein Häuschen\Nschon vorher, der wohnte da. In der Nähe Dialogue: 0,0:46:30.79,0:46:34.92,Default,,0000,0000,0000,,von Ottawa war nettes kleines Häuschen,\Nsieht ganz gemütlich aus, der war Dialogue: 0,0:46:34.92,0:46:39.84,Default,,0000,0000,0000,,Computertechniker Universität Ottawa, aber\Nder war so der Typ Kleinkrimineller der Dialogue: 0,0:46:39.84,0:46:43.82,Default,,0000,0000,0000,,irgendwie so ein bisschen mehr will vom\NLeben als das was ihm sein dayjob bietet. Dialogue: 0,0:46:43.82,0:46:48.38,Default,,0000,0000,0000,,Der ist auch schon mal mit Drogendelikten\Naufgefallen, hat 123 kg Marijana vertickt Dialogue: 0,0:46:48.38,0:46:51.22,Default,,0000,0000,0000,,{\i1}viele Lachen{\i0} Dialogue: 0,0:46:51.22,0:47:01.33,Default,,0000,0000,0000,,Kleinkram. Und ja das war dann beim\NVerhör, da war er nicht mehr so... Ich Dialogue: 0,0:47:01.33,0:47:04.56,Default,,0000,0000,0000,,fand den Fall sehr interessant, ich habe\Nihn ein bisschen zugeguckt man konnte Dialogue: 0,0:47:04.56,0:47:07.12,Default,,0000,0000,0000,,durch dann Corona konnte man der\NGerichtsverhandlung im Internet folgen, Dialogue: 0,0:47:07.12,0:47:10.53,Default,,0000,0000,0000,,wenn man so ein Link sich geholt hat von\Nden Behörden dort und ein stiller Dialogue: 0,0:47:10.53,0:47:14.30,Default,,0000,0000,0000,,freundlicher nicht blöder Mensch wie\Ngesagt, ich glaube er wollte ein bisschen Dialogue: 0,0:47:14.30,0:47:18.20,Default,,0000,0000,0000,,mehr vom Leben, das wird er jetzt nicht\Nmehr kriegen. Und er ist auch deswegen ist Dialogue: 0,0:47:18.20,0:47:22.98,Default,,0000,0000,0000,,er hier in der Sammlung ein Beispiel dafür\Ndass die Täter Fehler machen. Auch das Dialogue: 0,0:47:22.98,0:47:28.05,Default,,0000,0000,0000,,finde ich wichtig, die sind nicht\Nunfehlbar. In dem Fall hier war das FBI in Dialogue: 0,0:47:28.05,0:47:32.57,Default,,0000,0000,0000,,der Lage, wieder das FBI, die sind sehr\Naktiv seit einigen Jahren. Die Stufen Dialogue: 0,0:47:32.57,0:47:37.58,Default,,0000,0000,0000,,Ransomware auf der Höhe von Terror ein in\Nwas ihre Ermittlung angeht inzwischen, nur Dialogue: 0,0:47:37.58,0:47:43.13,Default,,0000,0000,0000,,so zur Wichtigkeit, das FBI hat den Server\Ngeknackt auf dem die Networker Leute mit Dialogue: 0,0:47:43.13,0:47:47.86,Default,,0000,0000,0000,,ihren Affiliates geredet haben, neh die\Nmüssen ja reden miteinander, ich war hier, Dialogue: 0,0:47:47.86,0:47:52.41,Default,,0000,0000,0000,,ich war da und diese Affiliates die müssen\Nbelegen dass sie irgendwo eingebrochen Dialogue: 0,0:47:52.41,0:47:57.45,Default,,0000,0000,0000,,sind, dazu laden Sie Screenshots hoch der\Nkopierten Daten, und in einem dieser Dialogue: 0,0:47:57.45,0:48:02.91,Default,,0000,0000,0000,,Screenshots waren Metadaten. Screenshot\N2.png enthielt Metadaten und in Metadaten Dialogue: 0,0:48:02.91,0:48:10.20,Default,,0000,0000,0000,,stand Sebastian Vahoun. Passiert den\Nbesten von uns. Außerdem nutzte er für die Dialogue: 0,0:48:10.20,0:48:15.74,Default,,0000,0000,0000,,Kommunikation mit diesem Server zwar eine\Nanonyme E-Mail Adresse, war aber zu faul Dialogue: 0,0:48:15.74,0:48:20.15,Default,,0000,0000,0000,,die auch anonym abzurufen, sondern sendete\Nsich die E-Mails weiter an seine private Dialogue: 0,0:48:20.15,0:48:23.36,Default,,0000,0000,0000,,Mailadresse.