WEBVTT

00:00:00.230 --> 00:00:13.142
<i>37C3 Anspannungsmusik</i>

00:00:13.143 --> 00:00:18.080
Engel: Ok dann freue ich mich euch alle
sehr herzlich zu Hirne hacken der hackback

00:00:18.080 --> 00:00:23.280
Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai

00:00:23.280 --> 00:00:29.120
Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant

00:00:29.120 --> 00:00:34.200
und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs

00:00:34.200 --> 00:00:39.240
verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und

00:00:39.240 --> 00:00:45.000
hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt

00:00:45.000 --> 00:00:50.240
und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch

00:00:50.240 --> 00:00:55.960
das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die

00:00:55.960 --> 00:00:59.920
spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!

00:00:59.920 --> 00:01:09.866
<i>Applaus</i>

00:01:09.866 --> 00:01:15.040
Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch! Das ist der Linus, der wurde

00:01:15.040 --> 00:01:19.320
schon kurz vorgestellt, der mag gern
reiten, schwimmen und hacken so viel zu

00:01:19.320 --> 00:01:23.560
seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma

00:01:23.560 --> 00:01:29.480
gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine

00:01:29.480 --> 00:01:36.320
Hobbys die er öffentlich nennen möchte.
<i>Lachen</i> Und ruft gerne mal an wenn jemand

00:01:36.320 --> 00:01:41.264
gecybert wird weil er im
Investigativressort von Zeit und Zeit

00:01:41.264 --> 00:01:47.160
online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der

00:01:47.160 --> 00:01:51.659
erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!

00:01:51.659 --> 00:01:56.707
<i>Gemurmel</i> Und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu

00:01:56.707 --> 00:02:03.279
langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain

00:02:03.279 --> 00:02:08.443
eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu

00:02:08.443 --> 00:02:13.410
hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der

00:02:13.410 --> 00:02:18.397
mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten

00:02:18.397 --> 00:02:21.616
zurückkaufen und ich sage in die
Schwachstelle."

00:02:21.616 --> 00:02:25.252
<i>wachsendes Lachen</i>

00:02:25.252 --> 00:02:29.455
Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was

00:02:29.455 --> 00:02:34.180
ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es

00:02:34.180 --> 00:02:38.088
ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,

00:02:38.088 --> 00:02:41.512
werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den

00:02:41.512 --> 00:02:44.159
Schaden vor wenn ich veröffentliche."

00:02:44.159 --> 00:02:46.930
<i>Lachen</i>

00:02:46.930 --> 00:02:52.301
Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine

00:02:52.301 --> 00:02:56.456
Forderung uns mitgeteilt: "ich will
2000€".

00:02:56.456 --> 00:03:04.275
<i>Lachen</i><i>Linus lacht</i>

00:03:04.275 --> 00:03:08.880
L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit

00:03:08.880 --> 00:03:14.120
ein bisschen mehr Forderung hätten wir ihn
wahrscheinlich auch ernst genommen, haben

00:03:14.120 --> 00:03:18.040
uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er

00:03:18.040 --> 00:03:22.480
sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich

00:03:22.480 --> 00:03:27.800
jetzt entscheiden, das ist kein Blöff."
<i>laute Lachen</i>

00:03:27.800 --> 00:03:31.640
Da haben wir erstmals ein Tee getrunken.
<i>lachen</i>

00:03:31.640 --> 00:03:37.205
Und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden <i>viele lachen</i>

00:03:37.205 --> 00:03:44.234
aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also

00:03:44.234 --> 00:03:48.733
erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein

00:03:48.733 --> 00:03:53.490
letztes Mal 24 Stunden dann aber wirklich!
Und dann wurden die Drohungen "sagt er,"

00:03:53.490 --> 00:03:57.806
und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert

00:03:57.806 --> 00:04:02.447
und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so

00:04:02.447 --> 00:04:06.288
na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht

00:04:06.288 --> 00:04:14.360
2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für Einer? Ja?

00:04:14.360 --> 00:04:18.520
Also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails

00:04:18.520 --> 00:04:24.000
schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,

00:04:24.000 --> 00:04:28.280
ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei

00:04:28.280 --> 00:04:33.440
Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im

00:04:33.440 --> 00:04:37.080
Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären

00:04:37.080 --> 00:04:42.320
dass er 2000€ für viel Geld hält <i>lachen</i>
oder ist Irgendjemand mit Chat GPT in

00:04:42.320 --> 00:04:45.720
Indien oder so für den das potenziell auch
viel Geld wäre. Also haben wir uns überlegt

00:04:45.720 --> 00:04:49.640
na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch

00:04:49.640 --> 00:04:53.720
mal und haben da gesagt:
L: Also pass auf du solltest deine Server

00:04:53.720 --> 00:04:57.880
echt nicht in der EU hosten, weil
<i>Gelächter</i> die Polizeibehörden hier

00:04:57.880 --> 00:05:03.760
arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit

00:05:03.760 --> 00:05:08.680
der Kreditkarte zahlen.
<i>Linus lacht, viele Lachen</i>

00:05:08.680 --> 00:05:13.600
Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von

00:05:13.600 --> 00:05:20.040
deinem anderen VServer aus, ja? Kam
erstmals nichts. <i>einige lachen</i> und dann

00:05:20.040 --> 00:05:23.695
hab ich gesagt:
L: Pass auf in 24 Stunden

00:05:23.695 --> 00:05:29.485
<i>sehr viele Lachen, Applaus</i>

00:05:29.485 --> 00:05:34.360
geht unser Bericht ans LKA. Die
Datenschutzmeldung haben wir ohnehin schon

00:05:34.360 --> 00:05:38.120
gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben

00:05:38.120 --> 00:05:40.560
gesagt:
L: Pass auf wenn du deine Daten löscht

00:05:40.560 --> 00:05:43.680
bekommst du McDonald's Gutschein
<i>viele lachen</i>

00:05:43.680 --> 00:05:54.440
über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt!" L: Wie

00:05:54.440 --> 00:05:59.480
so ... was für Offshore Server? was für
Verschlüsselung?

00:06:00.320 --> 00:06:08.197
"Ich will 2000€ sie haben 24 Stunden,
sonst..." <i>einige lachen</i>

00:06:08.197 --> 00:06:11.600
L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet

00:06:11.600 --> 00:06:17.080
und dann kam dedos <i>einzelne Gelächter</i>
dann haben wir cloudflare dazwischen

00:06:17.080 --> 00:06:21.080
geschaltet und dann waren wir fertig ja
<i>lachen</i>

00:06:21.080 --> 00:06:25.120
weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war

00:06:25.120 --> 00:06:28.360
viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder

00:06:28.360 --> 00:06:33.440
gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber

00:06:33.440 --> 00:06:37.880
natürlich sind nicht alle Diskussionen
oder alle solche Fälle, wenn man mit einem

00:06:37.880 --> 00:06:41.860
verwirrten Einzeltäter zu tun hat, so
glimpflich und so einfach.

