9:59:59.000,9:59:59.000 *37C3 Anspannungsmusik*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Engel: Ok dann freue ich mich euch alle[br]sehr herzlich zu hirnehacken der hackback 9:59:59.000,9:59:59.000 Edition begrüßen zu dürfen. Heute unsere[br]zwei Vortragenden Linus Neumann und Kai 9:59:59.000,9:59:59.000 Biermann, beides bekannte Gesichter hier.[br]Linus bekannt als IT security Consultant 9:59:59.000,9:59:59.000 und hatte das zweifelhafte Vergnügen schon[br]mit unterschiedlichsten Ransomware Gangs 9:59:59.000,9:59:59.000 verhandeln zu dürfen oder zu müssen. Kai[br]Biermann ist Investigativjournalist und 9:59:59.000,9:59:59.000 hat unter anderem Mitglieder der[br]Ransomware Gang Conti entdeckt aufgedeckt 9:59:59.000,9:59:59.000 und heute werden sie uns ein bisschen was[br]dazu erzählen wie man so spieltheoretisch 9:59:59.000,9:59:59.000 das Ganze verhandeln mit Ransomware[br]Hackern angehen kann und was da die 9:59:59.000,9:59:59.000 spannenden Strategien sind. Bitte ein ganz[br]herzliches Willkommen für Linus und Kai! 9:59:59.000,9:59:59.000 *applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Kai: Hallo Kongress eine Ehre hier zu[br]sein! Danke euch das der Linus der wurde 9:59:59.000,9:59:59.000 schon kurz vorgestellt, der mag gern[br]reiten schwimmen und hacken so viel zu 9:59:59.000,9:59:59.000 seinen Hobbys. Er wird öfters mal[br]angerufen wenn irgendwo eine Firma 9:59:59.000,9:59:59.000 gecybert wird und deswegen steht er hier.[br]Linus: Das ist der Kai, der hat keine 9:59:59.000,9:59:59.000 Hobbys die er öffentlich nennen möchte.[br]*Lachen* Und ruft gerne mal an wenn jemand 9:59:59.000,9:59:59.000 gecybert wird weil er im[br]Investigativressort von Zeit und Zeit 9:59:59.000,9:59:59.000 online arbeitet. Und wenn dieses Telefon[br]so bei mir klingelt ist eigentlich der 9:59:59.000,9:59:59.000 erste Satz immer so: Linus, du musst[br]sofort helfen, wir werden erpresst! 9:59:59.000,9:59:59.000 *gemurmel* und und so als Einstieg möchte[br]ich mal einen Fall von vor gar nicht allzu 9:59:59.000,9:59:59.000 langer Zeit schildern, wo ein Hacker oder[br]eine Hackerin von einer eigenen Domain 9:59:59.000,9:59:59.000 eine E-Mail geschrieben hat.[br]"Ich wurde angeheuert um Ihre Webseite zu 9:59:59.000,9:59:59.000 hacken, ich habe Zugriff auf alle[br]Kundendaten und mein Kunde also der der 9:59:59.000,9:59:59.000 mich beauftragt hat zahlt zu wenig[br]deswegen können Sie jetzt Ihre Daten 9:59:59.000,9:59:59.000 zurückkaufen und ich sage in die[br]Schwachstelle." 9:59:59.000,9:59:59.000 *wachsendes Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Linus: Klang schon mal jetzt nicht so auf[br]Anhieb überzeugend ja? Und dann auch was 9:59:59.000,9:59:59.000 ich sehr schön finde du so unmittelbare[br]Selbstbeschuldigung: "Mir ist klar dass es 9:59:59.000,9:59:59.000 ihre Daten sind und ich der Kriminelle bin[br]der sich Zugang zu ihnen verschafft hat, 9:59:59.000,9:59:59.000 werden sie jetzt aber nicht emotional,[br]stellen Sie sich einfach nur mal den 9:59:59.000,9:59:59.000 Schaden vor wenn ich veröffentliche."[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Linus: Ja und ich habe ja schon gesagt das[br]war ein Erpresser ja und er hat dann seine 9:59:59.000,9:59:59.000 Forderung uns mitgeteilt: "ich will[br]2000€". 9:59:59.000,9:59:59.000 *Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 L: Ja wir haben dann halt die SQL[br]Injection gefixt und ich sag mal so mit 9:59:59.000,9:59:59.000 ein bisschen mehr Forderung hätten wir i[br]wahrscheinlich auch ernst genommen, haben 9:59:59.000,9:59:59.000 uns dann aber entschieden vielleicht[br]erstmal nicht zu antworten, worauf hin er 9:59:59.000,9:59:59.000 sagte "Ich muss dem Kunden jetzt in 24[br]Stunden antworten und Sie müssen sich 9:59:59.000,9:59:59.000 jetzt entscheiden, das ist kein Blöff."[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *laute Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Da haben wir erstmal ein Tee getrunken[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 und dann schrieb er wieder "ich gebe ihn[br]noch mal 24 Stunden 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 aber aber dann aber dann!"[br]L: Ja doch ist ein Blöff ja haben also 9:59:59.000,9:59:59.000 erstmal nichts gemacht und dann schrieb[br]er: "also ich gebe ihnen jetzt noch ein 9:59:59.000,9:59:59.000 letztes Mal 24 Stunden dann aber wirklich![br]und dann wurden die Drohungen "sagt er," 9:59:59.000,9:59:59.000 und sie haben können sich gar nicht[br]vorstellen, was jetzt noch alles passiert 9:59:59.000,9:59:59.000 und ja." So der Kunde wurde auch, was wenn[br]er noch irgendwas Anderes hat und wir so 9:59:59.000,9:59:59.000 na ja, wenn er noch irgendwas Anderes[br]könnte dann wird er wahrscheinlich nicht 9:59:59.000,9:59:59.000 2000€ fordern. Und wir haben uns aber[br]gewundert, was ist das denn für einer? Ja 9:59:59.000,9:59:59.000 also was ist das für ein Typ der so[br]richtig wohlformulierte lange E-Mails 9:59:59.000,9:59:59.000 schreibt ja? Und uns war irgendwie nicht[br]so klar, es war wohlformulierte Sprache, 9:59:59.000,9:59:59.000 ich sag jetzt nicht welche, aber sie war[br]schön formuliert und wir hatten zwei 9:59:59.000,9:59:59.000 Hypothesen. Die eine war dass ist irgend[br]so ein Abiturient der von zu Hause im 9:59:59.000,9:59:59.000 Kinderzimmer irgendwie meint er wäre jetzt[br]der große Hacker, weil das könnte erklären 9:59:59.000,9:59:59.000 dass er 2000€ für viel Geld hält *lachen*[br]oder ist Irgendjemand mit Chat GPT in 9:59:59.000,9:59:59.000 Indien oder so für den das potenziell auch[br]viel Geld wäre also haben wir uns überlegt 9:59:59.000,9:59:59.000 na ja lass uns doch mal rausfinden. Ja[br]haben uns entschieden wir antworten doch 9:59:59.000,9:59:59.000 mal und haben da gesagt:[br]L: Also pass auf du solltest deine Server 9:59:59.000,9:59:59.000 echt nicht in der EU hosten, weil[br]*Gelächter* die Polizeibehörden hier 9:59:59.000,9:59:59.000 arbeiten zusammen ja? Und diese Domain die[br]du da hast die solltest du echt nicht mit 9:59:59.000,9:59:59.000 der Kreditkarte zahlen.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Linus lacht, viele Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Und wenn du dein SQL Map Angriffe versuch[br]das doch mal über TOR wenigstens statt von 9:59:59.000,9:59:59.000 deinem anderen vServer aus, ja? Kam[br]erstmal nichts. *einige lachen* und dann 9:59:59.000,9:59:59.000 hab ich gesagt:[br]L: Pass auf in 24 Stunden 9:59:59.000,9:59:59.000 *sehr viele Lachen, Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 geht unser Bericht ans LKA die[br]Datenschutzmeldung haben wir ohnehin schon 9:59:59.000,9:59:59.000 gemacht, was soll schon noch kommen ja?[br]Haben wir ihm Angebot gemacht haben 9:59:59.000,9:59:59.000 gesagt:[br]L: Pass auf wenn du deine Daten löscht 9:59:59.000,9:59:59.000 bekommst du McDonald's Gutschein[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 über 100€ und dann kam eben so, "Eh, meine[br]offshore Server sind verschlüsselt! L: Wie 9:59:59.000,9:59:59.000 so ... was für Offshore Server? was für[br]Verschlüsselung? 9:59:59.000,9:59:59.000 "Ich will 2000€ sie haben 24 Stunden[br]*einige lachen* sonst ..." 9:59:59.000,9:59:59.000 L: War wieder die große Sorge, was macht[br]er denn jetzt noch ne haben wir gewartet 9:59:59.000,9:59:59.000 und dann kam dedos *einzelne Gelächter*[br]dann haben wir cloudflare dazwischen 9:59:59.000,9:59:59.000 geschaltet und dann waren wir fertig ja[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 weil wir haben natürlich aus zwei Gründen[br]hier nicht bezahlt: 1. die Forderung war 9:59:59.000,9:59:59.000 viel zu gering, das Geld wär viel zu[br]schnell weg gewesen und der wäre wieder 9:59:59.000,9:59:59.000 gekommen und hätte mehr gewollt und ja ist[br]auch nichts weiter passiert. Aber 9:59:59.000,9:59:59.000 natürlich sind nicht alle Diskussionen[br]oder alle solche Fälle wenn man mit einem 9:59:59.000,9:59:59.000 verwirten Einzeltäter zu tun hat so[br]glimpflig und so einfach. 9:59:59.000,9:59:59.000 Kai: Und vor all so lustig. Das hier ist[br]einer, das ist so ein Einzeltäter, der hat 9:59:59.000,9:59:59.000 mutmaßlich muss ich an dieser Stelle[br]sagen, weil er steht gerade erst vor 9:59:59.000,9:59:59.000 Gericht und ist noch nicht verurteilt und[br]er bestreitet die Tat obwohl es ziemlich 9:59:59.000,9:59:59.000 gute Indizien gibt, die ihr gleich sehen[br]werdet. Das ist so ein Einzeltäter der hat 9:59:59.000,9:59:59.000 in Finnland eine Firma erpresst wastamo[br]die Therapiezentren betreibt, 9:59:59.000,9:59:59.000 psychiatrische Therapiezentren und hat[br]sämtliche therapeutischen Unterlagen 9:59:59.000,9:59:59.000 gecybert kopiert. Der hat sich alle[br]Protokolle aus Therapiesitzungen alle 9:59:59.000,9:59:59.000 Diagnosen von vielen vielen finnischen[br]Menschen von deren Server geholt und hat 9:59:59.000,9:59:59.000 anschließend gesagt "ich will nicht 2000€[br]sondern 40 Bitcoin". Das waren damals ist 9:59:59.000,9:59:59.000 schon zwei Jahre her ca 180 000€ und die[br]Firma hat nicht reagiert. Die hat Tee 9:59:59.000,9:59:59.000 getrunken und daraufhin hat er den[br]Patienten und Patientinnen eine Mail 9:59:59.000,9:59:59.000 geschickt die Daten hat er ja und hat[br]gesagt ok, die Firma zahlt nicht dann will 9:59:59.000,9:59:59.000 ich von euch Geld 200€ in Bitcoin damit[br]eure Therapieunterlagen nicht im Netz 9:59:59.000,9:59:59.000 veröffentlicht werden. Wer macht denn[br]sowas? Hier ist so eine Selbstbeschreibung 9:59:59.000,9:59:59.000 von ihm könnt ihr mal lesen wenn ihr Zeit[br]habt. Ein lustiger junger Mann 25 ist er 9:59:59.000,9:59:59.000 inzwischen er glaubt er ist ein großer[br]Philanthrop und hat mit beim Umgang mit 9:59:59.000,9:59:59.000 Tieren schon viel übers Leben gelernt vor[br]allem hat er früh schon Ärger gemacht, der 9:59:59.000,9:59:59.000 hat mit 15 seine erste Verurteilung[br]kassiert, damals war er an Didos Attacken 9:59:59.000,9:59:59.000 beteiligt und an einem Hobby namens[br]swatting, ich weiß nicht ob schon mal 9:59:59.000,9:59:59.000 gehört habt. Das ist wenn man Leuten die[br]Polizei nach Hause schickt ohne Grund, 9:59:59.000,9:59:59.000 kann sehr ärgerlich sein. Zurück zum Fall,[br]der hat in Finnland für ziemliche 9:59:59.000,9:59:59.000 Aufregung gesorgt, das ist die damalige[br]finnische Innenministerin, die fand diesen 9:59:59.000,9:59:59.000 data breach ein ziemlich shocking Act und[br]die Formulierung ist interessant, weil es 9:59:59.000,9:59:59.000 mehr ein Fall von Data breach ist als ein[br]Fall von hacking, denn und jetzt kommen 9:59:59.000,9:59:59.000 wir zu einem 2. wichtigen Punkt in unserem[br]Talk. Die Betroffenen sind oft nicht so 9:59:59.000,9:59:59.000 ganz unschuldig an dem ganzen Problem. Der[br]Server auf dem alle Therapieunterlagen von 9:59:59.000,9:59:59.000 allen finnischen Patienten und[br]Patienttinlagen war erstens eine 9:59:59.000,9:59:59.000 selbstgebaute me SQL Datenbank die hingt[br]zweitens im Netz war drittens über Google 9:59:59.000,9:59:59.000 zu finden. Und nur durch ein[br]Standardsystem Admin Passwort geschützt. 