\N{\i1}viele Lachen{\i0}. Dialogue: 0,0:48:23.36,0:48:27.38,Default,,0000,0000,0000,,Über die auch seine amazon Bestellungen\Nliefen, so dass das FBI sofort auch seiner Dialogue: 0,0:48:27.38,0:48:28.98,Default,,0000,0000,0000,,Adresse hatte.\N{\i1}einzelnes Lachen{\i0} Dialogue: 0,0:48:28.98,0:48:38.12,Default,,0000,0000,0000,,Passiert im besten. Ja also die müssen\Nmiteinander reden, ganz kurz, die brauchen Dialogue: 0,0:48:38.12,0:48:42.07,Default,,0000,0000,0000,,irgendeine Infrastruktur um zu\Nkommunizieren und das meist der Ort, wo sie Dialogue: 0,0:48:42.07,0:48:46.19,Default,,0000,0000,0000,,angegriffen werden von Ermittlern.\NÜbrigens Sebastian Vahoug sitzt jetzt für, Dialogue: 0,0:48:46.19,0:48:49.82,Default,,0000,0000,0000,,20 Jahre in den USA, danach dann noch drei\NJahre Bewährung und ich glaube dann muss Dialogue: 0,0:48:49.82,0:48:55.29,Default,,0000,0000,0000,,er noch die Freiheitsstrafe absetzen, die\Ner in Kanada noch egal länger. So, also Dialogue: 0,0:48:55.29,0:49:02.17,Default,,0000,0000,0000,,diese Leute bilden Banden, die Sourcen\Naus, die sind relativ organisiert und es Dialogue: 0,0:49:02.17,0:49:07.27,Default,,0000,0000,0000,,sind ganz normale Menschen, ja, keine\NGötter, keine Superhacker. Das sind Dialogue: 0,0:49:07.27,0:49:12.04,Default,,0000,0000,0000,,normale Menschen die Fehler machen. Und\Ndiese Arbeitsteilung dieser Band geht Dialogue: 0,0:49:12.04,0:49:18.23,Default,,0000,0000,0000,,sogar noch viel weiter, hier seht ihr die\Nunterste Ebene, hier seht ihr den Level 1 Dialogue: 0,0:49:18.23,0:49:29.37,Default,,0000,0000,0000,,Support. Das ist Alla Witte, eine, ich\Nbedauere sie fast, inzwischen. Eine Frau, Dialogue: 0,0:49:29.37,0:49:33.73,Default,,0000,0000,0000,,die in der Sowjetunion geboren wurde, sie\Nhat dort mal Programmiererin für Dialogue: 0,0:49:33.73,0:49:39.28,Default,,0000,0000,0000,,Funktechnik gelernt, sie ist inzwischen 57\NJahre alt, hat ein bisschen Pech gehabt im Dialogue: 0,0:49:39.28,0:49:47.61,Default,,0000,0000,0000,,Leben, verwitwet, hat mit Scientology zu\Ntun egal. Jedenfalls sie schlug sich so Dialogue: 0,0:49:47.61,0:49:53.42,Default,,0000,0000,0000,,durch mit dem Programmieren von Websites,\Nlebte in Surinam zu dem Zeitpunkt und Dialogue: 0,0:49:53.42,0:49:58.91,Default,,0000,0000,0000,,programmierte auch für kleine Unternehmen\Nso ein bisschen HTML und solche Dinge und Dialogue: 0,0:49:58.91,0:50:03.79,Default,,0000,0000,0000,,dann bekam sie ein Jobangebot 2017 von\Neiner russischen Softwarefirma, so sagt Dialogue: 0,0:50:03.79,0:50:08.98,Default,,0000,0000,0000,,sie es. Ja mit der konnten wir auch reden.