00:06:41.860 --> 00:06:49.440
Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat

00:06:49.440 --> 00:06:52.480
mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor

00:06:52.480 --> 00:06:56.120
Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich

00:06:56.120 --> 00:07:00.240
gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat

00:07:00.240 --> 00:07:05.880
in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,

00:07:05.880 --> 00:07:13.160
psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen

00:07:13.160 --> 00:07:19.960
gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen, alle

00:07:19.960 --> 00:07:24.200
Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat

00:07:24.200 --> 00:07:31.560
anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals, ist

00:07:31.560 --> 00:07:39.200
schon zwei Jahre her, ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee

00:07:39.200 --> 00:07:46.080
getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail

00:07:46.080 --> 00:07:50.840
geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will

00:07:50.840 --> 00:07:57.200
ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz

00:07:57.200 --> 00:08:02.520
veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung

00:08:02.520 --> 00:08:07.400
von ihm, könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er

00:08:07.400 --> 00:08:14.600
inzwischen, er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit

00:08:14.600 --> 00:08:18.600
Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der

00:08:18.600 --> 00:08:23.320
hat mit 15 seine erste Verurteilung
kassiert, damals war er an Ddos Attacken

00:08:23.320 --> 00:08:26.360
beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal

00:08:26.360 --> 00:08:29.880
gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,

00:08:29.880 --> 00:08:35.560
kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche

00:08:35.560 --> 00:08:39.640
Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen

00:08:39.640 --> 00:08:44.240
data breach ein ziemlich shocking Act. Und
die Formulierung ist interessant, weil es

00:08:44.240 --> 00:08:49.040
mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen

00:08:49.040 --> 00:08:52.840
wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so

00:08:52.840 --> 00:08:59.240
ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von

00:08:59.240 --> 00:09:03.120
allen finnischen Patienten und
Patientin lagen war erstens eine

00:09:03.120 --> 00:09:07.840
selbstgebaute mySQL Datenbank die hingt
zweitens im Netz war drittens über Google

00:09:07.840 --> 00:09:12.220
zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.

00:09:12.220 --> 00:09:22.560
<i>Gemurmel</i> Auslieferungszustand sozusagen.
Wer macht so was? Er, das ist der CEO dieser

00:09:22.560 --> 00:09:27.080
Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert

00:09:27.080 --> 00:09:31.320
hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt

00:09:31.320 --> 00:09:35.440
dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen

00:09:35.440 --> 00:09:41.160
erpresst wurden, sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein

00:09:41.160 --> 00:09:44.440
Fakt zu den Patientendaten, den ich sehr
interessant finde, sie waren nicht

00:09:44.440 --> 00:09:51.280
anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle

00:09:51.280 --> 00:09:56.040
Gesundheitsdaten hat. Und die Firma hat
auch Vorgaben des finnischen

00:09:56.040 --> 00:10:01.600
Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem

00:10:01.600 --> 00:10:09.840
Täter weil... Also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder

00:10:09.840 --> 00:10:16.480
den kermit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,

00:10:16.480 --> 00:10:19.280
weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen

00:10:19.280 --> 00:10:24.120
hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt, dann liege ich

00:10:24.120 --> 00:10:31.200
eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei

00:10:31.200 --> 00:10:34.920
war, er hat es in ein finnischen imageboard
gemacht, ich hoffe ich spreche das richtig

00:10:34.920 --> 00:10:39.960
aus, yillilauter heißt es, das Problem
dabei war, er hat so ein paar Informationen

00:10:39.960 --> 00:10:45.280
seines Servers von dem er ausgeleakt hat
mitgeleakt, <i>K lacht, Gemurmel</i> IP-Adressen und

00:10:45.280 --> 00:10:49.440
solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ

00:10:49.440 --> 00:10:53.320
schnell dahinter kam dass da so ein
Netzwerk von Servern existiert, dass Jemand

00:10:53.320 --> 00:11:02.190
mit seiner Kreditkarte bezahlt hatte.
<i>einzelne Applaus</i> Wird noch schöner. *Kai

00:11:02.190 --> 00:11:06.480
lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, wastamo

00:11:06.480 --> 00:11:17.280
zaht nicht ja sind keine netten Leute. Der
Mann reiste viel, er war er tauchte unter.

00:11:17.280 --> 00:11:20.760
Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in

00:11:20.760 --> 00:11:25.720
Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee

00:11:25.720 --> 00:11:28.152
gehabt darüber im Internet zu posten.

00:11:28.152 --> 00:11:28.200
<i>Gelächter</i>

00:11:28.200 --> 00:11:33.400
Ja er hat wieder auf diesem imageboard
JimmiLauter ein Foto gepostet wo er an der

00:11:33.400 --> 00:11:37.720
französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser

00:11:37.720 --> 00:11:46.680
ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der

00:11:46.680 --> 00:11:51.000
Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch

00:11:51.000 --> 00:11:55.720
viel lustiger, dieses Foto war so gut, dass
die Polizei einen Fingerabdruck nehmen

00:11:55.720 --> 00:12:06.160
konnte.
<i>Viele lachen, Applaus</i>

00:12:06.160 --> 00:12:11.240
Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.

00:12:11.240 --> 00:12:15.920
Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der

00:12:15.920 --> 00:12:22.120
hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem

00:12:22.120 --> 00:12:25.560
Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden

00:12:25.560 --> 00:12:32.000
war den Daumenabdruck extrahiert und
bewiesen dass das geht, danke Starbug! Die

00:12:32.000 --> 00:12:41.261
finnische Polizei hat dir zugeschaut.
<i>Applaus</i>

00:12:41.261 --> 00:12:45.060
Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die

00:12:45.060 --> 00:12:50.568
eure Unternehmen ruinieren können oder
sich selbst oder beides, wollen wir uns mal

00:12:50.568 --> 00:12:54.407
kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das

00:12:54.407 --> 00:12:59.960
ein bisschen ärgerlich, weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren

00:12:59.960 --> 00:13:05.480
rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz

00:13:05.480 --> 00:13:10.260
eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016

00:13:10.260 --> 00:13:15.194
ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat

00:13:15.194 --> 00:13:19.438
irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von

00:13:19.438 --> 00:13:24.484
paar 100 Euro verlangt ja? Es kam dann
später wannacry, das war im Prinzip auch so

00:13:24.484 --> 00:13:29.058
eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat

00:13:29.058 --> 00:13:34.113
also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert

00:13:34.113 --> 00:13:39.239
ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste ryuk damit

00:13:39.239 --> 00:13:44.431
angefangen haben zu erkennen, dass das
Backup der natürliche Feind der Ransomware

00:13:44.431 --> 00:13:49.526
ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also

00:13:49.526 --> 00:13:53.266
komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen

00:13:53.266 --> 00:13:57.254
ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste

00:13:57.254 --> 00:14:02.064
Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und

00:14:02.064 --> 00:14:06.010
rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus. Ja das fing

00:14:06.010 --> 00:14:16.098
so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr

00:14:16.098 --> 00:14:20.734
auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.

00:14:20.734 --> 00:14:24.455
Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es

00:14:24.455 --> 00:14:29.663
gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal

00:14:29.663 --> 00:14:34.620
es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die

00:14:34.620 --> 00:14:39.191
gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so

00:14:39.191 --> 00:14:42.821
sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die

00:14:42.821 --> 00:14:46.515
fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.

