1 99:59:59,999 --> 99:59:59,999 *37C3 Anspannungsmusik* [Filler, please remove in amara] 2 99:59:59,999 --> 99:59:59,999 Engel: Ok dann freue ich mich euch alle sehr herzlich zu hirnehacken der hackback 3 99:59:59,999 --> 99:59:59,999 Edition begrüßen zu dürfen. Heute unsere zwei Vortragenden Linus Neumann und Kai 4 99:59:59,999 --> 99:59:59,999 Biermann, beides bekannte Gesichter hier. Linus bekannt als IT security Consultant 5 99:59:59,999 --> 99:59:59,999 und hatte das zweifelhafte Vergnügen schon mit unterschiedlichsten Ransomware Gangs 6 99:59:59,999 --> 99:59:59,999 verhandeln zu dürfen oder zu müssen. Kai Biermann ist Investigativjournalist und 7 99:59:59,999 --> 99:59:59,999 hat unter anderem Mitglieder der Ransomware Gang Conti entdeckt aufgedeckt 8 99:59:59,999 --> 99:59:59,999 und heute werden sie uns ein bisschen was dazu erzählen wie man so spieltheoretisch 9 99:59:59,999 --> 99:59:59,999 das Ganze verhandeln mit Ransomware Hackern angehen kann und was da die 10 99:59:59,999 --> 99:59:59,999 spannenden Strategien sind. Bitte ein ganz herzliches Willkommen für Linus und Kai! 11 99:59:59,999 --> 99:59:59,999 *applaus* [Filler, please remove in amara] 12 99:59:59,999 --> 99:59:59,999 Kai: Hallo Kongress eine Ehre hier zu sein! Danke euch das der Linus der wurde 13 99:59:59,999 --> 99:59:59,999 schon kurz vorgestellt, der mag gern reiten schwimmen und hacken so viel zu 14 99:59:59,999 --> 99:59:59,999 seinen Hobbys. Er wird öfters mal angerufen wenn irgendwo eine Firma 15 99:59:59,999 --> 99:59:59,999 gecybert wird und deswegen steht er hier. Linus: Das ist der Kai, der hat keine 16 99:59:59,999 --> 99:59:59,999 Hobbys die er öffentlich nennen möchte. *Lachen* Und ruft gerne mal an wenn jemand 17 99:59:59,999 --> 99:59:59,999 gecybert wird weil er im Investigativressort von Zeit und Zeit 18 99:59:59,999 --> 99:59:59,999 online arbeitet. Und wenn dieses Telefon so bei mir klingelt ist eigentlich der 19 99:59:59,999 --> 99:59:59,999 erste Satz immer so: Linus, du musst sofort helfen, wir werden erpresst! 20 99:59:59,999 --> 99:59:59,999 *gemurmel* und und so als Einstieg möchte ich mal einen Fall von vor gar nicht allzu 21 99:59:59,999 --> 99:59:59,999 langer Zeit schildern, wo ein Hacker oder eine Hackerin von einer eigenen Domain 22 99:59:59,999 --> 99:59:59,999 eine E-Mail geschrieben hat. "Ich wurde angeheuert um Ihre Webseite zu 23 99:59:59,999 --> 99:59:59,999 hacken, ich habe Zugriff auf alle Kundendaten und mein Kunde also der der 24 99:59:59,999 --> 99:59:59,999 mich beauftragt hat zahlt zu wenig deswegen können Sie jetzt Ihre Daten 25 99:59:59,999 --> 99:59:59,999 zurückkaufen und ich sage in die Schwachstelle." 26 99:59:59,999 --> 99:59:59,999 *wachsendes Lachen* [Filler, please remove in amara] 27 99:59:59,999 --> 99:59:59,999 Linus: Klang schon mal jetzt nicht so auf Anhieb überzeugend ja? Und dann auch was 28 99:59:59,999 --> 99:59:59,999 ich sehr schön finde du so unmittelbare Selbstbeschuldigung: "Mir ist klar dass es 29 99:59:59,999 --> 99:59:59,999 ihre Daten sind und ich der Kriminelle bin der sich Zugang zu ihnen verschafft hat, 30 99:59:59,999 --> 99:59:59,999 werden sie jetzt aber nicht emotional, stellen Sie sich einfach nur mal den 31 99:59:59,999 --> 99:59:59,999 Schaden vor wenn ich veröffentliche." [Filler, please remove in amara] 32 99:59:59,999 --> 99:59:59,999 *Lachen* [Filler, please remove in amara] 33 99:59:59,999 --> 99:59:59,999 Linus: Ja und ich habe ja schon gesagt das war ein Erpresser ja und er hat dann seine 34 99:59:59,999 --> 99:59:59,999 Forderung uns mitgeteilt: "ich will 2000€". 