9:59:59.000,9:59:59.000 *gemurmel* Auslieferungszustand sozusagen.[br]Wer macht sowas? Er das ist der CEO dieser 9:59:59.000,9:59:59.000 Firma Vastaamo der war ganz betroffen[br]darüber dass jemand seine Firma ruiniert 9:59:59.000,9:59:59.000 hat, die ist daraufhin nämlich pleite[br]gegangen und wird bis heute verklagt 9:59:59.000,9:59:59.000 dafür. Der ist nicht betroffen darüber[br]dass viele viele finnische Menschen 9:59:59.000,9:59:59.000 erpresst wurden sondern darüber dass eine[br]schöne Firma kaputt gegangen ist. Noch ein 9:59:59.000,9:59:59.000 Fakt zu den Patientendaten den ich sehr[br]interessant finde, sie waren nicht 9:59:59.000,9:59:59.000 anonymisiert und nicht verschlüsselt.[br]Sollte man nicht machen wenn man so heikle 9:59:59.000,9:59:59.000 Gesundheitsdaten hat und die Firma hat[br]auch Vorgaben des finnischen 9:59:59.000,9:59:59.000 Gesundheitssystems umgangen zur[br]Datensicherung. Aber zurück zu unserem 9:59:59.000,9:59:59.000 Täter weil also er will 40 Bitcoin was[br]tamamo zahlt nicht da haben wir ihn wieder 9:59:59.000,9:59:59.000 den kmit, daraufhin hat er eine schlaue[br]Idee, er will um seinen Druck zu erhöhen, 9:59:59.000,9:59:59.000 weil das ist für den Erpressern immer sehr[br]wichtig wie er auch eben schon gesehen 9:59:59.000,9:59:59.000 hat, er will den Druck erhöhen und sagt[br]ok, wenn ihr nicht zahlt dann liege ich 9:59:59.000,9:59:59.000 eben jeden Tag den ihr nicht zahlt liege[br]ich 100 Patientenakten. Das Problem dabei 9:59:59.000,9:59:59.000 war er hat es in ein finnischen imagebard[br]gemacht, ich hoffe ich spreche das richtig 9:59:59.000,9:59:59.000 aus, yilli lauter heißt es das Problem[br]dabei war er hat so ein paar Informationen 9:59:59.000,9:59:59.000 seines Servers von dem er ausgeleakt hat[br]mitgeleakt, *gemurmel* IP-Adressen und 9:59:59.000,9:59:59.000 solche Dinge. Worauf hin die Polizei[br]dieser Spur folgen konnte und relativ 9:59:59.000,9:59:59.000 schnell dahinter kam dass da so ein[br]Netzwerk von Servern existiert dass jemand 9:59:59.000,9:59:59.000 mit seiner Kreditkarte bezahlt hatte.[br]*einzelne Applaus* Wird noch schöner. *Kai 9:59:59.000,9:59:59.000 lächelt* Das war nicht der einzige Hinweis[br]auf ihn, den die Polizei fand also, was 9:59:59.000,9:59:59.000 zaht nicht ja sind keine netten Leute. Der[br]Mann reiste viel er war er tauchte unter. 9:59:59.000,9:59:59.000 Also die Polizei hatte schon seinen Namen,[br]sie ahnte wer es ist und suchte ihn in 9:59:59.000,9:59:59.000 Finnland und er ist abgehauen ins Ausland,[br]hat aber die nicht sehr schlaue Idee 9:59:59.000,9:59:59.000 gehabt darüber im Internet zu posten[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 ja er hat wieder auf diesem imagebort[br]JimmiLauter ein Foto gepostet wo er an der 9:59:59.000,9:59:59.000 französischen Küste es sich gut gehen[br]lässt und sich diesen blödsiniges Wasser 9:59:59.000,9:59:59.000 ins Gesicht sprüht. Und hat dieses Foto da[br]gepostet unter anderem von einem der 9:59:59.000,9:59:59.000 Server die im Zusammenhang mit der Tat[br]standen, auch nicht so clever und noch 9:59:59.000,9:59:59.000 viel lustiger dieses Foto war so gut dass[br]die Polizei einen Fingerabdruck nehmen 9:59:59.000,9:59:59.000 konnte.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Viele lachen, Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Die finische Polizei wusste jetzt also wo[br]sie ihn suchen muss, in Frankreich. 9:59:59.000,9:59:59.000 Übrigens an dieser Stelle möchten wir[br]einen kurzen Gruß an Starbug schicken, der 9:59:59.000,9:59:59.000 hat nämlich 2014 in einem Vortrag genau[br]das prophezeit. Damals hat er von einem 9:59:59.000,9:59:59.000 Foto von Ursula von der Leihen, das in der[br]Bundespressekonferenz aufgenommen worden 9:59:59.000,9:59:59.000 war den Daumenabdruck extrahiert und[br]bewies dass das geht, danke Starbug! Die 9:59:59.000,9:59:59.000 finnische Polizei hat dir zugeschaut.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Nachdem wir uns jetzt mit ein paar[br]Amateuren auseinandergesetzt haben die 9:59:59.000,9:59:59.000 eure Unternehmen ruinieren können oder[br]sich selbst oder beides wollen wir uns mal 9:59:59.000,9:59:59.000 kurz ein bisschen mit Profis[br]auseinandersetzen. Und für mich ist das 9:59:59.000,9:59:59.000 ein bisschen ärgerlich weil ich darüber in[br]vielen Vorträgen seit nun mehr 7 Jahren 9:59:59.000,9:59:59.000 rede ja? Und zwar Ransomware es ist[br]wirklich nichts Neues aber ich möchte kurz 9:59:59.000,9:59:59.000 eine kleine verkürze subjektive Geschichte[br]der Ransomware erzählen. Ungefähr 2016 9:59:59.000,9:59:59.000 ging es los mit locky, das war so eine[br]Ransomware fürs Privatkundengeschäft hat 9:59:59.000,9:59:59.000 irgendwie so local host sofort[br]verschlüsselt und irgendwas im Bereich von 9:59:59.000,9:59:59.000 paar 100 Euro verlangt ja? Es kam dann[br]später wannacry das war im Prinzip auch so 9:59:59.000,9:59:59.000 eine local host randsomeware aber[br]verbunden mit dem eternal blue Exploit hat 9:59:59.000,9:59:59.000 also im lokalen Netz nach SMB shares[br]gecheckt und die auch noch mal infiziert 9:59:59.000,9:59:59.000 ja. Also ging so ein bisschen weiter rein.[br]Irgendwann 2018 müsste riok damit 9:59:59.000,9:59:59.000 angefangen haben zu erkennen dass das[br]Backup der natürliche Feind der Ransomware 9:59:59.000,9:59:59.000 ist und hat sich darauf konzentriert in[br]Richtung ad compromise zu gehen also 9:59:59.000,9:59:59.000 komplette Active Directory zu übernehmen[br]und von dort aus in meisten Leute hängen 9:59:59.000,9:59:59.000 ja dummerweise ihren Backup Server ins[br]Active Directory, was die schlechteste 9:59:59.000,9:59:59.000 Idee ist die man haben kann, und dann[br]zerstören sie also erst die Backups und 9:59:59.000,9:59:59.000 rollen dann über eine Group Policy die[br]Ransomware auf allen Hosts aus ja das fing 9:59:59.000,9:59:59.000 so ungefähr 2018 an und 2019 fing es an[br]dass maze sich auch so ein bisschen mehr 9:59:59.000,9:59:59.000 auf fileshares spezifisch konzentriert hat[br]und auf das Modell der Double extortion. 9:59:59.000,9:59:59.000 Double extortion könnt ihr euch so[br]vorstellen dass man.. Ich erkläre es 9:59:59.000,9:59:59.000 gleich ne, weil ich möchte eigentlich noch[br]mal kurz darauf reingehen wie katastrophal 9:59:59.000,9:59:59.000 es ist dass wir 2023 noch darüber reden[br]ja? Seit 2019 mindestens ist das die 9:59:59.000,9:59:59.000 gleiche Masche, seit 2016 ist es ein[br]Geschäftsmodell und es sollte einfach so 9:59:59.000,9:59:59.000 sein wie in jedem IT security lifeecycle,[br]du hast eine Prävention wenn die 9:59:59.000,9:59:59.000 fehlschlägt hast du eine Detektion und[br]wenn die fehschlägt hast eine Recovery. 9:59:59.000,9:59:59.000 Die meisten Leute gehen davon aus, dass es[br]vielleicht nicht ganz so gut bei Ihnen 9:59:59.000,9:59:59.000 aussieht ne haben eine Prävention[br]vielleicht eine Detektion und die Recovery 9:59:59.000,9:59:59.000 eigentlich nicht ganz so gut. Aber wie es[br]wirklich in der Realität für sie aussieht 9:59:59.000,9:59:59.000 so... und wenn man das mal nicht grafisch[br]versinicht sondern so wie dann eine 9:59:59.000,9:59:59.000 Webseite aussieht, das wäre jetzt hier,[br]ich glaube Blackcat Alfi die die vor 2 D 9:59:59.000,9:59:59.000 Wochen hochgegangen sind dann sieht das[br]ungefähr so aus du hast eine Webseite 9:59:59.000,9:59:59.000 Forderung das ist ein Hidden Service und[br]da wird dir dann erklärt wie du Bitcoin 9:59:59.000,9:59:59.000 kaufen kannst habe ich in hier na hacken[br]schon ausführlich erklärt die Leute die 9:59:59.000,9:59:59.000 die Webseite sehen füren dann als nächstes[br]ungefähr zu dieser Situation R weil das 9:59:59.000,9:59:59.000 die einzige Möglichkeit ist an die Dateien[br]wieder ranzukommen. Wenn man das tut sieht 9:59:59.000,9:59:59.000 eine Seite ungefähr so aus wo es ein[br]bisschen Instruktionen gibt wie man die 9:59:59.000,9:59:59.000 Dateien wiederherstellt und außerdem sind[br]die Angreifer so nett sie versprechen den 9:59:59.000,9:59:59.000 kompletten Bericht wie sie reingekommen[br]sind und ich denke natürlich als Security 9:59:59.000,9:59:59.000 Konz, alles klar ein ordentlicher Bericht[br]ja cool so ein redam Bericht da bin ich 9:59:59.000,9:59:59.000 mal gespannt das ist er ja und eine[br]Standardantwort die kommt in dem Moment wo 9:59:59.000,9:59:59.000 die Bitcouins gezahlt sind erscheint die[br]im Chat ja so quasi in in der gleichen 9:59:59.000,9:59:59.000 Zeit das heißt die ist hardcodet in dieser[br]Webseite drin und das bedeutet diese Web 9:59:59.000,9:59:59.000 diese Angreifer sind absolute oneetrack[br]Ponys die haben es hier mit metapreta 9:59:59.000,9:59:59.000 gemacht ja ihr könnt euch ungefähr[br]vorstellen wie wenig idea du brauchst 9:59:59.000,9:59:59.000 damit man metapritter nicht erkennt ja und[br]diese Angreifer sind one Trick Ponys und 9:59:59.000,9:59:59.000 du bist ihr Opfer. Wir alle kennen diesen[br]klugen Satz übrigens kann man immer sagen, 9:59:59.000,9:59:59.000 kann man immer sagen, nur nicht beim[br]incident der kommt 9:59:59.000,9:59:59.000 *Lachen, Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 also kommt nicht an, kommt nicht an. Ja[br]learn from my fail ja? 9:59:59.000,9:59:59.000 *Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Ich habe gerade gesagt wir sprechen über[br]double extortion, double extortion 9:59:59.000,9:59:59.000 funktioniert so: die Angreifer haben[br]gemerkt dass das Backup für sie ein 9:59:59.000,9:59:59.000 Problem ist und sagen Backup haben wir[br]auch. Und das werden wir jetzt 9:59:59.000,9:59:59.000 veröffentlichen, ja? Das heißt sie[br]erpressen dich einerseits oder sie 9:59:59.000,9:59:59.000 verlangen Lösegeld für deine Daten und[br]erpressen dich gleichzeitig mit der 9:59:59.000,9:59:59.000 Veröffentlichung, haben also jetzt zwei[br]Druckmittel gegen dich mit denen sie 9:59:59.000,9:59:59.000 versuchen Geld von dir zu bekommen. Und[br]das Ganze passiert jetzt seit vielen 9:59:59.000,9:59:59.000 vielen Jahren und irgendwie Kai schreibt[br]drüber, ich rede drüber, die Deutsche Bahn 9:59:59.000,9:59:59.000 hat schon mal auf ihren Anzeigetafeln[br]gehabt, ja? *lachen* Aber niemand kümmert 9:59:59.000,9:59:59.000 sich drum und wenn du die Zeitung[br]aufmachst ja was was wird diskutiert? 