00:14:46.515 --> 00:14:50.314
Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen

00:14:50.314 --> 00:14:53.705
aussieht ne, haben eine Prävention
vielleicht eine Detektion und die Recovery

00:14:53.705 --> 00:14:58.860
eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht

00:14:58.860 --> 00:15:03.452
so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine

00:15:03.452 --> 00:15:08.258
Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D

00:15:08.258 --> 00:15:13.375
Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite

00:15:13.375 --> 00:15:17.219
Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin

00:15:17.219 --> 00:15:21.054
kaufen kannst. Habe ich in Hirne hacken
schon ausführlich erklärt. die Leute die

00:15:21.054 --> 00:15:25.752
die Webseite sehen führen dann als 
nächstes ungefähr zu dieser Situation:

00:15:25.752 --> 00:15:29.402
"Have you tried paing the ransome"? 
Weil das die einzige Möglichkeit

00:15:29.402 --> 00:15:33.400
ist an die Dateien wieder 
ran zukommen. Wenn man das tut, sieht

00:15:33.400 --> 00:15:38.945
eine Seite ungefähr so aus, wo es ein
bisschen Instruktionen gibt wie man die

00:15:38.945 --> 00:15:44.521
Dateien wiederherstellt und außerdem sind
die Angreifer so nett, sie versprechen den

00:15:44.521 --> 00:15:48.800
kompletten Bericht, wie sie reingekommen
sind und ich denke natürlich als Security

00:15:48.800 --> 00:15:52.977
Konz, alles klar ein ordentlicher Bericht
ja cool so ein redteam Bericht da bin ich

00:15:52.977 --> 00:15:57.621
mal gespannt. Das ist er ja und eine
Standardantwort, die kommt in dem Moment wo

00:15:57.621 --> 00:16:01.923
die Bitcoins gezahlt sind, erscheint die
im Chat ja so quasi in in der gleichen

00:16:01.923 --> 00:16:06.329
Zeit. Das heißt die ist hard codet in dieser
Webseite drin und das bedeutet diese Web

00:16:06.329 --> 00:16:10.453
diese Angreifer sind absolute onetrack
Ponys die haben es hier mit meterpreter

00:16:10.453 --> 00:16:14.930
gemacht, ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst,

00:16:14.930 --> 00:16:20.589
damit man meterpreter nicht erkennt ja und
diese Angreifer sind onetrack Ponys und

00:16:20.589 --> 00:16:26.200
du bist ihr Opfer. Wir alle kennen diesen
klugen Satz, übrigens kann man immer sagen,

00:16:26.200 --> 00:16:29.953
kann man immer sagen, nur nicht beim
incident. Der kommt

00:16:29.953 --> 00:16:36.321
<i>Lachen, Applaus</i>

00:16:36.321 --> 00:16:48.989
also kommt nicht an, kommt nicht an. Ja
learn from my fail ja? <i>Lachen</i>

00:16:48.989 --> 00:16:51.804
Ich habe gerade gesagt wir sprechen über
double extortion, double extortion

00:16:51.804 --> 00:16:55.717
funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein

00:16:55.717 --> 00:16:59.918
Problem ist und sagen Backup haben wir
auch. <i>L lacht</i> Und das werden wir jetzt

00:16:59.918 --> 00:17:04.416
veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie

00:17:04.416 --> 00:17:08.670
verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der

00:17:08.670 --> 00:17:12.969
Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie

00:17:12.969 --> 00:17:18.143
versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen

00:17:18.143 --> 00:17:23.768
vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn

00:17:23.768 --> 00:17:28.907
hat schon mal auf ihren Anzeigetafeln
gehabt, ja? <i>lachen</i> Aber niemand kümmert

00:17:28.907 --> 00:17:33.816
sich drum und wenn du die Zeitung
aufmachst ja, was was wird diskutiert?

00:17:33.816 --> 00:17:39.904
Cyberwar... Was wäre wie fürchterlich wäre
das Kai, wenn der Cyberwar jetzt käme?

00:17:39.904 --> 00:17:43.383
Kai: Ja schrecklich oder?
L: Das wäre doch total schlimm ja.

00:17:43.383 --> 00:17:48.013
K: Ich mir wird langsam langweilig über
Ransomeware zu schreiben ganz ehrlich weil es so

00:17:48.013 --> 00:17:52.520
vorhersagbar ist. Und wenn man sich nur
einen kurzen Moment vorstellen würde

00:17:52.520 --> 00:17:56.788
überall in Deutschland würden maskierte
Menschen in große und kleine Firmen

00:17:56.788 --> 00:18:02.757
reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem

00:18:02.757 --> 00:18:08.556
Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles

00:18:08.556 --> 00:18:12.091
erwischt hat da rennen 100 Leute rein ja,
reißen alle Rechner aus der Wand und

00:18:12.091 --> 00:18:16.311
verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?

00:18:16.311 --> 00:18:20.289
Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital

00:18:20.289 --> 00:18:24.750
passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar, den sich

00:18:24.750 --> 00:18:28.704
vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich

00:18:28.704 --> 00:18:32.222
mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar

00:18:32.222 --> 00:18:36.226
mit ein paar Scharmützeln im Internet. Ja
das ist klar vorweg zu sagen, aber wenn wir

00:18:36.226 --> 00:18:40.018
uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im

00:18:40.018 --> 00:18:43.878
Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und

00:18:43.878 --> 00:18:47.903
es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere

00:18:47.903 --> 00:18:52.418
Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn

00:18:52.418 --> 00:18:56.244
irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht

00:18:56.244 --> 00:19:00.652
anders vorgehen als die Angreifer, die uns
heute schon Millionen und Milliarden

00:19:00.652 --> 00:19:05.857
Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,

00:19:05.857 --> 00:19:11.257
die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen

00:19:11.257 --> 00:19:15.224
und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation

00:19:15.224 --> 00:19:18.801
braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes

00:19:18.801 --> 00:19:23.417
Wiederherstellungskonzept. Euer Problem
ist nicht, dass alle Dateien weg sind, euer

00:19:23.417 --> 00:19:27.446
Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das

00:19:27.446 --> 00:19:31.183
langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben

00:19:31.183 --> 00:19:34.786
ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort

00:19:34.786 --> 00:19:39.860
stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für

00:19:39.860 --> 00:19:43.974
eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf

00:19:43.974 --> 00:19:47.962
nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht

00:19:47.962 --> 00:19:52.390
ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest

00:19:52.390 --> 00:19:56.733
nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer

00:19:56.733 --> 00:20:01.294
eigenen Infrastruktur, es muss isoliert
sein, also komplett getrenntes identity

00:20:01.294 --> 00:20:05.883
Access Management, keinesfalls im Active
Directory. Wer den Backup Server

00:20:05.883 --> 00:20:10.571
administriert, geht mit einer Tastatur und
einem Bildschirm in den Serverraum und

00:20:10.571 --> 00:20:14.258
steckt die da dran. Keine remote
administration von dem Backup Server,

00:20:14.258 --> 00:20:18.721
keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir

00:20:18.721 --> 00:20:22.426
auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.