35 99:59:59,999 --> 99:59:59,999 *Lachen* [Filler, please remove in amara] 36 99:59:59,999 --> 99:59:59,999 L: Ja wir haben dann halt die SQL Injection gefixt und ich sag mal so mit 37 99:59:59,999 --> 99:59:59,999 ein bisschen mehr Forderung hätten wir i wahrscheinlich auch ernst genommen, haben 38 99:59:59,999 --> 99:59:59,999 uns dann aber entschieden vielleicht erstmal nicht zu antworten, worauf hin er 39 99:59:59,999 --> 99:59:59,999 sagte "Ich muss dem Kunden jetzt in 24 Stunden antworten und Sie müssen sich 40 99:59:59,999 --> 99:59:59,999 jetzt entscheiden, das ist kein Blöff." [Filler, please remove in amara] 41 99:59:59,999 --> 99:59:59,999 *laute Lachen* [Filler, please remove in amara] 42 99:59:59,999 --> 99:59:59,999 Da haben wir erstmal ein Tee getrunken [Filler, please remove in amara] 43 99:59:59,999 --> 99:59:59,999 *lachen* [Filler, please remove in amara] 44 99:59:59,999 --> 99:59:59,999 und dann schrieb er wieder "ich gebe ihn noch mal 24 Stunden 45 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 46 99:59:59,999 --> 99:59:59,999 aber aber dann aber dann!" L: Ja doch ist ein Blöff ja haben also 47 99:59:59,999 --> 99:59:59,999 erstmal nichts gemacht und dann schrieb er: "also ich gebe ihnen jetzt noch ein 48 99:59:59,999 --> 99:59:59,999 letztes Mal 24 Stunden dann aber wirklich! und dann wurden die Drohungen "sagt er," 49 99:59:59,999 --> 99:59:59,999 und sie haben können sich gar nicht vorstellen, was jetzt noch alles passiert 50 99:59:59,999 --> 99:59:59,999 und ja." So der Kunde wurde auch, was wenn er noch irgendwas Anderes hat und wir so 51 99:59:59,999 --> 99:59:59,999 na ja, wenn er noch irgendwas Anderes könnte dann wird er wahrscheinlich nicht 52 99:59:59,999 --> 99:59:59,999 2000€ fordern. Und wir haben uns aber gewundert, was ist das denn für einer? Ja 53 99:59:59,999 --> 99:59:59,999 also was ist das für ein Typ der so richtig wohlformulierte lange E-Mails 54 99:59:59,999 --> 99:59:59,999 schreibt ja? Und uns war irgendwie nicht so klar, es war wohlformulierte Sprache, 55 99:59:59,999 --> 99:59:59,999 ich sag jetzt nicht welche, aber sie war schön formuliert und wir hatten zwei 56 99:59:59,999 --> 99:59:59,999 Hypothesen. Die eine war dass ist irgend so ein Abiturient der von zu Hause im 57 99:59:59,999 --> 99:59:59,999 Kinderzimmer irgendwie meint er wäre jetzt der große Hacker, weil das könnte erklären 58 99:59:59,999 --> 99:59:59,999 dass er 2000€ für viel Geld hält *lachen* oder ist Irgendjemand mit Chat GPT in 59 99:59:59,999 --> 99:59:59,999 Indien oder so für den das potenziell auch viel Geld wäre also haben wir uns überlegt 60 99:59:59,999 --> 99:59:59,999 na ja lass uns doch mal rausfinden. Ja haben uns entschieden wir antworten doch 61 99:59:59,999 --> 99:59:59,999 mal und haben da gesagt: L: Also pass auf du