\NDann gab's so ein Einstellungstest online, Dialogue: 0,0:50:08.98,0:50:12.42,Default,,0000,0000,0000,,da musste sie so ein paar technische\NFragen beantworten, den hat sie bestanden Dialogue: 0,0:50:12.42,0:50:16.86,Default,,0000,0000,0000,,und dann hat man ihren Job angeboten, hat\Ngesagt, pass auf 800 € im Monat kannst du Dialogue: 0,0:50:16.86,0:50:22.69,Default,,0000,0000,0000,,von uns haben und dafür machst du hier so\NEntwicklertätigkeiten. Kam ein kleines Dialogue: 0,0:50:22.69,0:50:28.88,Default,,0000,0000,0000,,Team mit neuen Leuten und die kannten sich\Nalle nur über jabber. Und ihr Job war es Dialogue: 0,0:50:28.88,0:50:33.34,Default,,0000,0000,0000,,dann, und da fingen sie dann doch an\Ndrüber nachzudenken, ob das das richtige Dialogue: 0,0:50:33.34,0:50:36.81,Default,,0000,0000,0000,,ist, sowas zu programmieren, nämlich\NWebseiten mit der Benutzeroberfläche auf Dialogue: 0,0:50:36.81,0:50:40.69,Default,,0000,0000,0000,,der dann steht "ihr Computer ist\Ninfiziert". {\i1}Kai lächelt{\i0} Entschuldigung Dialogue: 0,0:50:40.69,0:50:47.18,Default,,0000,0000,0000,,das wieder eine von dolies Erfindung, aber\Nich fand sie sehr hübsch. Und die Dialogue: 0,0:50:47.18,0:50:51.54,Default,,0000,0000,0000,,Softwarefma, für die sie dort gearbeitet\Nhat war Conti, eine der größten und Dialogue: 0,0:50:51.54,0:50:58.14,Default,,0000,0000,0000,,organisiertesten Ransomware Banden die die\NWelt bislang gesehen hat, oder die größte Dialogue: 0,0:50:58.14,0:51:03.83,Default,,0000,0000,0000,,und organisierteste, und ja Alla Witte war\Nwie gesagt relativ unbedarft am Anfang, Dialogue: 0,0:51:03.83,0:51:07.40,Default,,0000,0000,0000,,das glaube ich ihr sogar, weil bei Jabber\Nhat sie sich noch angemeldet mit ihrem Dialogue: 0,0:51:07.40,0:51:12.54,Default,,0000,0000,0000,,echten Namen Alla Witte, also den Jabber\NServer wo die Gang miteinander Dialogue: 0,0:51:12.54,0:51:17.66,Default,,0000,0000,0000,,kommunizierte und der dann später geleaked \Nwurde durch ein ROG Mitglied dieser Bande, Dialogue: 0,0:51:17.66,0:51:23.42,Default,,0000,0000,0000,,so dass ihr Name relativ schnell klar war\Ndeswegen, war sie auch die erste die Dialogue: 0,0:51:23.42,0:51:29.65,Default,,0000,0000,0000,,Probleme bekam. Also sie war in Surinam\Nund eines Tages stand die Polizei von Dialogue: 0,0:51:29.65,0:51:33.74,Default,,0000,0000,0000,,Surinam vor ihrer Tür und sagte, sorry wir\Nnehmen Sie jetzt mit, ihr Visum ist Dialogue: 0,0:51:33.74,0:51:37.10,Default,,0000,0000,0000,,abgelaufen und ihre Computer und so\Nsammeln wir auch alles ein und wir Dialogue: 0,0:51:37.10,0:51:41.26,Default,,0000,0000,0000,,schicken sie zurück nach Lettland, wo sie\Nherkam. Sie sind hier nicht mehr Dialogue: 0,0:51:41.26,0:51:48.03,Default,,0000,0000,0000,,erwünscht, ja. Der Flug landete dann\Nseltsamerweise in Miami zwischen, da stand Dialogue: 0,0:51:48.03,0:51:54.60,Default,,0000,0000,0000,,dann wieder das FBI und nahm sie mit in\Nein Gefängnis nach Ohio. Und da blieb sie Dialogue: 0,0:51:54.60,0:51:58.76,Default,,0000,0000,0000,,relativ lange, weil das FBI glaubte okay\Nwir haben hier sozusagen die Hacker Queen, Dialogue: 0,0:51:58.76,0:52:03.00,Default,,0000,0000,0000,,die kann uns was über Conti erzählen, das\Nwar vor dem leack. Nah, das FBI hat sie Dialogue: 0,0:52:03.00,0:52:06.64,Default,,0000,0000,0000,,vorer gefunden und hoffte, sie kann ihn\Nviel verraten, aber sie kannte echt nur Dialogue: 0,0:52:06.64,0:52:10.08,Default,,0000,0000,0000,,die neun Leute aus ihrem Team, das waren\Nalles kleine freischaffende Dialogue: 0,0:52:10.08,0:52:15.16,Default,,0000,0000,0000,,Softwareentwickler, System Admins , die\Nsich