00:20:22.426 --> 00:20:26.751
Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte

00:20:26.751 --> 00:20:31.540
man da sparen, wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup

00:20:31.540 --> 00:20:36.008
also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver

00:20:36.008 --> 00:20:39.920
integer! Und vor allem machen wir unsere
Backups risikobasiert also die

00:20:39.920 --> 00:20:44.984
Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die

00:20:44.984 --> 00:20:49.851
Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr

00:20:49.851 --> 00:20:53.258
mal jemanden seht, der dann so ankommt
sagt, wir haben alles auf Tape und du

00:20:53.258 --> 00:20:57.453
denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? <i>lächelt</i> Dann

00:20:57.453 --> 00:21:04.182
verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die

00:21:04.182 --> 00:21:08.606
Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen

00:21:08.606 --> 00:21:12.040
gibt, und das das was wir gleich über
Verhandlungen berichten, das vergesst ich

00:21:12.040 --> 00:21:15.671
am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute

00:21:15.671 --> 00:21:18.987
immer danach fragen, wie denn so eine
Verhandlung läuft. <i>einzelne Applaus</i>

00:21:18.987 --> 00:21:27.902
K: Ich entschuldige mich für diesen
Vortrag. <i>Applaus</i>

00:21:27.902 --> 00:21:31.950
K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den

00:21:31.950 --> 00:21:36.004
lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle

00:21:36.004 --> 00:21:40.637
beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,

00:21:40.637 --> 00:21:43.979
wie wir später festgestellt haben,
deswegen interessieren uns natürlich die

00:21:43.979 --> 00:21:48.316
psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir

00:21:48.316 --> 00:21:52.025
hier so ein paar vorstellen, damit ihr eine
Vorstellung dafür kriegt, was sind das für

00:21:52.025 --> 00:21:56.364
Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen

00:21:56.364 --> 00:22:02.803
mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das

00:22:02.803 --> 00:22:08.121
ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist

00:22:08.121 --> 00:22:11.357
eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr

00:22:11.357 --> 00:22:16.200
gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er

00:22:16.200 --> 00:22:20.365
da fährt, das ist seiner. Das Klischee geht
noch viel weiter, wenn ihr das

00:22:20.365 --> 00:22:24.839
Nummernschild betrachtet, falls ihr
russisch könnt, da steht W o R nicht Bor,

00:22:24.839 --> 00:22:30.907
sondern wor und wor übersetzt heißt Dieb
<i>lächelt</i>. Seine ganze Gang fuhr mit

00:22:30.907 --> 00:22:34.465
diesen Nummernschildern rum.
<i>einzelne Gelächter</i>

00:22:34.465 --> 00:22:38.848
Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet

00:22:38.848 --> 00:22:46.380
und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling

00:22:46.380 --> 00:22:52.809
Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist

00:22:52.809 --> 00:22:57.756
die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie

00:22:57.756 --> 00:23:03.060
gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie

00:23:03.060 --> 00:23:07.198
die Großväter der Ransomware, die nannten
sich evil Cop, auch da waren sie relativ

00:23:07.198 --> 00:23:11.851
eindeutig in ihrer Bezeichnung.
<i>Gelächter</i>

00:23:11.851 --> 00:23:14.760
Die haben schätzungsweise, es sind immer
Schätzungen von Ermittlern, deswegen wer weiß

00:23:14.760 --> 00:23:19.220
ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner

00:23:19.220 --> 00:23:24.786
namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking

00:23:24.786 --> 00:23:29.761
Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden

00:23:29.761 --> 00:23:36.332
gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch

00:23:36.332 --> 00:23:41.071
nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.

00:23:41.071 --> 00:23:45.507
Das Interessante ist, weswegen wir sie hier
drin haben, sie sind wirklich so was wie

00:23:45.507 --> 00:23:50.721
die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft

00:23:50.721 --> 00:23:55.860
mehrheitlich. Sie haben RAS erfunden
Ransomware As a Service also sie haben

00:23:55.860 --> 00:24:00.268
irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet

00:24:00.268 --> 00:24:05.535
verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie

00:24:05.535 --> 00:24:09.666
haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu

00:24:09.666 --> 00:24:13.848
beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,

00:24:13.848 --> 00:24:18.290
und wie sehen Leute aus die sowas dann
weiter verkaufen? So

00:24:18.290 --> 00:24:20.795
<i>Gelächter</i>

00:24:20.795 --> 00:24:27.690
das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer

00:24:27.690 --> 00:24:30.960
der Menschen die davon lebt diese
Vermietung zu organisieren,

00:24:30.960 --> 00:24:34.526
höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht

00:24:34.526 --> 00:24:37.795
verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in

00:24:37.795 --> 00:24:41.634
Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit

00:24:41.634 --> 00:24:48.850
Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was

00:24:48.850 --> 00:24:54.153
die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich

00:24:54.153 --> 00:24:59.805
gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten

00:24:59.805 --> 00:25:06.101
für Online Casinos und Crypto und anderen
Schmuddelkram und der vermietet oder hat

00:25:06.101 --> 00:25:11.647
vermietet REvil, ein weiteres großes
Ransomware, Familienmodell. Und er scheint

00:25:11.647 --> 00:25:17.051
nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist

00:25:17.051 --> 00:25:20.785
seine Frau, die tut hier nichts zur Sache,
deswegen ist sie so ein bisschen

00:25:20.785 --> 00:25:26.444
ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,

00:25:26.444 --> 00:25:29.171
wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie

00:25:29.171 --> 00:25:33.983
beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,

00:25:33.983 --> 00:25:39.578
falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also

00:25:39.578 --> 00:25:44.235
die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren

00:25:44.235 --> 00:25:50.155
steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass

00:25:50.155 --> 00:25:54.105
man da seine Bitcoin Wallet eingravieren
kann.

00:25:54.105 --> 00:25:58.960
<i>Applaus, L, K und Alle lachen</i>

00:25:58.960 --> 00:26:02.718
Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.

00:26:02.718 --> 00:26:07.370
Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht

00:26:07.370 --> 00:26:23.801
aber wir konnten sie leider nicht lesen.
Das FBI konnte es. <i>Lachen, Applaus</i>

00:26:23.801 --> 00:26:28.457
Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ihnen beschlagnahmt,

00:26:28.457 --> 00:26:33.480
ne also die Crypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der

00:26:33.480 --> 00:26:38.820
größte Halter von Bitcoins überhaupt
weltweit, oder? <i>Viele lachen</i>

00:26:38.820 --> 00:26:43.996
So er selbst wurde nicht gefasst aber
junge Russen, die sich für unverwundbar

00:26:43.996 --> 00:26:47.676
halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden

00:26:47.676 --> 00:26:52.547
bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die

00:26:52.547 --> 00:26:57.580
bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware

00:26:57.580 --> 00:27:03.273
Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die

00:27:03.273 --> 00:27:11.463
die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine

00:27:11.463 --> 00:27:16.753
Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine

00:27:16.753 --> 00:27:22.787
Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht, weil dieser

00:27:22.787 --> 00:27:27.048
Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich

00:27:27.048 --> 00:27:32.195
erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war

00:27:32.195 --> 00:27:38.981
Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet

00:27:38.981 --> 00:27:46.218
ebenfalls eine riesige Ransomware Familie
ja, die weltweit tausende Opfer verursacht

00:27:46.218 --> 00:27:52.474
hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI

00:27:52.474 --> 00:27:56.528
Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn

00:27:56.528 --> 00:28:03.149
erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen

00:28:03.149 --> 00:28:09.798
wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen

00:28:09.798 --> 00:28:14.130
gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden

00:28:14.130 --> 00:28:18.538
konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte

00:28:18.538 --> 00:28:24.500
Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser

00:28:24.500 --> 00:28:29.127
Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese

00:28:29.127 --> 00:28:34.189
Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei

00:28:34.189 --> 00:28:38.563
bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von

00:28:38.563 --> 00:28:43.070
emotet zusammen hier.
L: Sieht aus wie bei mir.