9:59:59.000,9:59:59.000 Cyberwar... Was wäre wie fürchterlich wäre[br]das Kai wenn der Cyberwar jetzt käme? 9:59:59.000,9:59:59.000 Kai: Der schrecklich oder?[br]L: Das wär doch total schlimm ja. 9:59:59.000,9:59:59.000 K: Ich mir wird langsam langweilig über[br]Rans zu schreiben ganz ehrlich weil es so 9:59:59.000,9:59:59.000 vorheragbar ist und wenn man sich nur[br]einen kurzen Moment vorstellen würde 9:59:59.000,9:59:59.000 überall in Deutschland würden maskierte[br]Menschen in große und kleine Firmen 9:59:59.000,9:59:59.000 reinrennen ja? Würden die Computer nehmen[br]und wieder rausrennen, was wäre in diesem 9:59:59.000,9:59:59.000 Land los? Also bei großen Firmen ja, Metro[br]und wenzo, Continental und wen so alles 9:59:59.000,9:59:59.000 erwischt hat da rennen 100 Leute rein ja[br]reißen alle Rechner aus der Wand und 9:59:59.000,9:59:59.000 verschwinden, was wäre in diesem Land los[br]wenn das jeden Tag dreimal passiert, ja? 9:59:59.000,9:59:59.000 Wir hätten den Kriegszustand den Cyberwar![br]Keinen interessiert, weil es digital 9:59:59.000,9:59:59.000 passiert und das verstehe ich immer nicht.[br]L: Ich denke also der Cyberwar den sich 9:59:59.000,9:59:59.000 vor dem sich alle fürchten übrigens ein[br]absolut fürchterlicher Begriff, den ich 9:59:59.000,9:59:59.000 mir nicht zu eigen machen möchte, die[br]Schrecken des Krieges sind unvergleichbar 9:59:59.000,9:59:59.000 mit ein paar Schamützeln im Internet. Ja[br]das ist klar vorweg zu sagen aber wenn wir 9:59:59.000,9:59:59.000 uns davor fürchten digital angegriffen zu[br]werden, dann könnten wir wahrscheinlich im 9:59:59.000,9:59:59.000 Moment irgendwann mal zu der Ansicht[br]kommen, dass wir das falsche fürchten und 9:59:59.000,9:59:59.000 es jetzt schon schlimmer ist, als wir[br]fürchten und wir müssen die bittere 9:59:59.000,9:59:59.000 Erkenntnis sehen, dass wir längst dagegen[br]hätten etwas unternehmen können und wenn 9:59:59.000,9:59:59.000 irgendwann einmal der große Cyberwar[br]losgeht, werden die Angreifer auch nicht 9:59:59.000,9:59:59.000 anders vorgehen als die Angreifer die uns[br]heute schon Millionen und Milliarden 9:59:59.000,9:59:59.000 Schäden verursachen. Deswegen gibt es in[br]diesem Vortrag die einzig wichtige Folie, 9:59:59.000,9:59:59.000 die ich einmal kurz runterrattern möchte[br]bevor wir uns wieder den Angreifern widmen 9:59:59.000,9:59:59.000 und den schönen Verhandlungen mit ihnen.[br]Was ihr in einer solchen Situation 9:59:59.000,9:59:59.000 braucht, wenn ihr von Ransomware getroffen[br]seid, ist ein priorisiertes 9:59:59.000,9:59:59.000 wiederherstellungskonzept. Euer Problem[br]ist nicht dass alle Dateien weg sind, euer 9:59:59.000,9:59:59.000 Problem ist dass die Dateien von gestern[br]und von vor zwei Wochen weg sind. Das 9:59:59.000,9:59:59.000 langzeitarchiv ist gar nicht das Problem,[br]das Problem was diese Unternehmen haben 9:59:59.000,9:59:59.000 ist dass die Produktion oder der[br]Geschäftsbetrieb unmittelbar sofort 9:59:59.000,9:59:59.000 stillsteht und das kostet sehr viel Geld.[br]Was gibt's also für Best Practices für 9:59:59.000,9:59:59.000 eure Backups? Sie müssen unveränderbar[br]sein Write only Backups, ein NutzerIn darf 9:59:59.000,9:59:59.000 nicht in der Lage sein ihre eigenen[br]Backups zu löschen und es darf auch nicht 9:59:59.000,9:59:59.000 ein Admin oder eine Admina in der Lage[br]sein diese Backups zu löschen zumindest 9:59:59.000,9:59:59.000 nicht mit den Rechten im AD vergeben[br]werden. Es muss unabhängig sein auf einer 9:59:59.000,9:59:59.000 eigenen Infrastruktur, es muss isoliert[br]sein also komplett getrenntes identity 9:59:59.000,9:59:59.000 Access Management, keinesfalls im Active[br]Directory. Wer den Backup Server 9:59:59.000,9:59:59.000 administriert geht mit einer Tastatur und[br]einem Bildschirm in den Serverraum und 9:59:59.000,9:59:59.000 steckt die da dran. Keine remote[br]administration von dem Backup Server, 9:59:59.000,9:59:59.000 keine Verbindung in euer ad. Wir machen[br]natürlich versionierte Backups, damit wir 9:59:59.000,9:59:59.000 auch frühere Zustände wiederherstellen[br]können, wir machen verifizierte Backups. 9:59:59.000,9:59:59.000 Man könnte das ja einfach mal prüfen bevor[br]man es braucht, ja! Wie viel Geld könnte 9:59:59.000,9:59:59.000 man da sparen wenn man auch noch einen[br]Fehler entdeckt, wir überwachen das Backup 9:59:59.000,9:59:59.000 also ist ein Backup erfolgt und ist der[br]der Datenbestand auf dem fallserver 9:59:59.000,9:59:59.000 integer! Und vor allem machen wir unsere[br]Backups risikobasiert also die 9:59:59.000,9:59:59.000 Wiederherstellung des Geschäftsmodells[br]wird priorisiert. Die meisten Daten die 9:59:59.000,9:59:59.000 Ihr nicht bra.. Ihr Backup werdet ihr im[br]akuten Fall nicht brauchen, ja wenn ihr 9:59:59.000,9:59:59.000 mal jemanden seht der dann so ankommt[br]sagt, wir haben alles auf Tape und du 9:59:59.000,9:59:59.000 denkst okay weißt du wie lange das dauert[br]dieses Tape einzuspielen? *lächelt* Dann 9:59:59.000,9:59:59.000 verstehst du dass potentiell auch Leute[br]diese Zahlungen in Erwägung ziehen die 9:59:59.000,9:59:59.000 Backups haben. Also bitte bitte bitte das[br]sind alle Lehren die es hier zu ziehen 9:59:59.000,9:59:59.000 gibt und das das was wir gleich über[br]Verhandlungen berichten, das vergessst ich 9:59:59.000,9:59:59.000 am besten wieder ganz schnell, das war nur[br]um euch hierher zu locken, weil uns Leute 9:59:59.000,9:59:59.000 immer danach fragen, wie denn so eine[br]Verhandlung läuft. 9:59:59.000,9:59:59.000 *einzelne Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 K: Ich entschuldige mich für diesen[br]Vortrag. 9:59:59.000,9:59:59.000 *Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 K: Es war etwas lehrerhaft aber ich glaube[br]es musste sein. Kommen wir zurück zu den 9:59:59.000,9:59:59.000 lustigen Leuten. Wir sind ja durch eine[br]Verkettung unwahrscheinlicher Zufälle 9:59:59.000,9:59:59.000 beide Psychologen mal gewesen und haben[br]noch dazu dasselbe an delben Uni studiert, 9:59:59.000,9:59:59.000 wie wir später festgestellt haben,[br]deswegen interessieren uns natürlich die 9:59:59.000,9:59:59.000 psychologischen Effekte dahinter und auch[br]die Psyche der Täter, deswegen wollen wir 9:59:59.000,9:59:59.000 hier so ein paar vorstellen damit ihr eine[br]Vorstellung dafür kriegt, was sind das für 9:59:59.000,9:59:59.000 Leute eigentlich ja? Warum sind die[br]kriminell, was tun die so. Und wir fangen 9:59:59.000,9:59:59.000 mit einem sehr Prominenten und schillernen[br]Fall an, ihr seht da Maxim Jakubetz, das 9:59:59.000,9:59:59.000 ist ein junger Russe. Ich habe ihn hier[br]sowas wie der Pate genannt, weil er ist 9:59:59.000,9:59:59.000 eine Ausnahme, er ist ein sehr[br]klischeehafter krimineller Typ, wie ihr 9:59:59.000,9:59:59.000 gleich noch sehen werdet. Also nicht nur[br]ja das ist ein Lamborghini Huracan, den er 9:59:59.000,9:59:59.000 da fährt, das ist seiner das Klischee geht[br]noch viel weiter, wenn ihr das 9:59:59.000,9:59:59.000 Nummernschild betrachtet falls ihr[br]russisch könnt, da steht W o R nicht Bor, 9:59:59.000,9:59:59.000 sondern wor und wor übersetzt heißt Dieb[br]*lächelt*. Seine ganze Gang fuhr mit 9:59:59.000,9:59:59.000 diesen Nummernschildern rum.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *einzelne Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Das konnte er problemlos tun, weil er hat[br]die Tochter eines FSB Offiziers geheiratet 9:59:59.000,9:59:59.000 und muss in Russland nicht viel fürchten.[br]Klischeehaft weil er so richtig Bling 9:59:59.000,9:59:59.000 Bling protzt mit seinem Reichtum und er[br]und seine Freunde sowas machen. Das ist 9:59:59.000,9:59:59.000 die Lomonosof Universität mitten in[br]Moskau, niemand stört sie dabei, wie 9:59:59.000,9:59:59.000 gesagt FSB Offizier. Polizei bestochen und[br]so weiter. Diese Gang, die sind sowas wie 9:59:59.000,9:59:59.000 die Großväter der Ransomware, die nannten[br]sich evil Corb, auch da waren sie relativ 9:59:59.000,9:59:59.000 eindeutig in ihrer Bezeichnung.