ein bisschen was dazu verdienen Dialogue: 0,0:52:15.16,0:52:19.54,Default,,0000,0000,0000,,wollten. Sie konnte ihnen nicht viel\Nsagen, deswegen saß sie zwei Jahre dort im Dialogue: 0,0:52:19.54,0:52:25.64,Default,,0000,0000,0000,,Knast ohne Prozess. Und es passiert\Neinfach nichts, in der Zwischenzeit kam Dialogue: 0,0:52:25.64,0:52:30.12,Default,,0000,0000,0000,,der Conti Leak und alle Welter erfuhr\Nüber diese Gang. Inzwischen ist sie Dialogue: 0,0:52:30.12,0:52:35.09,Default,,0000,0000,0000,,freigelassen worden aus den USA, ist\Nwieder zurück jetzt wieder in Lettland in Dialogue: 0,0:52:35.09,0:52:40.62,Default,,0000,0000,0000,,Riga. Die meisten Vorwürfe wurden fallen\Ngelassen, außer einer Verabredung zum Dialogue: 0,0:52:40.62,0:52:44.96,Default,,0000,0000,0000,,Computerbetrug, aber das also es reichtte\Nnicht um sie weiter festzuhalten, wie Dialogue: 0,0:52:44.96,0:52:48.28,Default,,0000,0000,0000,,gesagt sie lebt in Riga, sie tut mir\Nwirklich etwas leid. Inzwischen geht sie Dialogue: 0,0:52:48.28,0:52:54.58,Default,,0000,0000,0000,,putzen. Das ist, ihr seht hier so die\NStruktur, von Conti das ist die unterste Dialogue: 0,0:52:54.58,0:53:00.49,Default,,0000,0000,0000,,Ebene dieser wirklich organisierten Gang\Nund wir reden hier über die die Profis der Dialogue: 0,0:53:00.49,0:53:06.45,Default,,0000,0000,0000,,Branche. Die hatten alles, die hatten\NChefs, die sich darum kümmerten Büros Dialogue: 0,0:53:06.45,0:53:11.03,Default,,0000,0000,0000,,anzumieten in denen die Leute wirklich von\N8 bis 5 gearbeitet haben, ja, die kamen Dialogue: 0,0:53:11.03,0:53:19.99,Default,,0000,0000,0000,,da. Die wurden über Foren angeheuert und\Nfür day Jobs und die waren wie eine Firma Dialogue: 0,0:53:19.99,0:53:25.30,Default,,0000,0000,0000,,organisiert. Ich zeige euch gleich noch\Nzwei Mitglieder davon aus dem Dialogue: 0,0:53:25.30,0:53:29.69,Default,,0000,0000,0000,,Führungsebene. Bis heute sind nicht alle\Nidentifiziert, vor Allen nicht der Kopf Dialogue: 0,0:53:29.69,0:53:34.70,Default,,0000,0000,0000,,der Bande Stern, der ist nur unter diesem\NHändel bekannt, ich soweit ich weiß weiß Dialogue: 0,0:53:34.70,0:53:39.45,Default,,0000,0000,0000,,bis heute niemand wer das ist, das ist ein\NZeichen dafür dass es schon auch sehr Dialogue: 0,0:53:39.45,0:53:43.45,Default,,0000,0000,0000,,fähige Kriminelle in diesem Bereich gibt\Naber es sind Wenige. Und wenn ihr so wie Dialogue: 0,0:53:43.45,0:53:46.99,Default,,0000,0000,0000,,Linus mit diesen Leuten zu tun habt, habt\Nihr nicht mit diesen Leuten zu tun Dialogue: 0,0:53:46.99,0:53:50.47,Default,,0000,0000,0000,,niemals, also die machen sich die Finger\Nda nicht mehr mit schmutzig, sondern es Dialogue: 0,0:53:50.47,0:53:55.09,Default,,0000,0000,0000,,ist wie gesagt der Level 1 Support, aber\Nes ist auch ein Beispiel, ja diese Banden Dialogue: 0,0:53:55.09,0:54:00.75,Default,,0000,0000,0000,,machen Fehler, aber ja Sie können auch gar\Nnicht so schlecht sein, wenn man Pech hat. Dialogue: 0,0:54:00.75,0:54:08.93,Default,,0000,0000,0000,,Noch ein paar Gesichter, hier ist einer\Nder Manager Maxim Galochkin, hat ein paar Dialogue: 0,0:54:08.93,0:54:17.09,Default,,0000,0000,0000,,Softwarefirmen, ist