00:28:43.070 --> 00:28:49.045
<i>viele lachen</i>
K: Okay du hast auch Flohmarkt zeug? <i>lächelt</i>

00:28:49.045 --> 00:28:53.110
K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre

00:28:53.110 --> 00:28:58.026
alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der

00:28:58.026 --> 00:29:02.904
wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit

00:29:02.904 --> 00:29:08.161
uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche

00:29:08.161 --> 00:29:12.799
trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert

00:29:12.799 --> 00:29:19.577
wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro

00:29:19.577 --> 00:29:27.640
Server und Monat $480. Ich finde es
interessant, weil auch so gigantische

00:29:27.640 --> 00:29:31.574
Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit

00:29:31.574 --> 00:29:35.854
funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei

00:29:35.854 --> 00:29:40.580
die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom

00:29:40.580 --> 00:29:48.180
Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department

00:29:48.180 --> 00:29:51.734
KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,

00:29:51.734 --> 00:29:56.565
ich hätte gern ein paar davon.
<i>Gelächter</i>

00:29:56.565 --> 00:30:01.208
L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt, dass

00:30:01.208 --> 00:30:05.998
ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,

00:30:05.998 --> 00:30:10.297
hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich

00:30:10.297 --> 00:30:16.749
habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So

00:30:16.749 --> 00:30:21.062
sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben

00:30:21.062 --> 00:30:25.732
wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da

00:30:25.732 --> 00:30:29.572
drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem

00:30:29.572 --> 00:30:35.519
Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen

00:30:35.519 --> 00:30:41.210
Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,

00:30:41.210 --> 00:30:44.749
ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal

00:30:44.749 --> 00:30:48.128
beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher

00:30:48.128 --> 00:30:51.540
zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der

00:30:51.540 --> 00:30:55.200
man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,

00:30:55.200 --> 00:30:59.540
ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10

00:30:59.540 --> 00:31:03.803
Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,

00:31:03.803 --> 00:31:07.625
ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,

00:31:07.625 --> 00:31:13.920
die die Verhandlung betreffen. Und man
sagt natürlich erstmals, Junge, Beweis du

00:31:13.920 --> 00:31:16.962
doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich

00:31:16.962 --> 00:31:20.680
erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doofe

00:31:20.680 --> 00:31:25.374
Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass

00:31:25.374 --> 00:31:30.464
man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du

00:31:30.464 --> 00:31:33.243
die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann

00:31:33.243 --> 00:31:39.711
kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann

00:31:39.711 --> 00:31:42.881
sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben

00:31:42.881 --> 00:31:46.830
dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und

00:31:46.830 --> 00:31:54.366
damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist

00:31:54.366 --> 00:32:00.201
deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für

00:32:00.201 --> 00:32:05.445
umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer

00:32:05.445 --> 00:32:10.160
Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese

00:32:10.160 --> 00:32:14.723
die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar

00:32:14.723 --> 00:32:18.901
keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?

00:32:18.901 --> 00:32:25.086
Kostenlose Leistung, die man hier kriegt.
<i>viele lachen</i>

00:32:25.086 --> 00:32:28.404
Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her

00:32:28.404 --> 00:32:32.029
das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann

00:32:32.029 --> 00:32:36.520
sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja

00:32:36.520 --> 00:32:42.340
eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die

00:32:42.340 --> 00:32:47.719
Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt

00:32:47.719 --> 00:32:50.470
ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die

00:32:50.470 --> 00:32:53.900
Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass

00:32:53.900 --> 00:32:58.155
auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das

00:32:58.155 --> 00:33:01.861
werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen

00:33:01.861 --> 00:33:05.907
dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen <i>gelächter</i>?

00:33:05.907 --> 00:33:10.120
Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass

00:33:10.120 --> 00:33:14.261
sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr

00:33:14.261 --> 00:33:19.250
traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden

00:33:19.250 --> 00:33:26.324
für dich selber. Weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich

00:33:26.324 --> 00:33:31.567
nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen

00:33:31.567 --> 00:33:36.209
sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden

00:33:36.209 --> 00:33:42.148
von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe

00:33:42.148 --> 00:33:45.696
Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One

00:33:45.696 --> 00:33:50.114
Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich

00:33:50.114 --> 00:33:54.795
der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen

00:33:54.795 --> 00:33:59.153
Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen

00:33:59.153 --> 00:34:03.270
digitalen Angriffen zu schützen.
<i>Einzelne Applaus</i>

00:34:03.270 --> 00:34:06.653
Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,

00:34:06.653 --> 00:34:11.729
der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,

00:34:11.729 --> 00:34:16.925
Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen, die der

00:34:16.925 --> 00:34:21.529
eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse

00:34:21.529 --> 00:34:25.230
signifikant verbessern können und er hat
noch ein paar Interviews gegeben, dass das

00:34:25.230 --> 00:34:29.207
eine Frechheit wäre und zu wenig.
<i>Gelächter</i>

00:34:29.207 --> 00:34:32.640
Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto

00:34:32.640 --> 00:34:37.111
keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich

00:34:37.111 --> 00:34:42.249
glaube es war man sieht es im Bild 2021
wurde extensure gebridged von Lockbit und

00:34:42.249 --> 00:34:46.875
das vll natürlich sehr interessant, also
haben wir auf dem Lockbit Block so den

00:34:46.875 --> 00:34:50.170
Countdown geguckt und so ne und dann
wurden irgendwann die Daten von extenser

00:34:50.170 --> 00:34:53.905
veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber

00:34:53.905 --> 00:34:58.688
total so ein Einzeldownload ja, du
konntest jede Datei einzeln, das war total

00:34:58.688 --> 00:35:03.065
unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline

00:35:03.065 --> 00:35:06.504
genommen und dann wurde die Deadline
verlängert wann die released werden und

00:35:06.504 --> 00:35:11.816
irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so

00:35:11.816 --> 00:35:17.551
und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig

00:35:17.551 --> 00:35:22.320
veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird Niemand mehr

00:35:22.320 --> 00:35:27.151
bezahlen. Wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell

00:35:27.151 --> 00:35:31.688
noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn

00:35:31.688 --> 00:35:35.790
für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu

00:35:35.790 --> 00:35:40.044
veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur

00:35:40.044 --> 00:35:44.251
ein mahnendes Beispiel für den nächsten
und ein Fall, wo ich wieder erzählen kann,

00:35:44.251 --> 00:35:48.951
eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen, das nennt

00:35:48.951 --> 00:35:53.521
man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal

00:35:53.521 --> 00:35:57.770
die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck

00:35:57.770 --> 00:36:03.749
zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die

00:36:03.749 --> 00:36:09.766
nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen

00:36:09.766 --> 00:36:13.541
eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen

00:36:13.541 --> 00:36:18.796
arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen

00:36:18.796 --> 00:36:23.942
wir mal, wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,

00:36:23.942 --> 00:36:28.489
dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er, mein

00:36:28.489 --> 00:36:32.550
Freund wir sind die CyberSwan Gruppe,
google uns, wir haben fünf Sterne auf yelp!