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Die haben schätzungsweise, es sind immer[br]Schätzung von Ermittlern deswegen wer weiß 9:59:59.000,9:59:59.000 ob es stimmt und wie viel es wirklich war,[br]die haben mit ihrem Banking Trojaner 9:59:59.000,9:59:59.000 namens Zeus oder süß ca 70 Millionen[br]Dollar erpresst indem sie Online Banking 9:59:59.000,9:59:59.000 Informationen abgesaugt und dann[br]ausgenutzt haben. Und ja die werden 9:59:59.000,9:59:59.000 gesucht, ne? Also das FBI hätte sie gern,[br]sie sitzen in Russland, werden da auch 9:59:59.000,9:59:59.000 nicht wegfahren. Und sicher auch kein[br]Urlaub wo anders machen als auf der Krim. 9:59:59.000,9:59:59.000 Das Interessante ist weswegen wir sie hier[br]drin haben, sie sind wirklich sowas wie 9:59:59.000,9:59:59.000 die Großväter der Ransomware Modelle, die[br]uns heute plagen. Also die Wirtschaft 9:59:59.000,9:59:59.000 mehrheitlich. Sie haben RAS erfunden[br]Ransomware SS Service also sie haben 9:59:59.000,9:59:59.000 irgendwann aufgehört das Zeug selber[br]einzusetzen, sie haben es vermietet 9:59:59.000,9:59:59.000 verkauft. Hier sind sie noch mal ein[br]bisschen größer nette junge Leute. Sie 9:59:59.000,9:59:59.000 haben angefangen ihre kriminellen[br]Fähigkeiten aufs Programmieren zu 9:59:59.000,9:59:59.000 beschränken und anschließend in[br]kriminellen Forum ihre Tools anzubieten, 9:59:59.000,9:59:59.000 und wie sehen Leute aus die sowas dann[br]weiter verkaufen? So 9:59:59.000,9:59:59.000 *Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 das ist Daniel Schukin, der wurde so noch[br]nicht öffentlich genannt, der ist einer 9:59:59.000,9:59:59.000 der Menschen die davon lebt diese[br]Vermietung zu organisieren, 9:59:59.000,9:59:59.000 höchstwahrscheinlich, muss ich an der[br]Stelle sagen, er ist auch nicht 9:59:59.000,9:59:59.000 verurteilt, hat auch Russland bis[br]jahrelang nicht verlassen. Das da ist in 9:59:59.000,9:59:59.000 Antalia, da glaubt er noch reisen zu[br]können, da hat er diese Yacht gemietet mit 9:59:59.000,9:59:59.000 Freunden zusammen. Wer ist dieser Mensch?[br]Auch ein junger Russe, etwas begabt was 9:59:59.000,9:59:59.000 die Technik angeht, lebt in Krasnodar, mag[br]BMWs und Gucci und große Feste, zeigt sich 9:59:59.000,9:59:59.000 gern mit seiner Frau und mit Freunden den[br]er das Essen bezahlt, der hat Webseiten 9:59:59.000,9:59:59.000 für Online Casinos und Krypto und anderen[br]Schmuddelkram und der vermietet oder hat 9:59:59.000,9:59:59.000 vermietet REvil, ein weiteres großes[br]Ransomware, Familienmodell und er scheint 9:59:59.000,9:59:59.000 nicht schlecht davon zu leben, hier ist er[br]wieder, breites Lächeln. Das im Arm ist 9:59:59.000,9:59:59.000 seine Frau, die tut hier nichts zur Sache[br]deswegen ist sie so ein bisschen 9:59:59.000,9:59:59.000 ausgeblendet. Und leider wollte der nicht[br]mit uns reden, ich weiß auch nicht warum, 9:59:59.000,9:59:59.000 wir haben es versucht, also ich habe viele[br]E-Mails geschrieben, die er nie 9:59:59.000,9:59:59.000 beantwortet hat. Das Interessante an[br]dieser Stelle, man beachte seine Uhr, 9:59:59.000,9:59:59.000 falls Sie die erkennen könnt, hier ist sie[br]größer. Das ist eine vangard encrypto also 9:59:59.000,9:59:59.000 die Uhr allein kostet schon so 50 bis 70[br]000 € wenn man auf so hässliche Uhren 9:59:59.000,9:59:59.000 steht, und statt der 12 ist da ein QR-Code[br]eingraviert, damit wirbt die Firma dass 9:59:59.000,9:59:59.000 man da seine Bitcoin Wallet eingravieren[br]kann. 9:59:59.000,9:59:59.000 *Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Die öffentliche die öffentliche das muss[br]man sich auch erstmal leisten können. 9:59:59.000,9:59:59.000 Genau, wir konnten sie leider nicht[br]entschlüsseln, also ich habe es versucht 9:59:59.000,9:59:59.000 aber wir konnten sie leider nicht lesen.[br]Das FBI konnte es. 9:59:59.000,9:59:59.000 *Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Das FBI hat gerade erst noch gar nicht so[br]lange her 317000 von ih beschlagnahmt, ne 9:59:59.000,9:59:59.000 also die Krypto sind genau in den Händen[br]des FBI. Ich glaube übrigens FBI ist der 9:59:59.000,9:59:59.000 größte Halter von Bitcoins überhaupt[br]weltweit, oder? 9:59:59.000,9:59:59.000 *Viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 So er selbst wurde nicht gefasst aber[br]junge Russen die sich für unverwundbar 9:59:59.000,9:59:59.000 halten, das ist ein wichtiger Aspekt[br]dabei, weil sie entweder Behörden 9:59:59.000,9:59:59.000 bestechen oder direkt in Verbindung stehen[br]mit Behörden, die sind so relativ die 9:59:59.000,9:59:59.000 bilden so eine relativ kleine Gruppe der[br]Hinterleute dieser ganzen Ransomware 9:59:59.000,9:59:59.000 Modelle, die sind aber nicht die große[br]Masse, die sind wirklich Ausnahmen. Die 9:59:59.000,9:59:59.000 die die eigentliche Arbeit machen, die[br]sehen anders aus. Das hier ist eine 9:59:59.000,9:59:59.000 Wohnung in einem relativ runtergekommenen[br]Neubaublock in Harkiv in der Ukraine 9:59:59.000,9:59:59.000 Straße ist 23 August, wen es interessiert.[br]Den Namen nenne ich hier nicht weil dieser 9:59:59.000,9:59:59.000 Mensch nie verurteilt wurde und nicht mal[br]angeklagt, der wurde laufen gelassen, ich 9:59:59.000,9:59:59.000 erzähle gleich warum. Deswegen hier nur[br]sein Name in dem Internet unterwegs war 9:59:59.000,9:59:59.000 Jeep. Der erklärt sich auch gleich. Dieser[br]Mann war für emotet unterwegs. Emotet 9:59:59.000,9:59:59.000 ebenfalls eine riesige Ransomware Familie[br]ja die weltweit tausende Opfer verursacht 9:59:59.000,9:59:59.000 hat. Das BKA nannte emotet einen der[br]gefährlichsten Trojaner weltweit und BSI 9:59:59.000,9:59:59.000 Chef Arne Schönbum ex BSI Chef Arne[br]Schönbum, falls sich noch jemand an ihn 9:59:59.000,9:59:59.000 erinnert, nannte es den König der[br]Schadsoftware, aber und deswegen zeigen 9:59:59.000,9:59:59.000 wir es hier auch emotet machte Fehler. Die[br]haben einen Server in Brasilien offen 9:59:59.000,9:59:59.000 gelassen, so dass dort Serverlocks[br]rumlagen, die Ermittlungsbehörden finden 9:59:59.000,9:59:59.000 konnten und dank dieser Serverlocks[br]hangelten Sie sich durch die gesamte 9:59:59.000,9:59:59.000 Infrastruktur dieser Gruppe und kamen[br]zumindest nach Angaben des BKA zu dieser 9:59:59.000,9:59:59.000 Wohnung, dort laufen alle Fäden zusammen[br]und deswegen gab's da 2021 diese 9:59:59.000,9:59:59.000 Wohnungsdurchsuchung, polizia steht da auf[br]der Jacke, also die ukrainische Polizei 9:59:59.000,9:59:59.000 bricht da gerade ein, BKA Beamte waren[br]dabei, ja also da liefen alle Fäden von 9:59:59.000,9:59:59.000 emotet zusammen hier.[br]L: Sieht aus wie bei mir. 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 K: Okay du hast auch Flohmarktzeug?[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *lächelt*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 K: Das ist der Schreibtisch dieses Mannes[br]und das die Wohnung eines damals 47 Jahre 9:59:59.000,9:59:59.000 alten Ukrainers, seines Zeichens[br]Systemadministrator für Linux und der 9:59:59.000,9:59:59.000 wartet Server für kleine Firmen. Und er[br]tut das für kleines Geld. Und der hat mit 9:59:59.000,9:59:59.000 uns geredet, der war sehr nett und sagte[br]also das auf diesen Backends gefährliche 9:59:59.000,9:59:59.000 trojaner waren, ich wusste es nicht, er[br]hat sich nicht dafür interessiert 9:59:59.000,9:59:59.000 wahrscheinlich. Er hat 12 Server von[br]emotet gewartet und nahm dafür $40 pro 9:59:59.000,9:59:59.000 Server und Monat $480. Ich finde es[br]interessant, weil auch so gigantische 9:59:59.000,9:59:59.000 Erpressungsmodelle ja, wir reden über[br]gigantische Erpessungsmodelle die weltweit 9:59:59.000,9:59:59.000 funktionieren, basieren auf solcher[br]Infrastruktur. Nach Auskunft der Polizei 9:59:59.000,9:59:59.000 die da in der Wohnung war, da sieht man[br]sie noch mal, war ein Großteil davon vom 9:59:59.000,9:59:59.000 Flohmarkt, Jahre alt. Übrigens könnt ihr[br]Kyrillisch lesen? Da steht Department 9:59:59.000,9:59:59.000 KeeberPolitsii, finde ich toll, falls[br]irgendjemand hiermer so Aufkleber macht, 9:59:59.000,9:59:59.000 ich hät gern ein paar davon.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 L: Kommen wir zurück zu einer anderen[br]Ransomware Gang, ich habe ja gesagt dass 9:59:59.000,9:59:59.000 ich öfter mal die Freude habe mich mit[br]denen auseinandersetzen zu dürfen, 9:59:59.000,9:59:59.000 hauptsächlich deshalb weil Leute denken[br]ich könnte ihn Bitcoin organisieren, ich 9:59:59.000,9:59:59.000 habe keine Ahnung wie auf die Idee kommen[br]aber irgendwie klappt's dann auch. So 9:59:59.000,9:59:59.000 sieht dann so eine Ransom Note aus, die[br]liegt auf deinem Desktop und angegeben 9:59:59.000,9:59:59.000 wird halt ein Tor hinden Service und in[br]diesem Fall ein Login und wenn man da 9:59:59.000,9:59:59.000 drauf klickt kommt halt so ein Chat, ja[br]ist etwas andere Gang jetzt in diesem 9:59:59.000,9:59:59.000 Fall, mal Screenshot von blackbuster[br]rausgesucht und die sagen also sie wollen 9:59:59.000,9:59:59.000 Geld haben. Und jetzt beginnt der Moment[br]für den sich so viele Leute interessieren, 9:59:59.000,9:59:59.000 ich werde also immer nach Vorträgen[br]gefragt, dass ich genau das mal 9:59:59.000,9:59:59.000 beschreiben soll und wie ich gerade schon[br]sagte ich beschreibe das nicht ohne vorher 9:59:59.000,9:59:59.000 zu sagen, wie man sich davor schützen[br]kann. Weil das ist die Situation in der 9:59:59.000,9:59:59.000 man wirklich nicht sein möchte, ja. Der[br]Chat geht natürlich ein bisschen länger, 9:59:59.000,9:59:59.000 ich habe mich jetzt mal so inhaltlich grob[br]zusammengefasst. Wir veröffentlichen in 10 9:59:59.000,9:59:59.000 Tagen, wir haben einen Decrypter, wir[br]wollen in diesem Beispiel 100 Millionen, 9:59:59.000,9:59:59.000 ja. Hab jetzt einfach mal 100 genommen,[br]damit ihr ungefähr die Relationen sieht, 9:59:59.000,9:59:59.000 die die Verhandlung betreffen. Und man[br]sagt natürlich erstmal junge Beweis du 9:59:59.000,9:59:59.000 doch bitte erstmal dass du die Dateien[br]hast ja, also vorher stellt man sich 9:59:59.000,9:59:59.000 erstmal so ein bisschen doof, es ist auf[br]jeden Fall klug irgendwie so ein paar doof 9:59:59.000,9:59:59.000 Sachen zu fragen ne, was ist BTC irgendwie[br]sowas um den irgendwie zu vermitteln, dass 9:59:59.000,9:59:59.000 man relativ dumm ist, ja? Man sagt dann[br]so, ok, aber Beweis doch mal bitte dass Du 9:59:59.000,9:59:59.000 die Dateien hast, dann sagen die kein[br]Thema, hier ist die Liste ja und dann 9:59:59.000,9:59:59.000 kriegt man so ein Output von tree oder[br]find oder was auch immer ja? Und dann 9:59:59.000,9:59:59.000 sagen sie such dir drei Dateien aus, die[br]schicken wir dir ja, das heißt sie geben 9:59:59.000,9:59:59.000 dir die komplette Liste, du kannst dir[br]drei aussuchen, die kriegst du zurück und 9:59:59.000,9:59:59.000 damit beweisen sie dass du dass sie diese[br]dass Sie alle Dateien haben ne. Hier ist 9:59:59.000,9:59:59.000 deine x Doc X Y xlsx und zxe, das Gute ist[br]die die Liste der Dateien kriegst du für 9:59:59.000,9:59:59.000 umme ja und die brauchst du um den Schaden[br]abzuschätzen, der beispielsweise bei einer 9:59:59.000,9:59:59.000 Veröffentlichung droht, potenziell aber[br]z.B auch für die dsgvo Meldung also diese 9:59:59.000,9:59:59.000 die Liste an Dateien gibt's kostenlos und[br]in vielen Fällen selbst, wenn man gar 9:59:59.000,9:59:59.000 keine Absicht hat zu bezahlen, lohnt es[br]sich die sich zu organisieren ja? 9:59:59.000,9:59:59.000 Kostenlose Leistung die man hier kriegt.