pleite gegangen, kommt\Naus Abakan in Russland, lebt da glaube ich Dialogue: 0,0:54:17.09,0:54:24.57,Default,,0000,0000,0000,,noch immer, soweit zum seine Social Media\NProfile das hergeben. Der war zuständig Dialogue: 0,0:54:24.57,0:54:30.32,Default,,0000,0000,0000,,dafür, dass also die haben alle\NVirencanner, die es auf dem Markt gab, Dialogue: 0,0:54:30.32,0:54:34.88,Default,,0000,0000,0000,,sich so besorgt und er musste testen ob\Nihre Schadsoftware da durchgeht idR Dialogue: 0,0:54:34.88,0:54:39.08,Default,,0000,0000,0000,,Evasion heißt das habe ich mir sagen...\NL: idR Evasion, ja. Dialogue: 0,0:54:39.08,0:54:43.83,Default,,0000,0000,0000,,K: Der baut auch den Cryptolocker, also\Ndie Daten verschlüsselt, also sein Team. Dialogue: 0,0:54:43.83,0:54:47.84,Default,,0000,0000,0000,,Er war Teamleiter und Manager, ja Maxim\Nwandert gern, der hält nichts von Dialogue: 0,0:54:47.84,0:54:51.75,Default,,0000,0000,0000,,Covidimpfung, ist ein großer Putin Fan und\NVerteidiger des Ukrainekrieges oder das Dialogue: 0,0:54:51.75,0:54:57.68,Default,,0000,0000,0000,,Kriegs des Angriffs auf gegen die Ukraine\Nund Anhänger irgendeines komischen Dialogue: 0,0:54:57.68,0:55:02.80,Default,,0000,0000,0000,,Gurus. Letztlich ein ganz normaler Mensch.\N{\i1}viele Lachen{\i0} Dialogue: 0,0:55:02.80,0:55:08.72,Default,,0000,0000,0000,,ist in Abwesenheit angeklagt in den USA,\Nweil er Teil von Conti sein soll. Hier ist Dialogue: 0,0:55:08.72,0:55:15.10,Default,,0000,0000,0000,,noch einer eine Ebene tiefer ein\NTeamleiter Oleg Kugarov aus Tolyati bei Dialogue: 0,0:55:15.10,0:55:20.69,Default,,0000,0000,0000,,Samara, 50 Jahre alt. Ich finde den\Ninteressant, den man, weil also er nennt Dialogue: 0,0:55:20.69,0:55:23.86,Default,,0000,0000,0000,,sich selber reverse engineer und male\NAnalyst und scheint schon länger in der Dialogue: 0,0:55:23.86,0:55:28.09,Default,,0000,0000,0000,,Branche zu sein, also länger als Andere,\Nviele Andere kommen wirklich aus legalen Dialogue: 0,0:55:28.09,0:55:32.84,Default,,0000,0000,0000,,Bereichen und suchen verzweifelt einen\NJob. Viele können auch kein Englisch und Dialogue: 0,0:55:32.84,0:55:37.44,Default,,0000,0000,0000,,finden in englischsprachigen Industrien da\Nja keinen Job, also man könnte ja auch Dialogue: 0,0:55:37.44,0:55:41.55,Default,,0000,0000,0000,,remote arbeiten und finden kein Job, sie\Nkönnen halt nur russisch und gehen dann zu Dialogue: 0,0:55:41.55,0:55:47.50,Default,,0000,0000,0000,,einer russischen Softwarefirma. Ja Oleg\Nverkauft z.B Zero days im Darknet, Dialogue: 0,0:55:47.50,0:55:50.80,Default,,0000,0000,0000,,zumindest habe ich so ein paar Hinweise\Ndarauf gefunden und, was ich auch Dialogue: 0,0:55:50.80,0:55:54.51,Default,,0000,0000,0000,,interessant finde, der hat sich schon 2014\Nbei hacking Team beworben. Hacking Team Dialogue: 0,0:55:54.51,0:55:59.85,Default,,0000,0000,0000,,war hier beim Kongress schon ein zwei mal\NThema. Das war eine recht berüchtigte Dialogue: 0,0:55:59.85,0:56:06.20,Default,,0000,0000,0000,,Firma die Späsoftware herstellte und von\NFinineas Fischer aufgebohrt und aus dem Dialogue: 0,0:56:06.20,0:56:11.52,Default,,0000,0000,0000,,Wasser geblasen wurde, und