00:36:32.550 --> 00:36:37.681
<i>viele lachen</i> Und es ist es ist natürlich
wirklich wichtig für diese Mechanik der

00:36:37.681 --> 00:36:41.625
Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch

00:36:41.625 --> 00:36:46.500
betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt

00:36:46.500 --> 00:36:51.852
Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den

00:36:51.852 --> 00:36:57.247
ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich

00:36:57.247 --> 00:37:02.603
erpressen ist eher unwahrscheinlich. Aber
dann sagst du so was wie ja boah das mit

00:37:02.603 --> 00:37:08.686
den Tapes kennt sie ja dauert ey... pass auf
wir zahlen dir 25 Dann kommen wir wollen

00:37:08.686 --> 00:37:13.484
100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich

00:37:13.484 --> 00:37:18.275
jetzt auch wieder dieses Druck ne? Wir
wollen mehr Geld später und dann sagst du

00:37:18.275 --> 00:37:23.268
ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50

00:37:23.268 --> 00:37:28.071
Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich

00:37:28.071 --> 00:37:34.280
zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur

00:37:34.280 --> 00:37:39.699
24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso

00:37:39.699 --> 00:37:43.932
weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes

00:37:43.932 --> 00:37:48.760
wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die

00:37:48.760 --> 00:37:52.163
Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass

00:37:52.163 --> 00:37:55.690
sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die

00:37:55.690 --> 00:37:58.870
Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst

00:37:58.870 --> 00:38:03.320
du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb

00:38:03.320 --> 00:38:09.561
angebracht, weil sie also weil sie wissen,
je länger Du nicht zahlst desto

00:38:09.561 --> 00:38:14.090
unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen

00:38:14.090 --> 00:38:18.829
Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die

00:38:18.829 --> 00:38:24.378
wissen, je länger der Spaß hier geht, umso
unwahrscheinlicher zahlst du. Na gut dann

00:38:24.378 --> 00:38:30.374
kommt irgendwie so was, ja 60 Millionen weil Du
es bist, letzte Preis ja? <i>lachen</i> Und dann sagst

00:38:30.374 --> 00:38:35.668
du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal

00:38:35.668 --> 00:38:40.311
ok tut mir leid, ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win

00:38:40.311 --> 00:38:45.156
Situation werden können, aber na ja
vielleicht beim nächsten Mal.

00:38:45.156 --> 00:38:50.177
<i>viele lachen</i>

00:38:50.177 --> 00:38:53.367
Und dann kommt, ok lass mich mal mit dem
Boss reden.

00:38:53.367 --> 00:38:56.292
<i>viele lachen</i>

00:38:56.292 --> 00:39:00.140
Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare

00:39:00.140 --> 00:39:05.570
Grenzen und erst wenn der mit jemand
anders reden muss über den Deal, den er dir

00:39:05.570 --> 00:39:10.170
machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der

00:39:10.170 --> 00:39:15.896
vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein

00:39:15.896 --> 00:39:19.821
aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.

00:39:19.821 --> 00:39:24.339
Dann kommt eben so was her: ok 50%
allerletzte Preis ja und dann sagst du

00:39:24.339 --> 00:39:28.617
sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja

00:39:28.617 --> 00:39:32.243
auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt

00:39:32.243 --> 00:39:36.771
signalisiert. Also die Prüfung, dass Sie
Dateien wiederherstellen können. Jede

00:39:36.771 --> 00:39:41.040
Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel

00:39:41.040 --> 00:39:44.984
ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und

00:39:44.984 --> 00:39:49.265
dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger

00:39:49.265 --> 00:39:53.505
Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass

00:39:53.505 --> 00:39:57.992
dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst

00:39:57.992 --> 00:40:02.318
du mit diesen Leuten hier zu tun zu haben.
Das war wannacry, ihr erinnert euch, die

00:40:02.318 --> 00:40:07.480
ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und, als ich die

00:40:07.480 --> 00:40:11.245
doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet, war mir auch

00:40:11.245 --> 00:40:15.114
sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine

00:40:15.114 --> 00:40:21.250
Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so. Also wichtig

00:40:21.250 --> 00:40:25.846
sicherstellen und erst spät sicherstellen,
weil damit signalisierst du überhaupt

00:40:25.846 --> 00:40:30.566
Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die

00:40:30.566 --> 00:40:34.889
klugen Leute und sagen, hey Vorsicht wenn
du zahlst, dann hacken sie dich direkt

00:40:34.889 --> 00:40:39.547
wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht

00:40:39.547 --> 00:40:44.279
Mythos auf dem nächsten Sixpack steht
Realität, aber dol i kann nicht so gut

00:40:44.279 --> 00:40:47.859
schreiben wie ich. Die Realität ist
<i>lächeln</i>

00:40:47.859 --> 00:40:50.624
der Rest des Internets wartet auf Sie, die
haben überhaupt gar keinen Grund noch mal

00:40:50.624 --> 00:40:54.992
dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich

00:40:54.992 --> 00:41:00.543
nicht noch mal hackt. Es gibt aber genug
Andere! Also früher oder später musst du

00:41:00.543 --> 00:41:06.921
dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder

00:41:06.921 --> 00:41:12.759
sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch

00:41:12.759 --> 00:41:19.305
zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in

00:41:19.305 --> 00:41:24.460
die Cloud und gebt ihm. Und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr

00:41:24.460 --> 00:41:29.380
kommt sowieso nicht drum herum euch besser
zu schützen, am besten macht ihr das bevor

00:41:29.380 --> 00:41:34.600
ihr den Case habt, aber egal ob du zahlst
oder nicht, die Anderen werden kommen, ja?

00:41:34.600 --> 00:41:39.324
Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine

00:41:39.324 --> 00:41:42.992
Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen

00:41:42.992 --> 00:41:45.302
dann prügeln wir die raus oder so.
<i>lachen</i>

00:41:45.302 --> 00:41:49.721
Na ja dann sagen Sie, hier ist unser
unsere Bitcoin Wallet ja die nehmen

00:41:49.721 --> 00:41:53.951
üblicherweise eine frische, brauchen sie
auch damit sie erkennen, dass die Zahlung

00:41:53.951 --> 00:41:57.777
von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi

00:41:57.777 --> 00:42:02.557
rüber, ja? Achtung, das ist interessanter
Moment, weil dann sehen die wie viel Geld

00:42:02.557 --> 00:42:06.350
auf deinem Wallet liegt. Ja in dem Moment
beweist du, dass du über ein über eine

00:42:06.350 --> 00:42:10.990
Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht

00:42:10.990 --> 00:42:15.970
doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,

00:42:15.970 --> 00:42:22.573
du weißt wie das ist, neh, ich habe jetzt
echt nicht... <i>viele lachen</i>

00:42:22.573 --> 00:42:28.326
Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr

00:42:28.326 --> 00:42:32.875
ein sehr wichtiger Hinweis, bezahle nur,
wenn du ein Business Case hast. Du hast

00:42:32.875 --> 00:42:37.513
meistens keinen, das Einzige, was hier eine
Rolle spielt ist, dass deine

00:42:37.513 --> 00:42:41.934
Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten, die

00:42:41.934 --> 00:42:47.148
Systeme härten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette

00:42:47.148 --> 00:42:51.270
Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch

00:42:51.270 --> 00:42:55.816
jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest

00:42:55.816 --> 00:42:59.765
oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen

00:42:59.765 --> 00:43:04.061
bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann

00:43:04.061 --> 00:43:09.090
gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das

00:43:09.090 --> 00:43:17.027
deletion Lock, also das Output von rm-RF.
Das sieht dann so aus, und <i>Linus lächelt</i>

00:43:17.027 --> 00:43:22.433
ich meine, die haben sogar ihre local
language auf Russisch eingestellt, ja?