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Und dann sagt man sowas wie du weißt du,[br]wir stellen gerade von Tapes wieder her 9:59:59.000,9:59:59.000 das dauert zwar ein bisschen, aber[br]eigentlich sind wir hier guter Dinge. Dann 9:59:59.000,9:59:59.000 sagen die, stell dir mal vor wenn wir das[br]alles veröffentlichen und man sagt so ja 9:59:59.000,9:59:59.000 eigentlich ist da jetzt nichts großartig[br]kritisches dabei! Wir verkaufen das an die 9:59:59.000,9:59:59.000 Konkurrenz! Auch immer ein sehr spannender[br]Fall, ja, wenn man diese Gespräche führt 9:59:59.000,9:59:59.000 ja und die Betroffen Unternehmen sagen, oh[br]mein Gott die verkauft das an die 9:59:59.000,9:59:59.000 Konkurrenz, oh mein Gott die Verkauf das[br]an die Konkurrenz, wenn man sagt ok, pass 9:59:59.000,9:59:59.000 auf, ich mache euch ein Angebot, ich gebe[br]euch die Daten von der Konkurenz. Das 9:59:59.000,9:59:59.000 werden wir nie machen! Ja okay aber eure[br]Konkurrenz haltet ihr für so verkommen 9:59:59.000,9:59:59.000 dass Sie von irgendwelchen Gangstern für[br]Bitcoin eure Daten kaufen *gelächter*? 9:59:59.000,9:59:59.000 Also sagt man, kannst du gern probieren[br]wir gehen eigentlich nicht davon aus dass 9:59:59.000,9:59:59.000 sie dir da sonderlich viel Geld für geben[br]ja? Außerdem muss man tatsächlich sehr 9:59:59.000,9:59:59.000 traurigerweise sagen die Veröffentlichung[br]bringt meist einen sehr geringen Schaden 9:59:59.000,9:59:59.000 für dich selber weiß auch der Gründer und[br]CE von Motel One, Dieter Müller der sich 9:59:59.000,9:59:59.000 nachdem dem Motel One gebreached wurde und[br]alle Kundendaten ins Internet gegangen 9:59:59.000,9:59:59.000 sind, geweigert hat mit den Leuten zu[br]verhandeln und eventuell diesen Schaden 9:59:59.000,9:59:59.000 von den Kunden abzuwenden ja? Der Mann hat[br]geringe Ansprüche an sich selbst und hohe 9:59:59.000,9:59:59.000 Ansprüche an den Staat, denn an der[br]gesamten Misere ja dass alle Motel One 9:59:59.000,9:59:59.000 Kunden jetzt mit übernachtungsdaten und[br]allem im Internet stehen, ist natürlich 9:59:59.000,9:59:59.000 der Staat schuld, denn der Staat hat noch[br]keinen Weg gefunden seiner staatlichen 9:59:59.000,9:59:59.000 Hoheitsaufgabe gerecht zu werden und seine[br]Bürger und Unternehmen vor kriminellen 9:59:59.000,9:59:59.000 digitalen Angriffen zu schützen.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Einzelne Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Kann natürlich jetzt auch nicht seine[br]Schuld sein. Wie ich habe schon gesagt, 9:59:59.000,9:59:59.000 der Mann hat geringe Ansprüche an sich[br]selbst, hohe Ansprüche an den Staat, 9:59:59.000,9:59:59.000 Coronazeiten waren irgendwo im Bereich 100[br]Millionen Coronahilfen die der 9:59:59.000,9:59:59.000 eingestrichen hat, dadurch hat Motel One[br]am Ende seine Geschäftsergebnisse 9:59:59.000,9:59:59.000 signifikant verbessern können und er hat[br]noch ein paar Interviews gegeben dass das 9:59:59.000,9:59:59.000 eine Frechheit wäre und zu wenig.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Aber tatsächlich mal ne, man muss[br]tatsächlich sagen Motel One hat de facto 9:59:59.000,9:59:59.000 keinen Schaden dadurch, dass diese Daten[br]veröffentlicht wurden. Irgendwann ich 9:59:59.000,9:59:59.000 glaube es war man sieht es im Bild 2021[br]wurde extensure gebrided von lockbit und 9:59:59.000,9:59:59.000 das F ich natürlich sehr interessant also[br]haben wir auf dem loogbit Block so den 9:59:59.000,9:59:59.000 Countdown geguckt und so ne und dann[br]wurden irwann die Daten von extenser 9:59:59.000,9:59:59.000 veröffentlichicht da hat man sich ja dann[br]doch mal für interessiert, das war aber 9:59:59.000,9:59:59.000 total so ein einzeldownload ja, du[br]konntest jede Datei einzeln das war total 9:59:59.000,9:59:59.000 unsortiert umständlich zeitaufwendig ja[br]und die wurden auch immer wieder offline 9:59:59.000,9:59:59.000 genommen und dann wurde die Deadline[br]verlängert wann die released werden und 9:59:59.000,9:59:59.000 irgendwie sind sie jetzt nicht mehr zu[br]finden. Ich denke warum die Angreifer so 9:59:59.000,9:59:59.000 und nicht anders veröffentlichen ist ganz[br]klar, in dem Moment wo sie vollständig 9:59:59.000,9:59:59.000 veröffentlichen, haben Sie Ihr Kind mit[br]dem Bade ausgegossen, es wird niemand mehr 9:59:59.000,9:59:59.000 bezahlen, wenn sie aber so scheibchenweise[br]veröffentlichen, können sie potenziell 9:59:59.000,9:59:59.000 noch weiter erpressen und dich doch[br]überzeugen denen etwas Geld zu geben. Denn 9:59:59.000,9:59:59.000 für sie ist das ja eine Alles oder Nichts[br]Situation und diese Dateien zu 9:59:59.000,9:59:59.000 veröffentlichen, dann haben sie halt statt[br]irgendwie potenziell Millionen einfach nur 9:59:59.000,9:59:59.000 ein mahnendes Beispiel für den nächsten[br]und ein Fall wo ich wieder erzählen kann 9:59:59.000,9:59:59.000 eigentlich kein Schaden entstanden. Wir[br]haben auch darüber gesprochen das nennt 9:59:59.000,9:59:59.000 man dann also die Angreifer wollen Druck[br]erhöhen ja, sie machen inzwischen auch mal 9:59:59.000,9:59:59.000 die Meldung an an die Behörden für dich[br]ja, auch da natürlich einfach um den Druck 9:59:59.000,9:59:59.000 zu erhöhen, weil Druck ist alles was die[br]haben, oder sie belästigen die Leute die 9:59:59.000,9:59:59.000 nicht zahlen ja, rufen dann z.B dort an[br]oder lassen dort anrufen oder erpressen 9:59:59.000,9:59:59.000 eben die Kunden um den rufschaden[br]irgendwie zu maximieren. Also die Gruppen 9:59:59.000,9:59:59.000 arbeiten daran diesen Rufschaden zu[br]vergrößern. Ja in unserem Beispiel sagen 9:59:59.000,9:59:59.000 wir mal wir würden jetzt irgendwie in[br]Richtung einer Zahlung uns orientieren, 9:59:59.000,9:59:59.000 dann sagen wir Bruder, wie sollen wir dir[br]überhaupt vertrauen? Und dann sagt er mein 9:59:59.000,9:59:59.000 Freund wir sind die cyberswan Gruppe,[br]google uns wir haben fünf Sterne auf yelp! 9:59:59.000,9:59:59.000 *viele lachen* und es ist es ist natürlich[br]wirklich wichtig für diese Mechanik der 9:59:59.000,9:59:59.000 Verhandlung zu wissen, die müssen auch[br]ihren Ruf schützen. Wenn die euch 9:59:59.000,9:59:59.000 betrügen, dann wird das ja bekannt und[br]dann zahlt ihnen niemand mehr. Das heißt 9:59:59.000,9:59:59.000 Vertrauen ist für die eine entscheidende[br]Sache ja? Außerdem haben die auch den 9:59:59.000,9:59:59.000 ganzen Rest des Internets noch vor sich,[br]dass sie jetzt ein zweites Mal dich 9:59:59.000,9:59:59.000 erpressen ist eher unwahrscheinlich. Aber[br]dann sagst du sowas wie ja boah das mit 9:59:59.000,9:59:59.000 den Tapes kennt sie ja dauert ey pass auf[br]wir zahlen dir 25 Dann kommen wir wollen 9:59:59.000,9:59:59.000 100 und du hast noch 7 Tage danach wird es[br]teurer und dann denkst das ist natürlich 9:59:59.000,9:59:59.000 jetzt auch wieder dieses Druck ne wir[br]wollen mehr Geld später und dann sagst du 9:59:59.000,9:59:59.000 ja pass auf Alter in 7 Tagen sind wir[br]fertig, du kannst mir hier maximal 50 9:59:59.000,9:59:59.000 Millionen sparen, das muss aber auch[br]irgendwie businesscase für mich sein ich 9:59:59.000,9:59:59.000 zahle dir 40 ja? Dann sagen die wir wollen[br]70, das unser letztes Angebot, es gilt nur 9:59:59.000,9:59:59.000 24 Stunden und dann sagst du sowas wie, ey[br]Junge, je länger das hier dauert, umso 9:59:59.000,9:59:59.000 weniger ist deine Dienstleistung für mich[br]Wert, ich stell ja hier gerade von Tapes 9:59:59.000,9:59:59.000 wieder her. Und das ist der entscheidende[br]Punkt in diesen Verhandlung für die 9:59:59.000,9:59:59.000 Angreifer geht es um alles oder nichts,[br]also die stehen vor einer Situation dass 9:59:59.000,9:59:59.000 sie entweder von dir Geld bekommen oder[br]gar nichts und dann haben Sie noch die 9:59:59.000,9:59:59.000 Kosten dass sie deine Daten[br]veröffentlichen müssen und genau da musst 9:59:59.000,9:59:59.000 du diesem Druck wiederstehen, der[br]zeitliche Druck wird von denen nur deshalb 9:59:59.000,9:59:59.000 angebracht weil sie also weil sie wissen[br]je länger Du nicht zahlst desto 9:59:59.000,9:59:59.000 unwahrscheinlicher zahlst du. Insofern ist[br]das durchaus sinnvoll in einer solchen 9:59:59.000,9:59:59.000 Situation , wenn du die Zeit hast, auch[br]tatsächlich auf Zeit zu spielen, weil die 9:59:59.000,9:59:59.000 Wissen je länger der Spaß hier geht umso[br]unwahrscheinlicher zahlst du. Na gut dann 9:59:59.000,9:59:59.000 kommt irwi sowas ja 60 Millionen weil du[br]es bist letzte Preis ja? Und dann sagst 9:59:59.000,9:59:59.000 du, das ist der Moment den die Kunden[br]meistens nicht wollen, ja? Dann sagst mal 9:59:59.000,9:59:59.000 ok tut mir leid ich erkläre die Behandlung[br]für gescheitert, hätte hier eine Win-Win 9:59:59.000,9:59:59.000 Situation werden können aber na ja[br]vielleicht beim nächsten Mal. 