für Conti hat\Ner Leute angeworben und geführt als Dialogue: 0,0:56:11.52,0:56:16.16,Default,,0000,0000,0000,,Teamleiter ja. Er grillt gern, er hat ein\Nshibaainu, Namen Simba, ein kleines Dialogue: 0,0:56:16.16,0:56:21.89,Default,,0000,0000,0000,,Häuschen, man sieht ih da in seiner\NStraße. Wie ernst diese Gangs sind, sieht Dialogue: 0,0:56:21.89,0:56:26.92,Default,,0000,0000,0000,,man unter anderem daran, dass die USA\Nbereits sind 10 Millionen Dollar zu zahlen Dialogue: 0,0:56:26.92,0:56:32.39,Default,,0000,0000,0000,,für Hinweise, auf die noch nicht bekannten\NMitglieder. Das ist schon ein Haufen Geld Dialogue: 0,0:56:32.39,0:56:38.14,Default,,0000,0000,0000,,und es heißt, dass diese Branche bis heute,\Ndie ganze Welt in Atem hält und kaum einen Dialogue: 0,0:56:38.14,0:56:42.16,Default,,0000,0000,0000,,interessiert es. Und wie gesagt ich finde\Ndas immer noch seltsam. Noch dazu also Dialogue: 0,0:56:42.16,0:56:45.74,Default,,0000,0000,0000,,Conti hat sich nicht hat sich selber\Nzerlegt, neh. Das war nicht Ermittler, das Dialogue: 0,0:56:45.74,0:56:48.24,Default,,0000,0000,0000,,hat nicht geholfen Alla Witte da\Neinzusperren, sondern die haben sich Dialogue: 0,0:56:48.24,0:56:55.26,Default,,0000,0000,0000,,selber ruiniert. Und ja Linus wird jetzt\Nnoch mal einen kurzen Vortrag über die Dialogue: 0,0:56:55.26,0:56:57.11,Default,,0000,0000,0000,,Lehren daraus halten.\N{\i1}Linus lacht{\i0} Dialogue: 0,0:56:57.11,0:57:00.45,Default,,0000,0000,0000,,L: Also was ich noch mal sehr wichtig\Nfinde, ist, ihr seht die leben dann Dialogue: 0,0:57:00.45,0:57:06.90,Default,,0000,0000,0000,,verhältnismäßig entspannt ja? Also wenn\Nman überlegt dass Conti war mal, blackhead Dialogue: 0,0:57:06.90,0:57:11.14,Default,,0000,0000,0000,,wurden irgendwie so um die also\Nüblicherweise werden immer so Einnahmen im Dialogue: 0,0:57:11.14,0:57:15.08,Default,,0000,0000,0000,,im 100 Millionen Bereich kriegen die hin\Nbis sie bis sie hochgehen ja. So ungefähr Dialogue: 0,0:57:15.08,0:57:21.11,Default,,0000,0000,0000,,das ist so die Region, wenn man sich das\Nanschaut. Und so viel Geld scheinen die Dialogue: 0,0:57:21.11,0:57:25.43,Default,,0000,0000,0000,,Leute an der Spitze ja auch nicht zu\Nhaben, ich denke Kriminalität lohnt sich Dialogue: 0,0:57:25.43,0:57:31.26,Default,,0000,0000,0000,,vor allem wegen der Nebenkosten nicht, ja?\NAlso du hast, wenn du wenn dieses Geld Dialogue: 0,0:57:31.26,0:57:36.39,Default,,0000,0000,0000,,übergeht auf das auf das Wallet geht,\Ndauert wenige Minuten bis es von dort Dialogue: 0,0:57:36.39,0:57:40.42,Default,,0000,0000,0000,,verteilt wird auf viele tausend einzelne\Nwallets, also findet so ein Dialogue: 0,0:57:40.42,0:57:45.14,Default,,0000,0000,0000,,Geldwäschevorgang statt. Früher gerne von\NTornado Cash gemacht, heute vermutlich von Dialogue: 0,0:57:45.14,0:57:50.21,Default,,0000,0000,0000,,Anderen, weil der Betreiber von Tornado\NCash ja im Knast sitzt und keine Zugriff Dialogue: 0,0:57:50.21,0:57:55.95,Default,,0000,0000,0000,,mehr auf seine Systeme hat. Die müssen\Nsich in ihrer Interaktion sicher sein, dass Dialogue: 0,0:57:55.95,0:58:00.52,Default,,0000,0000,0000,,es Menschen gibt die lieber 10 