00:43:22.433 --> 00:43:27.293
Also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also

00:43:27.293 --> 00:43:33.271
ein Output von rm-RF. Und dann sagen Sie
yoh, wir bereiten jetzt dein Decrypter

00:43:33.271 --> 00:43:39.782
vor.
<i>einzelne Gelächter</i>

00:43:39.782 --> 00:43:46.085
Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus

00:43:46.085 --> 00:43:52.839
lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den

00:43:52.839 --> 00:44:02.580
Typen nicht erreichen, hab mal kurz Geduld
bitte <i>Lachen</i> und dann kann das

00:44:02.580 --> 00:44:07.600
manchmal ein bisschen dauern und dann 
kommt hey, hier ist der Decrypter,

00:44:07.600 --> 00:44:11.903
sorry der Typ war draußen einen
saufen, Ja? <i>video läufzt, alle lachen</i>

00:44:11.903 --> 00:44:15.309
Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen

00:44:15.309 --> 00:44:19.380
Schlüssel geben, der Millionen wert ist,
weil dann machen sie side Deals ja? Dann

00:44:19.380 --> 00:44:24.496
verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,

00:44:24.496 --> 00:44:29.352
blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das

00:44:29.352 --> 00:44:33.736
Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch

00:44:33.736 --> 00:44:39.080
die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte

00:44:39.080 --> 00:44:44.163
automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei

00:44:44.163 --> 00:44:48.608
dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle

00:44:48.608 --> 00:44:54.300
Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten

00:44:54.300 --> 00:44:59.005
halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über

00:44:59.005 --> 00:45:03.553
diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter

00:45:03.553 --> 00:45:10.519
hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie

00:45:10.519 --> 00:45:15.941
die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,

00:45:15.941 --> 00:45:18.424
wie es dann auf der anderen Seite
aussieht.

00:45:18.424 --> 00:45:23.510
Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen

00:45:23.510 --> 00:45:29.768
Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch

00:45:29.768 --> 00:45:33.290
zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel

00:45:33.290 --> 00:45:37.396
outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist

00:45:37.396 --> 00:45:43.226
Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware

00:45:43.226 --> 00:45:48.658
Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese

00:45:48.658 --> 00:45:53.776
Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin

00:45:53.776 --> 00:45:59.029
gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen

00:45:59.029 --> 00:46:05.770
verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie

00:46:05.770 --> 00:46:13.779
und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe

00:46:13.779 --> 00:46:20.500
gefahren und allein er hat 1400 Bitcoin einge-
sammelt mit diesen Erpressungen, damals

00:46:20.500 --> 00:46:26.485
27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar

00:46:26.485 --> 00:46:30.790
nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe

00:46:30.790 --> 00:46:34.916
von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war

00:46:34.916 --> 00:46:39.840
Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der

00:46:39.840 --> 00:46:43.820
irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.

00:46:43.820 --> 00:46:48.380
Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt

00:46:48.380 --> 00:46:51.218
<i>viele Lachen</i>

00:46:51.218 --> 00:47:01.328
Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich

00:47:01.328 --> 00:47:04.556
fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte

00:47:04.556 --> 00:47:07.122
durch dann Corona konnte man der
Gerichtsverhandlung im Internet folgen,

00:47:07.122 --> 00:47:10.528
wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller

00:47:10.528 --> 00:47:14.298
freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen

00:47:14.298 --> 00:47:18.200
mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist

00:47:18.200 --> 00:47:22.976
er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das

00:47:22.976 --> 00:47:28.047
finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in

00:47:28.047 --> 00:47:32.566
der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen

00:47:32.566 --> 00:47:37.580
Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur

00:47:37.580 --> 00:47:43.130
so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit

00:47:43.130 --> 00:47:47.860
ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,

00:47:47.860 --> 00:47:52.412
ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen

00:47:52.412 --> 00:47:57.446
sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser

00:47:57.446 --> 00:48:02.907
Screenshots waren Metadaten. Screenshot
2.png enthielt Metadaten und in Metadaten

00:48:02.907 --> 00:48:10.195
stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die

00:48:10.195 --> 00:48:15.737
Kommunikation mit diesem Server zwar eine
anonyme E-Mail Adresse, war aber zu faul

00:48:15.737 --> 00:48:20.153
die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private

00:48:20.153 --> 00:48:23.357
Mailadresse.
<i>viele Lachen</i>.

00:48:23.357 --> 00:48:27.383
Über die auch seine amazon Bestellungen
liefen, so dass das FBI sofort auch seiner

00:48:27.383 --> 00:48:28.977
Adresse hatte.
<i>einzelnes Lachen</i>

00:48:28.977 --> 00:48:38.123
Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen

00:48:38.123 --> 00:48:42.071
irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort, wo sie

00:48:42.071 --> 00:48:46.193
angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für,

00:48:46.193 --> 00:48:49.822
20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss

00:48:49.822 --> 00:48:55.291
er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also

00:48:55.291 --> 00:49:02.171
diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es

00:49:02.171 --> 00:49:07.269
sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind

00:49:07.269 --> 00:49:12.044
normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht

00:49:12.044 --> 00:49:18.229
sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1

00:49:18.229 --> 00:49:29.370
Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,

00:49:29.370 --> 00:49:33.732
die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für

00:49:33.732 --> 00:49:39.284
Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im

00:49:39.284 --> 00:49:47.613
Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so

00:49:47.613 --> 00:49:53.417
durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und

00:49:53.417 --> 00:49:58.909
programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und

00:49:58.909 --> 00:50:03.786
dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt

00:50:03.786 --> 00:50:08.981
sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,

00:50:08.981 --> 00:50:12.420
da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden

00:50:12.420 --> 00:50:16.860
und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du

00:50:16.860 --> 00:50:22.688
von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines

00:50:22.688 --> 00:50:28.878
Team mit neuen Leuten und die kannten sich
alle nur über jabber. Und ihr Job war es

00:50:28.878 --> 00:50:33.344
dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige

00:50:33.344 --> 00:50:36.808
ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf

00:50:36.808 --> 00:50:40.692
der dann steht "ihr Computer ist
infiziert". <i>Kai lächelt</i> Entschuldigung

00:50:40.692 --> 00:50:47.181
das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die

00:50:47.181 --> 00:50:51.538
Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und

00:50:51.538 --> 00:50:58.140
organisiertesten Ransomware Banden die die
Welt bislang gesehen hat, oder die größte

00:50:58.140 --> 00:51:03.829
und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,

00:51:03.829 --> 00:51:07.405
das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem

00:51:07.405 --> 00:51:12.542
echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander

00:51:12.542 --> 00:51:17.659
kommunizierte und der dann später geleaked 
wurde durch ein ROG Mitglied dieser Bande,

00:51:17.659 --> 00:51:23.424
so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die

00:51:23.424 --> 00:51:29.653
Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von

00:51:29.653 --> 00:51:33.740
Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist

00:51:33.740 --> 00:51:37.100
abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir

00:51:37.100 --> 00:51:41.255
schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr

00:51:41.255 --> 00:51:48.027
erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand

00:51:48.027 --> 00:51:54.600
dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio. Und da blieb sie

00:51:54.600 --> 00:51:58.764
relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,

00:51:58.764 --> 00:52:03.000
die kann uns was über Conti erzählen, das
war vor dem leack. Nah, das FBI hat sie

00:52:03.000 --> 00:52:06.641
vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur

00:52:06.641 --> 00:52:10.083
die neun Leute aus ihrem Team, das waren
alles kleine freischaffende

00:52:10.083 --> 00:52:15.160
Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen

00:52:15.160 --> 00:52:19.539
wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im

00:52:19.539 --> 00:52:25.644
Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam

00:52:25.644 --> 00:52:30.122
der Conti Leak und alle Welter erfuhr
über diese Gang. Inzwischen ist sie