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Und dann kommt, ok lass mich mal mit dem[br]Boss reden. 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Du verhandelst jetzt mit dem Level One[br]Customer Support! Und der hat klare 9:59:59.000,9:59:59.000 Grenzen und erst wenn der mit jemand[br]anders reden muss über den Deal den er dir 9:59:59.000,9:59:59.000 machen kann, merkst du dass du vielleicht[br]langsam in einen Bereich kommst der 9:59:59.000,9:59:59.000 vielleicht für dich auch interessant ist[br]ja? Natürlich kann auch das ein Spiel sein 9:59:59.000,9:59:59.000 aber in diesem Fall werdet ihr gleich[br]sehen war es nicht, es gibt einen Boss. 9:59:59.000,9:59:59.000 Dann kommt eben sowas her: ok 50%[br]allerletzte Preis ja und dann sagst du 9:59:59.000,9:59:59.000 sowas eh, woher weiß ich dass du die Datei[br]überhaupt wieder herstellen kannst? Ja 9:59:59.000,9:59:59.000 auch das erst ganz am Ende machen, weil[br]das ja ein Interesse überhaupt 9:59:59.000,9:59:59.000 signalisiert also die Prüfung, dass Sie[br]Dateien wiederherstellen können jede 9:59:59.000,9:59:59.000 Ransomware Gang bietet dafür an, schick[br]mir zwei Dateien mein Freund, entschlüssel 9:59:59.000,9:59:59.000 ich dir, kriegst du zurück, schickst Du ja[br]hier ist A encrypted und B encrypted und 9:59:59.000,9:59:59.000 dann schickt er dir die entschlüsselten[br]Dateien zurück. Das ist ein sehr wichtiger 9:59:59.000,9:59:59.000 Schritt den man keinesfalls vergessen[br]darf! Du musst dich vergewissern, dass 9:59:59.000,9:59:59.000 dein Freund die Dienstleistung auch[br]wirklich erbringen kann, sonst riskierst 9:59:59.000,9:59:59.000 du mit diesen Leuten hier zu tun zu haben.[br]Das war wannacry ihr erinnert euch die 9:59:59.000,9:59:59.000 ganze Ransomware hat in der Welt nur drei[br]Bitcoin Adressen angegeben und als ich die 9:59:59.000,9:59:59.000 doppelten Screenshots gesehen habe mit dem[br]gleichen Bitcoin Wallet war mir auch 9:59:59.000,9:59:59.000 sofort klar, die werden die Zahlung nicht[br]zuordnen können, hier besteht keine 9:59:59.000,9:59:59.000 Absicht der Wiederherstellung. Und war ja[br]auch bei Wannacry nicht so also wichtig 9:59:59.000,9:59:59.000 sicherstellen und erst spät sicherstellen[br]weil damit signalisierst du überhaupt 9:59:59.000,9:59:59.000 Interesse an der ernsthaftes Interesse an[br]der Wiederherstellung. Und dann kommen die 9:59:59.000,9:59:59.000 klugen Leute und sagen hey vorsicht wenn[br]du zahlst, dann hacken sie dich direkt 9:59:59.000,9:59:59.000 wieder. Und das ist aber Quatsch, übrigens[br]hier das ist also auf dem Sixpack steht 9:59:59.000,9:59:59.000 Mythos auf dem nächsten Sixpack steht[br]Realität aber dol i kann nicht so gut 9:59:59.000,9:59:59.000 schreiben wie ich. Die Realität ist[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *lächeln*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 der Rest des Internets wartet auf Sie die[br]haben überhaupt gar keinen Grund noch mal 9:59:59.000,9:59:59.000 dich zu hacken, die geben auch übrigens[br]Garantien dass diese Ransomware Gang dich 9:59:59.000,9:59:59.000 nicht noch mal hackt. Es gibt aber genug[br]Andere also früher oder später musst du 9:59:59.000,9:59:59.000 dich schützen und ich kenne mehrere Fälle[br]in den die CEOs oder der Vorstand, oder 9:59:59.000,9:59:59.000 sonst was nach der Zahlung gesagt hat,[br]jetzt haben wir es hinter uns lehnt euch 9:59:59.000,9:59:59.000 zurück, fahrt die Systeme wieder hoch,[br]alles rein ins ad und den MySQL Server in 9:59:59.000,9:59:59.000 die Cloud und gebt ihm und kurze Zeit[br]darauf war das Geschrei groß, ja? Also ihr 9:59:59.000,9:59:59.000 kommt sowieso nicht drum herum euch besser[br]zu schützen am besten macht ihr das bevor 9:59:59.000,9:59:59.000 ihr den Case habt, aber egal ob du zahlst[br]oder nicht die Anderen werden kommen, ja? 9:59:59.000,9:59:59.000 Du hältst dir eine von 100 Gangs vom Leib[br]und dummerweise machen die nicht so eine 9:59:59.000,9:59:59.000 Garantie wie Schutzgeld, dass sie sagen[br]pass auf wenn die anderen Gangs kommen 9:59:59.000,9:59:59.000 dann prügeln wir die raus oder so.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Na ja, dann sagen Sie hier ist unser[br]unsere Bitcoin Wallet ja die nehmen 9:59:59.000,9:59:59.000 üblicherweise eine frische brauchen sie[br]auch damit sie erkennen dass die Zahlung 9:59:59.000,9:59:59.000 von dir ist. Du nimmst üblicherweise eine[br]frische und schickst mal ein satoschi 9:59:59.000,9:59:59.000 rüber, ja? Achtung, das ist interessanter[br]Moment weil dann sehen die wie viel Geld 9:59:59.000,9:59:59.000 auf deinem Wallet liegt. Ja in dem Moment[br]beweist du dass du über ein über eine 9:59:59.000,9:59:59.000 Summe verfügst. Es kann also durchaus auch[br]interessant sein an der Stelle vielleicht 9:59:59.000,9:59:59.000 doch nur 40 da liegen zu haben statt der[br]50 und zu sagen hey Scheiße, Freitagabend, 9:59:59.000,9:59:59.000 du weißt wie das ist, neh, ich habe jetzt[br]echt nicht 9:59:59.000,9:59:59.000 *viele lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Dann sagen sie, ist angekommen und dann[br]schickst du den Rest und jetzt kommt sehr 9:59:59.000,9:59:59.000 ein sehr wichtiger Hinweis, bezahle nur[br]wenn du ein Business Case hast. Du hast 9:59:59.000,9:59:59.000 meistens keinen, das Einzige was hier eine[br]Rolle spielt ist, dass deine 9:59:59.000,9:59:59.000 Wiederherstellung potentiell schneller[br]geht. Alle sonstigen Folgekosten die 9:59:59.000,9:59:59.000 Systemeherten, die Systeme desinfizieren,[br]Dinge maximal neu aufbauen, eine komplette 9:59:59.000,9:59:59.000 Renovierung deiner Infrastruktur, die[br]Kosten hast Du ohnehin, die hast du auch 9:59:59.000,9:59:59.000 jetzt schon vor dir, weil du es e machen[br]musst entweder bevor du gebreacht wurdest 9:59:59.000,9:59:59.000 oder danach. Das heißt du musst diesen[br]Case wirklich sehr genau durchrechnen 9:59:59.000,9:59:59.000 bevor du in Erwägung ziehst eine solche[br]Zahlung vorzunehmen. Wenn du es dann 9:59:59.000,9:59:59.000 gemacht hast, kommt sowas wie Yow, wir[br]haben deine Dateien gelöscht, hier ist das 9:59:59.000,9:59:59.000 deleition Lock, also das Output von rm-RF.[br]Das sieht dann so aus, und *Linus lächelt* 9:59:59.000,9:59:59.000 ich meine die haben sogar ihre local[br]language auf Russisch eingestellt, ja? 9:59:59.000,9:59:59.000 also man sieht hier unten die Translation[br]für gelöscht und Verzeichnis gelöscht also 9:59:59.000,9:59:59.000 ein Output von rm-RF. Und dann sagen sie[br]yoh, wir bereiten jetzt dein Decrypter 9:59:59.000,9:59:59.000 vor.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *einzelne gelächter*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Und man denkt so, bei den anderen geht das[br]eigentlich immer relativ schnell. *Linus 9:59:59.000,9:59:59.000 lächelt* So nach einer Stunde fragt man[br]mal nach und dann kommt, eh ich kann den 9:59:59.000,9:59:59.000 Typen nicht erreichen, hab mal kurz gedult[br]bitte und dann kann das manchmal ein 9:59:59.000,9:59:59.000 bisschen dauern und dann kommt hey, hier[br]ist der Decrypter, sorry der Typ war 9:59:59.000,9:59:59.000 draußen einen saufen, Ja?[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *video läufzt, alle lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Und an dieser Stelle zeigt sich, du[br]würdest dem Level One Support auch keinen 9:59:59.000,9:59:59.000 Schlüssel geben der Millionen wert ist,[br]weil dann machen sie side Deals ja? Dann 9:59:59.000,9:59:59.000 verkaufen die den Schlüssel über ihre[br]eigene Konten. Klüger hat das LV gemacht, 9:59:59.000,9:59:59.000 blackcat be denen war das so, die haben[br]quasi also auf Ihrem Server war das 9:59:59.000,9:59:59.000 Bitcoin Wallet direkt angegeben und hat[br]das immer gepollt, ja? Und das heißt auch 9:59:59.000,9:59:59.000 die Veröffentlichung von den decryption[br]Tools und deinem Pentestbericht erfolgte 9:59:59.000,9:59:59.000 automatisch, so haben die den Key von den[br]von ihren Verhandlern weggehalten. Bei 9:59:59.000,9:59:59.000 dieser Gang die ich hier im Beispiel hatte[br]war es eben so, dass sie manuelle 9:59:59.000,9:59:59.000 Interaktion oder oder direkte Interaktion[br]mit ihrem Chef brauchten und die hatten 9:59:59.000,9:59:59.000 halt echt nicht dessen die Nummer, nah?[br]Die können halt auch nur mit dem über 9:59:59.000,9:59:59.000 diesen Chat kommunizieren, aber ich bin[br]ehrlich die Stunden bis wir den Decrypter 9:59:59.000,9:59:59.000 hatten waren etwas weniger entspannt, auch[br]wenn ich mir relativ sicher war, dass sie 9:59:59.000,9:59:59.000 die Zahlung machen würden. Und Kai kann[br]noch mal ein bisschen was darüber reden, 9:59:59.000,9:59:59.000 wie es dann auf der anderen Seite[br]aussieht. 9:59:59.000,9:59:59.000 Kai: Wir machen noch mal ein kleinen[br]Exkurs zu den Leuten, die auf der anderen 9:59:59.000,9:59:59.000 Seite sitzen. Das interessante an diesen[br]Modellen ist, wir kommen auch gleich noch 9:59:59.000,9:59:59.000 zum Level 1 Support. Das interessante an[br]diesen Modellen ist dass sehr viel 9:59:59.000,9:59:59.000 outgesourced ist, wie in der Wirtschaft[br]auch an sogenannte Affiliates, da ist 9:59:59.000,9:59:59.000 Einer. Das sind Menschen die sozusagen auf[br]eigene Rechnung für irgendeine Ransomware 9:59:59.000,9:59:59.000 Familie arbeiten und ihre Beute teilen,[br]die Deals sind meist 75% für diese 9:59:59.000,9:59:59.000 Menschen, 25% oder 20% für die Gäng[br]dahinter, die Vermieter den wir vorhin 9:59:59.000,9:59:59.000 gesehen haben. Das hier ist Sebastian[br]Vahoung, ein Kanadier inzwischen 9:59:59.000,9:59:59.000 verurteilt. Der hat für Networker[br]gearbeitet, wieder eine sehr große Familie 9:59:59.000,9:59:59.000 und war der eifrigste Affiliate von[br]Networker. Der hat dutzende Angriffe 9:59:59.000,9:59:59.000 gefahren und allein er hat 1400 Bitcoin[br]eingesammelt mit diesen Erpressung, damals 9:59:59.000,9:59:59.000 27 Millionen Dollar. Jetzt fragt man sich,[br]wer ist so ein Mensch, ja? Dem ging es gar 9:59:59.000,9:59:59.000 nicht so schlecht, das war sein Häuschen[br]schon vorher, der wohnte da. In der Nähe 9:59:59.000,9:59:59.000 von Ottawa war nettes kleines Häuschen,[br]sieht ganz gemütlich aus, der war 9:59:59.000,9:59:59.000 Computertechniker Universität Ottawa, aber[br]der war so der Typ Kleinkrimineller der 9:59:59.000,9:59:59.000 irgendwie so ein bisschen mehr will vom[br]Leben als das was ihm sein dayjob bietet. 