Millionen\Nhaben können, wenn sie verraten wer Sie Dialogue: 0,0:58:00.52,0:58:04.27,Default,,0000,0000,0000,,sind, und das führt dazu, dass du auch\Necht extrem, sag ich mal dein Dialogue: 0,0:58:04.27,0:58:09.20,Default,,0000,0000,0000,,Freundeskreis wird sehr teuer, ja, weil du\Nsicherstellen musst, dass jeder von denen Dialogue: 0,0:58:09.20,0:58:13.53,Default,,0000,0000,0000,,keinen Grund findet sich die 10 Millionen\Nzu holen. Also es ist eigentlich insgesamt Dialogue: 0,0:58:13.53,0:58:19.96,Default,,0000,0000,0000,,dann doch glaube ich kein Lebensstil der\Nsich empfiehlt, das nur noch mal am Rande. Dialogue: 0,0:58:19.96,0:58:25.15,Default,,0000,0000,0000,,Kommen wir zum Fazit. Wir wissen, wie die\NAngreifer vorgehen und wie man sich Dialogue: 0,0:58:25.15,0:58:29.73,Default,,0000,0000,0000,,schützt von Conti. Wir haben es nicht in\Ndem Leak, die haben ein Manual die haben Dialogue: 0,0:58:29.73,0:58:34.02,Default,,0000,0000,0000,,halt Probleme gehabt Nachwuchs zu finden,\Nhaben sie ein Buch geschrieben so ein Dialogue: 0,0:58:34.02,0:58:37.59,Default,,0000,0000,0000,,kleines PDF, wie man jetzt musst du da\Nklicken und dann musst Du hier ne Blatt Dialogue: 0,0:58:37.59,0:58:41.28,Default,,0000,0000,0000,,hauen und dann guckst du da und dann\Nkürzester Weg zum Domänenadmin, da musst Dialogue: 0,0:58:41.28,0:58:46.08,Default,,0000,0000,0000,,du das machen, da musst Du hier Mimicuts\Nund das ist alles drin, ja? Die Angreifer, Dialogue: 0,0:58:46.08,0:58:49.99,Default,,0000,0000,0000,,also du brauchst sowieso ein\NWiederherstellungskonzept, solange wir den Dialogue: 0,0:58:49.99,0:58:54.08,Default,,0000,0000,0000,,dieses diesen Sumpf nicht trocken legen,\Ndass wir gezwungen sind zu zahlen, werden Dialogue: 0,0:58:54.08,0:58:57.76,Default,,0000,0000,0000,,die das weiter tun, da hilft auch kein\NVerbot der Zahlungen. Die Angreifer Dialogue: 0,0:58:57.76,0:59:01.34,Default,,0000,0000,0000,,verlieren aber auch alles, wenn Du nicht\Nzahlst. Also wenn du in der unglücklichen Dialogue: 0,0:59:01.34,0:59:04.85,Default,,0000,0000,0000,,Situation bist, in der du niemals sein\Nwillst, stell ihn glaubhaft in Aussicht, Dialogue: 0,0:59:04.85,0:59:08.78,Default,,0000,0000,0000,,dass sie gar nichts bekommen, das ist der\Neinzige Weg den Preis nach unten zu Dialogue: 0,0:59:08.78,0:59:12.62,Default,,0000,0000,0000,,drücken. Sie wollen Druck erzeugen, beuge\Ndich dem Druck nicht und nehm ihn die Dialogue: 0,0:59:12.62,0:59:16.44,Default,,0000,0000,0000,,Druckmittel. Also wann immer die sagen,\Nhier Tage und so weiter, sagst du einfach Dialogue: 0,0:59:16.44,0:59:19.94,Default,,0000,0000,0000,,moment mal, neh, also mach mal ein\Nbisschen länger, also ehrlich gesagt keine Dialogue: 0,0:59:19.94,0:59:23.25,Default,,0000,0000,0000,,Ahnung, also auf Zeit zu spielen, macht\Nbei Ihnen den Druck, dass sie das Geld Dialogue: 0,0:59:23.25,0:59:27.40,Default,,0000,0000,0000,,nicht bekommen. Sie müssen einen Ruf\Npflegen. Dich zu betrügen schidet ihn also Dialogue: 0,0:59:27.40,0:59:31.26,Default,,0000,0000,0000,,mehr, als es ihnen selbst nützt, ja? Also\Nes wäre für die, ist es günstiger einfach Dialogue: 0,0:59:31.26,0:59:35.14,Default,,0000,0000,0000,,den