00:52:30.122 --> 00:52:35.091
freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in

00:52:35.091 --> 00:52:40.618
Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum

00:52:40.618 --> 00:52:44.959
Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie

00:52:44.959 --> 00:52:48.282
gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie

00:52:48.282 --> 00:52:54.580
putzen. Das ist, ihr seht hier so die
Struktur, von Conti das ist die unterste

00:52:54.580 --> 00:53:00.490
Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der

00:53:00.490 --> 00:53:06.448
Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros

00:53:06.448 --> 00:53:11.033
anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen

00:53:11.033 --> 00:53:19.990
da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma

00:53:19.990 --> 00:53:25.302
organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem

00:53:25.302 --> 00:53:29.690
Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf

00:53:29.690 --> 00:53:34.705
der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß

00:53:34.705 --> 00:53:39.454
bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr

00:53:39.454 --> 00:53:43.451
fähige Kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie

00:53:43.451 --> 00:53:46.991
Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun

00:53:46.991 --> 00:53:50.473
niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es

00:53:50.473 --> 00:53:55.086
ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden

00:53:55.086 --> 00:54:00.752
machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.

00:54:00.752 --> 00:54:08.930
Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar

00:54:08.930 --> 00:54:17.090
Softwarefirmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich

00:54:17.090 --> 00:54:24.574
noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig

00:54:24.574 --> 00:54:30.316
dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,

00:54:30.316 --> 00:54:34.878
sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR

00:54:34.878 --> 00:54:39.082
Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.

00:54:39.082 --> 00:54:43.830
K: Der baut auch den Cryptolocker, also
die Daten verschlüsselt, also sein Team.

00:54:43.830 --> 00:54:47.836
Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von

00:54:47.836 --> 00:54:51.753
Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das

00:54:51.753 --> 00:54:57.683
Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines komischen

00:54:57.683 --> 00:55:02.799
Gurus. Letztlich ein ganz normaler Mensch.
<i>viele Lachen</i>

00:55:02.799 --> 00:55:08.717
ist in Abwesenheit angeklagt in den USA,
weil er Teil von Conti sein soll. Hier ist

00:55:08.717 --> 00:55:15.096
noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei

00:55:15.096 --> 00:55:20.687
Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt

00:55:20.687 --> 00:55:23.860
sich selber reverse engineer und male
Analyst und scheint schon länger in der

00:55:23.860 --> 00:55:28.087
Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen

00:55:28.087 --> 00:55:32.844
Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und

00:55:32.844 --> 00:55:37.442
finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch

00:55:37.442 --> 00:55:41.552
remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu

00:55:41.552 --> 00:55:47.498
einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,

00:55:47.498 --> 00:55:50.804
zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch

00:55:50.804 --> 00:55:54.514
interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team

00:55:54.514 --> 00:55:59.849
war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte

00:55:59.849 --> 00:56:06.203
Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem

00:56:06.203 --> 00:56:11.517
Wasser geblasen wurde, und für Conti hat
er Leute angeworben und geführt als

00:56:11.517 --> 00:56:16.160
Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines

00:56:16.160 --> 00:56:21.887
Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht

00:56:21.887 --> 00:56:26.920
man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen

00:56:26.920 --> 00:56:32.392
für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld

00:56:32.392 --> 00:56:38.140
und es heißt, dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen

00:56:38.140 --> 00:56:42.161
interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also

00:56:42.161 --> 00:56:45.744
Conti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das

00:56:45.744 --> 00:56:48.240
hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich

00:56:48.240 --> 00:56:55.257
selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die

00:56:55.257 --> 00:56:57.107
Lehren daraus halten.
<i>Linus lacht</i>

00:56:57.107 --> 00:57:00.447
L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann

00:57:00.447 --> 00:57:06.897
verhältnismäßig entspannt ja? Also wenn
man überlegt dass Conti war mal, blackhead

00:57:06.897 --> 00:57:11.135
wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im

00:57:11.135 --> 00:57:15.080
im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr

00:57:15.080 --> 00:57:21.106
das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die

00:57:21.106 --> 00:57:25.432
Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich

00:57:25.432 --> 00:57:31.259
vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld

00:57:31.259 --> 00:57:36.389
übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort

00:57:36.389 --> 00:57:40.420
verteilt wird auf viele tausend einzelne
wallets, also findet so ein

00:57:40.420 --> 00:57:45.140
Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von

00:57:45.140 --> 00:57:50.214
Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff

00:57:50.214 --> 00:57:55.949
mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein, dass

00:57:55.949 --> 00:58:00.523
es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie

00:58:00.523 --> 00:58:04.273
sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein

00:58:04.273 --> 00:58:09.200
Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen

00:58:09.200 --> 00:58:13.534
keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt

00:58:13.534 --> 00:58:19.960
dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.

00:58:19.960 --> 00:58:25.149
Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich

00:58:25.149 --> 00:58:29.728
schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben

00:58:29.728 --> 00:58:34.016
halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein

00:58:34.016 --> 00:58:37.588
kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt

00:58:37.588 --> 00:58:41.280
hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst

00:58:41.280 --> 00:58:46.080
du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,

00:58:46.080 --> 00:58:49.989
also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den

00:58:49.989 --> 00:58:54.077
dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden

00:58:54.077 --> 00:58:57.757
die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer

00:58:57.757 --> 00:59:01.339
verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen

00:59:01.339 --> 00:59:04.854
Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,

00:59:04.854 --> 00:59:08.780
dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu

00:59:08.780 --> 00:59:12.615
drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die

00:59:12.615 --> 00:59:16.437
Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach

00:59:16.437 --> 00:59:19.943
moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine

00:59:19.943 --> 00:59:23.251
Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld

00:59:23.251 --> 00:59:27.403
nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also

00:59:27.403 --> 00:59:31.256
mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach

00:59:31.256 --> 00:59:35.145
den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.

00:59:35.145 --> 00:59:39.454
Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst

00:59:39.454 --> 00:59:43.220
euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die

00:59:43.220 --> 00:59:47.730
brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du

00:59:47.730 --> 00:59:53.625
zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst

00:59:53.625 --> 00:59:58.570
dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du

00:59:58.570 --> 01:00:02.875
den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du

01:00:02.875 --> 01:00:06.815
über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben

01:00:06.815 --> 01:00:11.075
findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr

01:00:11.075 --> 01:00:15.866
Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du

01:00:15.866 --> 01:00:20.952
ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema

01:00:20.952 --> 01:00:26.472
unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat

01:00:26.472 --> 01:00:30.887
den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als

01:00:30.887 --> 01:00:35.211
kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter

01:00:35.211 --> 01:00:40.440
veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,

01:00:40.440 --> 01:00:44.796
sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir

01:00:44.796 --> 01:00:50.352
beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des

01:00:50.352 --> 01:00:54.848
decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit

01:00:54.848 --> 01:00:58.903
Hirne Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt

01:00:58.903 --> 01:01:07.024
zum Thema hoffentlich alles gesagt sein,
vielen Dank. <i>Applaus</i>

01:01:07.024 --> 01:01:12.520
K: Danke!
Engel: Wunderbar, super ja vielen Dank an

01:01:12.520 --> 01:01:21.933
Linus und Kai.

01:01:21.933 --> 01:01:28.792
<i>37c3 Nachspannmusik</i>

01:01:28.792 --> 01:01:40.000
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!