9:59:59.000,9:59:59.000 Der ist auch schon mal mit Drogendelikten[br]aufgefallen, hat 123 kg Marijana vertickt 9:59:59.000,9:59:59.000 *viele Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Kleinkram. Und ja das war dann beim[br]Verhör, da war er nicht mehr so... Ich 9:59:59.000,9:59:59.000 fand den Fall sehr interessant, ich habe[br]ihn ein bisschen zugeguckt man konnte 9:59:59.000,9:59:59.000 durch dan Corona konnte man der[br]Gerichtsverhandlung im Internet folgen, 9:59:59.000,9:59:59.000 wenn man so ein Link sich geholt hat von[br]den Behörden dort und ein stiller 9:59:59.000,9:59:59.000 freundlicher nicht blöder Mensch wie[br]gesagt, ich glaube er wollte ein bisschen 9:59:59.000,9:59:59.000 mehr vom Leben, das wird er jetzt nicht[br]mehr kriegen. Und er ist auch deswegen ist 9:59:59.000,9:59:59.000 er hier in der Sammlung ein Beispiel dafür[br]dass die Täter Fehler machen. Auch das 9:59:59.000,9:59:59.000 finde ich wichtig, die sind nicht[br]unfehlbar. In dem Fall hier war das FBI in 9:59:59.000,9:59:59.000 der Lage, wieder das FBI, die sind sehr[br]aktiv seit einigen Jahren. Die Stufen 9:59:59.000,9:59:59.000 Ransomware auf der Höhe von Terror ein in[br]was ihre Ermittlung angeht inzwischen, nur 9:59:59.000,9:59:59.000 so zur Wichtigkeit, das FBI hat den Server[br]geknackt auf dem die Networker Leute mit 9:59:59.000,9:59:59.000 ihren Affiliates geredet haben, neh die[br]müssen ja reden miteinander, ich war hier, 9:59:59.000,9:59:59.000 ich war da und diese Affiliates die müssen[br]belegen dass sie irgendwo eingebrochen 9:59:59.000,9:59:59.000 sind, dazu laden Sie Screenshots hoch der[br]kopierten Daten, und in einem dieser 9:59:59.000,9:59:59.000 Screenshots waren Metadaten Screenshot[br]2.png enthielt Metadaten und in Metadaten 9:59:59.000,9:59:59.000 stand Sebastian Vahoun. Passiert den[br]besten von uns. Außerdem nutzte er für die 9:59:59.000,9:59:59.000 Kommunikation mit diesem Server zwar eine[br]anonyme E-Mailadresse, war aber zu faul 9:59:59.000,9:59:59.000 die auch anonym abzurufen, sondern sendete[br]sich die E-Mails weiter an seine private 9:59:59.000,9:59:59.000 Mailadresse[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *viele Lachen*.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Über die auch seine amazon Bestellung[br]liefen, so dass das FBI sofort auch seiner 9:59:59.000,9:59:59.000 Adresse hatte.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *einzelnes Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 Passiert im besten. Ja also die müssen[br]miteinander reden, ganz kurz, die brauchen 9:59:59.000,9:59:59.000 irgendeine Infrastruktur um zu[br]kommunizieren und das meist der Ort wo sie 9:59:59.000,9:59:59.000 angegriffen werden von Ermittlern.[br]Übrigens Sebastian Vahoug sitzt jetzt für 9:59:59.000,9:59:59.000 20 Jahre in den USA, danach dann noch drei[br]Jahre Bewährung und ich glaube dann muss 9:59:59.000,9:59:59.000 er noch die Freiheitsstrafe absetzen, die[br]er in Kanada noch egal länger. So, also 9:59:59.000,9:59:59.000 diese Leute bilden Banden, die Sourcen[br]aus, die sind relativ organisiert und es 9:59:59.000,9:59:59.000 sind ganz normale Menschen, ja, keine[br]Götter, keine Superhacker. Das sind 9:59:59.000,9:59:59.000 normale Menschen die Fehler machen. Und[br]diese Arbeitsteilung dieser Band geht 9:59:59.000,9:59:59.000 sogar noch viel weiter, hier seht ihr die[br]unterste Ebene, hier seht ihr den Level 1 9:59:59.000,9:59:59.000 Support. Das ist Alla Witte, eine, ich[br]bedauere sie fast, inzwischen. Eine Frau, 9:59:59.000,9:59:59.000 die in der Sowjetunion geboren wurde, sie[br]hat dort mal Programmiererin für 9:59:59.000,9:59:59.000 Funktechnik gelernt, sie ist inzwischen 57[br]Jahre alt, hat ein bisschen Pech gehabt im 9:59:59.000,9:59:59.000 Leben, verwitwet, hat mit Scientology zu[br]tun egal. Jedenfalls sie schlug sich so 9:59:59.000,9:59:59.000 durch mit dem Programmieren von Websites,[br]lebte in Surinam zu dem Zeitpunkt und 9:59:59.000,9:59:59.000 programmierte auch für kleine Unternehmen[br]so ein bisschen HTML und solche Dinge und 9:59:59.000,9:59:59.000 dann bekam sie ein Jobangebot 2017 von[br]einer russischen Softwarefirma, so sagt 9:59:59.000,9:59:59.000 sie es. Ja mit der konnten wir auch reden.[br]Dann gab's so ein Einstellungstest online, 9:59:59.000,9:59:59.000 da musste sie so ein paar technische[br]Fragen beantworten, den hat sie bestanden 9:59:59.000,9:59:59.000 und dann hat man ihren Job angeboten, hat[br]gesagt, pass auf 800 € im Monat kannst du 9:59:59.000,9:59:59.000 von uns haben und dafür machst du hier so[br]Entwicklertätigkeiten. Kam ein kleines 9:59:59.000,9:59:59.000 Team mit neuen Leuten und die kannten sich[br]alle nur über Java. Und ihr Job war es 9:59:59.000,9:59:59.000 dann, und da fingen sie dann doch an[br]drüber nachzudenken, ob das das richtige 9:59:59.000,9:59:59.000 ist, sowas zu programmieren, nämlich[br]Webseiten mit der Benutzeroberfläche auf 9:59:59.000,9:59:59.000 der dann steht "ihr Computer ist[br]infiziert". *Kai lächelt* Entschuldigung 9:59:59.000,9:59:59.000 das wieder eine von dolies Erfindung, aber[br]ich fand sie sehr hübsch. Und die 9:59:59.000,9:59:59.000 Softwarefma, für die sie dort gearbeitet[br]hat war Conti, eine der größten und 9:59:59.000,9:59:59.000 organisiertesten Ransomware Banden die die[br]Welt bislang gesehen hat , oder die größte 9:59:59.000,9:59:59.000 und organisierteste, und ja Alla Witte war[br]wie gesagt relativ unbedarft am Anfang, 9:59:59.000,9:59:59.000 das glaube ich ihr sogar, weil bei Jabber[br]hat sie sich noch angemeldet mit ihrem 9:59:59.000,9:59:59.000 echten Namen Alla Witte, also den Jabber[br]Server wo die Gang miteinander 9:59:59.000,9:59:59.000 kommunizierte und der dann später geliegt[br]wurde durch ein ROG Mitglied dieser Bande, 9:59:59.000,9:59:59.000 so dass ihr Name relativ schnell klar war[br]deswegen, war sie auch die erste die 9:59:59.000,9:59:59.000 Probleme bekam. Also sie war in Surinam[br]und eines Tages stand die Polizei von 9:59:59.000,9:59:59.000 Surinam vor ihrer Tür und sagte, sorry wir[br]nehmen Sie jetzt mit, ihr Visum ist 9:59:59.000,9:59:59.000 abgelaufen und ihre Computer und so[br]sammeln wir auch alles ein und wir 9:59:59.000,9:59:59.000 schicken sie zurück nach Lettland, wo sie[br]herkam. Sie sind hier nicht mehr 9:59:59.000,9:59:59.000 erwünscht, ja. Der Flug landete dann[br]seltsamerweise in Miami zwischen, da stand 9:59:59.000,9:59:59.000 dann wieder das FBI und nahm sie mit in[br]ein Gefängnis nach Ohio und da blieb sie 9:59:59.000,9:59:59.000 relativ lange, weil das FBI glaubte okay[br]wir haben hier sozusagen die Hacker Queen, 9:59:59.000,9:59:59.000 die kann uns was über Konti erzählen, das[br]war vor dem leack. Nah, das FBI hat sie 9:59:59.000,9:59:59.000 vorer gefunden und hoffte, sie kann ihn[br]viel verraten, aber sie kannte echt nur 9:59:59.000,9:59:59.000 die neun Leute aus ihrem Team, das waren[br]alles kleine freischaffende 9:59:59.000,9:59:59.000 Softwareentwickler, System Admins , die[br]sich ein bisschen was dazu verdienen 9:59:59.000,9:59:59.000 wollten. Sie konnte ihnen nicht viel[br]sagen, deswegen saß sie zwei Jahre dort im 9:59:59.000,9:59:59.000 Knast ohne Prozess. Und es passiert[br]einfach nichts, in der Zwischenzeit kam 9:59:59.000,9:59:59.000 der Konti Leack und alle Welter erfuhr[br]über diese Gang. Inzwischen ist sie 9:59:59.000,9:59:59.000 freigelassen worden aus den USA, ist[br]wieder zurück jetzt wieder in Lettland in 9:59:59.000,9:59:59.000 Riga. Die meisten Vorwürfe wurden fallen[br]gelassen, außer einer Verabredung zum 9:59:59.000,9:59:59.000 Computerbetrug, aber das also es reichtte[br]nicht um sie weiter festzuhalten, wie 9:59:59.000,9:59:59.000 gesagt sie lebt in Riga, sie tut mir[br]wirklich etwas leid. Inzwischen geht sie 9:59:59.000,9:59:59.000 putzen. Das ist, ihr seht hier so die[br]Struktur, von Konti das ist die unterste 9:59:59.000,9:59:59.000 Ebene dieser wirklich organisierten Gang[br]und wir reden hier über die die Profis der 9:59:59.000,9:59:59.000 Branche. Die hatten alles, die hatten[br]Chefs, die sich darum kümmerten Büros 9:59:59.000,9:59:59.000 anzumieten in denen die Leute wirklich von[br]8 bis 5 gearbeitet haben, ja, die kamen 9:59:59.000,9:59:59.000 da. Die wurden über Foren angeheuert und[br]für day Jobs und die waren wie eine Firma 9:59:59.000,9:59:59.000 organisiert. Ich zeige euch gleich noch[br]zwei Mitglieder davon aus dem 9:59:59.000,9:59:59.000 Führungsebene. Bis heute sind nicht alle[br]identifiziert, vor Allen nicht der Kopf 9:59:59.000,9:59:59.000 der Bande Stern, der ist nur unter diesem[br]Händel bekannt, ich soweit ich weiß weiß 9:59:59.000,9:59:59.000 bis heute niemand wer das ist, das ist ein[br]Zeichen dafür dass es schon auch sehr 9:59:59.000,9:59:59.000 fähige kriminelle in diesem Bereich gibt[br]aber es sind Wenige. Und wenn ihr so wie 9:59:59.000,9:59:59.000 Linus mit diesen Leuten zu tun habt, habt[br]ihr nicht mit diesen Leuten zu tun 9:59:59.000,9:59:59.000 niemals, also die machen sich die Finger[br]da nicht mehr mit schmutzig, sondern es 9:59:59.000,9:59:59.000 ist wie gesagt der Level 1 Support, aber[br]es ist auch ein Beispiel, ja diese Banden 9:59:59.000,9:59:59.000 machen Fehler, aber ja Sie können auch gar[br]nicht so schlecht sein, wenn man Pech hat. 9:59:59.000,9:59:59.000 Noch ein paar Gesichter, hier ist einer[br]der Manager Maxim Galochkin, hat ein paar 9:59:59.000,9:59:59.000 Softwarefmen, ist pleite gegangen, kommt[br]aus Abakan in Russland, lebt da glaube ich 9:59:59.000,9:59:59.000 noch immer, soweit zum seine Social Media[br]Profile das hergeben. Der war zuständig 9:59:59.000,9:59:59.000 dafür, dass also die haben alle[br]Virencanner, die es auf dem Markt gab, 9:59:59.000,9:59:59.000 sich so besorgt und er musste testen ob[br]ihre Schadsoftware da durchgeht idR 9:59:59.000,9:59:59.000 Evasion heißt das habe ich mir sagen...