nächsten zu hacken und ihr Glück da zu\Nprobieren, als dich noch mal zu hacken. Dialogue: 0,0:59:35.14,0:59:39.45,Default,,0000,0000,0000,,Das heißt aber nicht, dass es Andere nicht\Ntun. Ja also bitte bitte bitte, ihr müsst Dialogue: 0,0:59:39.45,0:59:43.22,Default,,0000,0000,0000,,euch so oder so schützen! Die Liste der\Nextrahierten Dateien gibt's kostenlos, die Dialogue: 0,0:59:43.22,0:59:47.73,Default,,0000,0000,0000,,brauchst du für die DSGVO Meldung, schadet\Nnicht sich die abzuholen. Auch wenn du Dialogue: 0,0:59:47.73,0:59:53.62,Default,,0000,0000,0000,,zahlst, hast du hohe Folgekosten, du musst\Ndich sowieso noch schützen und du du musst Dialogue: 0,0:59:53.62,0:59:58.57,Default,,0000,0000,0000,,dich auch vergewissern, dass du wirklich\Nein Business Case hast. Meistens hast du Dialogue: 0,0:59:58.57,1:00:02.88,Default,,0000,0000,0000,,den nicht, deswegen drücken die ja so bei\Nder Zeit, weil sie wissen, je länger du Dialogue: 0,1:00:02.88,1:00:06.82,Default,,0000,0000,0000,,über die Situation nachdenkst, umso mehr\NMöglichkeiten dich da selber rauszuheben Dialogue: 0,1:00:06.82,1:00:11.08,Default,,0000,0000,0000,,findest du und umso besser geht's dir und\Nso wahrscheinlicher ist es, dass sie ihr Dialogue: 0,1:00:11.08,1:00:15.87,Default,,0000,0000,0000,,Geld nicht kriegen. Die Angreifer sind\Nnicht unfehlbar und trotzdem brauchst du Dialogue: 0,1:00:15.87,1:00:20.95,Default,,0000,0000,0000,,ein Wiederherstellungskonzept, so oder so\Nund zwar jetzt. Übrigens zum Thema Dialogue: 0,1:00:20.95,1:00:26.47,Default,,0000,0000,0000,,unfehlbar, hat mein Kollege Tobias heute\Nne gestern einen Vortrag gehalten, der hat Dialogue: 0,1:00:26.47,1:00:30.89,Default,,0000,0000,0000,,den Titel unlocked recovering Files taken\Nhostage by Ransomware, weil wir als Dialogue: 0,1:00:30.89,1:00:35.21,Default,,0000,0000,0000,,kleiner Nebenaktivität unserer Aktivitäten\Nin diesem Bereich noch ein Decrypter Dialogue: 0,1:00:35.21,1:00:40.44,Default,,0000,0000,0000,,veröffentlichen. Dieser Talk ist Teil\Neiner Reihe, sie begann mit Hirnehaken, Dialogue: 0,1:00:40.44,1:00:44.80,Default,,0000,0000,0000,,sie ging weiter mit Disclosure Hack und\Nhackback von Kantorkel Dominik und mir Dialogue: 0,1:00:44.80,1:00:50.35,Default,,0000,0000,0000,,beim Camp. Sie hatte einen Höhepunkt\Ngestern mit Unlocked! dem Release des Dialogue: 0,1:00:50.35,1:00:54.85,Default,,0000,0000,0000,,decrypters für blackbuster von Tobias und\Nsie findet hoffentlich hier Ende mit Dialogue: 0,1:00:54.85,1:00:58.90,Default,,0000,0000,0000,,Hirne Hacken hackback Edition von Kai\NBiermann und mir, weil damit sollte jetzt Dialogue: 0,1:00:58.90,1:01:07.02,Default,,0000,0000,0000,,zum Thema hoffentlich alles gesagt sein,\Nvielen Dank. {\i1}Applaus{\i0} Dialogue: 0,1:01:07.02,1:01:12.52,Default,,0000,0000,0000,,K: Danke!\NEngel: Wunderbar, super ja vielen Dank an Dialogue: 0,1:01:12.52,1:01:21.93,Default,,0000,0000,0000,,Linus und Kai. Dialogue: 0,1:01:21.93,1:01:28.79,Default,,0000,0000,0000,,{\i1}37c3 Nachspannmusik{\i0} Dialogue: 0,1:01:28.79,1:01:40.00,Default,,0000,0000,0000,,Untertitel von vielen vielen Freiwilligen und dem\NC3Subtitles Team erstellt. Mach mit und hilf uns!