[br]L: idR Evasion, ja. 9:59:59.000,9:59:59.000 K: Der baut auch den Kryptolocker, also[br]die Daten verschlüsselt, also sein Team. 9:59:59.000,9:59:59.000 Er war Teamleiter und Manager, ja Maxim[br]wandert gern, der hält nichts von 9:59:59.000,9:59:59.000 Covidimpfung, ist ein großer Putin Fan und[br]Verteidiger des Ukrainekrieges oder das 9:59:59.000,9:59:59.000 Kriegs des Angriffs auf gegen die Ukraine[br]und Anhänger irgendeines Komisischen 9:59:59.000,9:59:59.000 Gurus. Letztlich ein ganz normaler Mensch.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *viele Lachen*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 ist in Abwesenheit angeklagt in den USA,[br]weil er Teil von Konti sein soll. Hier ist 9:59:59.000,9:59:59.000 noch einer eine Ebene tiefer ein[br]Teamleiter Oleg Kugarov aus Tolyati bei 9:59:59.000,9:59:59.000 Samara, 50 Jahre alt. Ich finde den[br]interessant, den man, weil also er nennt 9:59:59.000,9:59:59.000 sich selber reverse engineer und mail[br]Analyst und scheint schon länger in der 9:59:59.000,9:59:59.000 Branche zu sein, also länger als Andere,[br]viele Andere kommen wirklich aus legalen 9:59:59.000,9:59:59.000 Bereichen und suchen verzweifelt einen[br]Job. Viele können auch kein Englisch und 9:59:59.000,9:59:59.000 finden in englischsprachigen Industrien da[br]ja keinen Job, also man könnte ja auch 9:59:59.000,9:59:59.000 remote arbeiten und finden kein Job, sie[br]können halt nur russisch und gehen dann zu 9:59:59.000,9:59:59.000 einer russischen Softwarefirma. Ja Oleg[br]verkauft z.B Zero days im Darknet, 9:59:59.000,9:59:59.000 zumindest habe ich so ein paar Hinweise[br]darauf gefunden und, was ich auch 9:59:59.000,9:59:59.000 interessant finde, der hat sich schon 2014[br]bei hacking Team beworben. Hacking Team 9:59:59.000,9:59:59.000 war hier beim Kongress schon ein zwei mal[br]Thema. Das war eine recht berüchtigte 9:59:59.000,9:59:59.000 Firma die Späsoftware herstellte und von[br]Finineas Fischer aufgebohrt und aus dem 9:59:59.000,9:59:59.000 Wasser geblasen wurde, und für Konti hat[br]er Leute angeworben und geführt als 9:59:59.000,9:59:59.000 Teamleiter ja. Er grillt gern, er hat ein[br]shibaainu, Namen Simba, ein kleines 9:59:59.000,9:59:59.000 Häuschen, man sieht ih da in seiner[br]Straße. Wie ernst diese Gangs sind, sieht 9:59:59.000,9:59:59.000 man unter anderem daran, dass die USA[br]bereits sind 10 Millionen Dollar zu zahlen 9:59:59.000,9:59:59.000 für Hinweise, auf die noch nicht bekannten[br]Mitglieder. Das ist schon ein Haufen Geld 9:59:59.000,9:59:59.000 und es heißt dass diese Branche bis heute,[br]die ganze Welt in Atem hält und kaum einen 9:59:59.000,9:59:59.000 interessiert es. Und wie gesagt ich finde[br]das immer noch seltsam. Noch dazu also 9:59:59.000,9:59:59.000 Konti hat sich nicht hat sich selber[br]zerlegt, neh. Das war nicht Ermittler, das 9:59:59.000,9:59:59.000 hat nicht geholfen Alla Witte da[br]einzusperren, sondern die haben sich 9:59:59.000,9:59:59.000 selber ruiniert. Und ja Linus wird jetzt[br]noch mal einen kurzen Vortrag über die 9:59:59.000,9:59:59.000 Lehren daraus halten.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Linus lacht*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 L: Also was ich noch mal sehr wichtig[br]finde, ist, ihr seht die leben dann 9:59:59.000,9:59:59.000 verhältnismäßig entspannt ja? Also wenn[br]man überlegt dass Konti war mal, blackhead 9:59:59.000,9:59:59.000 wurden irgendwie so um die also[br]üblicherweise werden immer so Einnahmen im 9:59:59.000,9:59:59.000 im 100 Millionen Bereich kriegen die hin[br]bis sie bis sie hochgehen ja. So ungefähr 9:59:59.000,9:59:59.000 das ist so die Region, wenn man sich das[br]anschaut. Und so viel Geld scheinen die 9:59:59.000,9:59:59.000 Leute an der Spitze ja auch nicht zu[br]haben, ich denke Kriminalität lohnt sich 9:59:59.000,9:59:59.000 vor allem wegen der Nebenkosten nicht, ja?[br]Also du hast, wenn du wenn dieses Geld 9:59:59.000,9:59:59.000 übergeht auf das auf das Wallet geht,[br]dauert wenige Minuten bis es von dort 9:59:59.000,9:59:59.000 verteilt wird auf viele tausend einzelne[br]wallets, also findet so ein 9:59:59.000,9:59:59.000 Geldwäschevorgang statt. Früher gerne von[br]Tornado Cash gemacht, heute vermutlich von 9:59:59.000,9:59:59.000 Anderen, weil der Betreiber von Tornado[br]Cash ja im Knast sitzt und keine Zugriff 9:59:59.000,9:59:59.000 mehr auf seine Systeme hat. Die müssen[br]sich in ihrer Interaktion sicher sein dass 9:59:59.000,9:59:59.000 es Menschen gibt die lieber 10 Millionen[br]haben können, wenn sie verraten wer Sie 9:59:59.000,9:59:59.000 sind, und das führt dazu, dass du auch[br]echt extrem, sag ich mal dein 9:59:59.000,9:59:59.000 Freundeskreis wird sehr teuer, ja, weil du[br]sicherstellen musst, dass jeder von denen 9:59:59.000,9:59:59.000 keinen Grund findet sich die 10 Millionen[br]zu holen. Also es ist eigentlich insgesamt 9:59:59.000,9:59:59.000 dann doch glaube ich kein Lebensstil der[br]sich empfiehlt, das nur noch mal am Rande. 9:59:59.000,9:59:59.000 Kommen wir zum Fazit. Wir wissen, wie die[br]Angreifer vorgehen und wie man sich 9:59:59.000,9:59:59.000 schützt von Conti. Wir haben es nicht in[br]dem Leak, die haben ein Manual die haben 9:59:59.000,9:59:59.000 halt Probleme gehabt Nachwuchs zu finden,[br]haben sie ein Buch geschrieben so ein 9:59:59.000,9:59:59.000 kleines PDF, wie man jetzt musst du da[br]klicken und dann musst Du hier ne Blatt 9:59:59.000,9:59:59.000 hauen und dann guckst du da und dann[br]kürzester Weg zum Domänenadmin, da musst 9:59:59.000,9:59:59.000 du das machen, da musst Du hier Mimicuts[br]und das ist alles drin, ja? Die Angreifer, 9:59:59.000,9:59:59.000 also du brauchst sowieso ein[br]Wiederherstellungskonzept, solange wir den 9:59:59.000,9:59:59.000 dieses diesen Sumpf nicht trocken legen,[br]dass wir gezwungen sind zu zahlen, werden 9:59:59.000,9:59:59.000 die das weiter tun, da hilft auch kein[br]Verbot der Zahlungen. Die Angreifer 9:59:59.000,9:59:59.000 verlieren aber auch alles, wenn Du nicht[br]zahlst. Also wenn du in der unglücklichen 9:59:59.000,9:59:59.000 Situation bist, in der du niemals sein[br]willst, stell ihn glaubhaft in Aussicht, 9:59:59.000,9:59:59.000 dass sie gar nichts bekommen, das ist der[br]einzige Weg den Preis nach unten zu 9:59:59.000,9:59:59.000 drücken. Sie wollen Druck erzeugen, beuge[br]dich dem Druck nicht und nehm ihn die 9:59:59.000,9:59:59.000 Druckmittel. Also wann immer die sagen,[br]hier Tage und so weiter, sagst du einfach 9:59:59.000,9:59:59.000 moment mal, neh, also mach mal ein[br]bisschen länger, also ehrlich gesagt keine 9:59:59.000,9:59:59.000 Ahnung, also auf Zeit zu spielen, macht[br]bei Ihnen den Druck, dass sie das Geld 9:59:59.000,9:59:59.000 nicht bekommen. Sie müssen einen Ruf[br]pflegen. Dich zu betrügen schidet ihn also 9:59:59.000,9:59:59.000 mehr, als es ihnen selbst nützt, ja? Also[br]es wäre für die, ist es günstiger einfach 9:59:59.000,9:59:59.000 den nächsten zu hacken und ihr Glück da zu[br]probieren, als dich noch mal zu hacken. 9:59:59.000,9:59:59.000 Das heißt aber nicht, dass es Andere nicht[br]tun. Ja also bitte bitte bitte, ihr müsst 9:59:59.000,9:59:59.000 euch so oder so schützen! Die Liste der[br]extrahierten Dateien gibt's kostenlos, die 9:59:59.000,9:59:59.000 brauchst du für die DSGVO Meldung, schadet[br]nicht sich die abzuholen. Auch wenn du 9:59:59.000,9:59:59.000 zahlst, hast du hohe Folgekosten, du musst[br]dich sowieso noch schützen und du du musst 9:59:59.000,9:59:59.000 dich auch vergewissern, dass du wirklich[br]ein Business Case hast. Meistens hast du 9:59:59.000,9:59:59.000 den nicht, deswegen drücken die ja so bei[br]der Zeit, weil sie wissen, je länger du 9:59:59.000,9:59:59.000 über die Situation nachdenkst, umso mehr[br]Möglichkeiten dich da selber rauszuheben 9:59:59.000,9:59:59.000 findest du und umso besser geht's dir und[br]so wahrscheinlicher ist es, dass sie ihr 9:59:59.000,9:59:59.000 Geld nicht kriegen. Die Angreifer sind[br]nicht unfehlbar und trotzdem brauchst du 9:59:59.000,9:59:59.000 ein Wiederherstellungskonzept, so oder so[br]und zwar jetzt. Übrigens zum Thema 9:59:59.000,9:59:59.000 unfehlbar, hat mein Kollege Tobias heute[br]ne gestern einen Vortrag gehalten, der hat 9:59:59.000,9:59:59.000 den Titel unlocked recovering Files taken[br]hostage by Ransomware, weil wir als 9:59:59.000,9:59:59.000 kleiner Nebenaktivität unserer Aktivitäten[br]in diesem Bereich noch ein Decrypter 9:59:59.000,9:59:59.000 veröffentlichen. Dieser Talk ist Teil[br]einer Reihe, sie begann mit Hirnehaken, 9:59:59.000,9:59:59.000 sie ging weiter mit Disclosure Hack und[br]hackback von Kantorkel Dominik und mir 9:59:59.000,9:59:59.000 beim Camp. Sie hatte einen Höhepunkt[br]gestern mit Unlocked! dem Release des 9:59:59.000,9:59:59.000 decrypters für blackbuster von Tobias und[br]sie findet hoffentlich hier Ende mit 9:59:59.000,9:59:59.000 hierirner Hacken hackback Edition von Kai[br]Biermann und mir, weil damit sollte jetzt 9:59:59.000,9:59:59.000 zum Thema hoffentlich alles gesagt sein,[br]vielen Dank. 9:59:59.000,9:59:59.000 *Applaus*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *Musik*[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 K: Danke![br]Herald: Wunderbar, super ja vielen Dank an 9:59:59.000,9:59:59.000 Linus und Kai.[br][Filler, please remove in amara] 9:59:59.000,9:59:59.000 *37c3 Nachspannmusik*[br][Filler, please remove in amara]