solltest deine Server 62 99:59:59,999 --> 99:59:59,999 echt nicht in der EU hosten, weil *Gelächter* die Polizeibehörden hier 63 99:59:59,999 --> 99:59:59,999 arbeiten zusammen ja? Und diese Domain die du da hast die solltest du echt nicht mit 64 99:59:59,999 --> 99:59:59,999 der Kreditkarte zahlen. [Filler, please remove in amara] 65 99:59:59,999 --> 99:59:59,999 *Linus lacht, viele Lachen* [Filler, please remove in amara] 66 99:59:59,999 --> 99:59:59,999 Und wenn du dein SQL Map Angriffe versuch das doch mal über TOR wenigstens statt von 67 99:59:59,999 --> 99:59:59,999 deinem anderen vServer aus, ja? Kam erstmal nichts. *einige lachen* und dann 68 99:59:59,999 --> 99:59:59,999 hab ich gesagt: L: Pass auf in 24 Stunden 69 99:59:59,999 --> 99:59:59,999 *sehr viele Lachen, Applaus* [Filler, please remove in amara] 70 99:59:59,999 --> 99:59:59,999 geht unser Bericht ans LKA die Datenschutzmeldung haben wir ohnehin schon 71 99:59:59,999 --> 99:59:59,999 gemacht, was soll schon noch kommen ja? Haben wir ihm Angebot gemacht haben 72 99:59:59,999 --> 99:59:59,999 gesagt: L: Pass auf wenn du deine Daten löscht 73 99:59:59,999 --> 99:59:59,999 bekommst du McDonald's Gutschein [Filler, please remove in amara] 74 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 75 99:59:59,999 --> 99:59:59,999 über 100€ und dann kam eben so, "Eh, meine offshore Server sind verschlüsselt! L: Wie 76 99:59:59,999 --> 99:59:59,999 so ... was für Offshore Server? was für Verschlüsselung? 77 99:59:59,999 --> 99:59:59,999 "Ich will 2000€ sie haben 24 Stunden *einige lachen* sonst ..." 78 99:59:59,999 --> 99:59:59,999 L: War wieder die große Sorge, was macht er denn jetzt noch ne haben wir gewartet 79 99:59:59,999 --> 99:59:59,999 und dann kam dedos *einzelne Gelächter* dann haben wir cloudflare dazwischen 80 99:59:59,999 --> 99:59:59,999 geschaltet und dann waren wir fertig ja [Filler, please remove in amara] 81 99:59:59,999 --> 99:59:59,999 *lachen* [Filler, please remove in amara] 82 99:59:59,999 --> 99:59:59,999 weil wir haben natürlich aus zwei Gründen hier nicht bezahlt: 1. die Forderung war 83 99:59:59,999 --> 99:59:59,999 viel zu gering, das Geld wär viel zu schnell weg gewesen und der wäre wieder 84 99:59:59,999 --> 99:59:59,999 gekommen und hätte mehr gewollt und ja ist auch nichts weiter passiert. Aber 85 99:59:59,999 --> 99:59:59,999 natürlich sind nicht alle Diskussionen oder alle solche Fälle wenn man mit einem 86 99:59:59,999 --> 99:59:59,999 verwirten Einzeltäter zu tun hat so glimpflig und so einfach. 87 99:59:59,999 --> 99:59:59,999 Kai: Und vor all so lustig. Das hier ist einer, das ist so ein Einzeltäter, der hat 88 99:59:59,999 --> 99:59:59,999 mutmaßlich muss ich an dieser Stelle sagen, weil er steht gerade erst vor 89 99:59:59,999 --> 99:59:59,999 Gericht und ist noch nicht verurteilt und er bestreitet die Tat obwohl es ziemlich 90 99:59:59,999 --> 99:59:59,999 gute Indizien gibt, die ihr gleich sehen werdet. Das ist so ein Einzeltäter der hat 91 99:59:59,999 --> 99:59:59,999 in Finnland eine Firma erpresst wastamo die Therapiezentren betreibt, 92 99:59:59,999 --> 99:59:59,999 psychiatrische Therapiezentren und hat sämtliche therapeutischen Unterlagen 93 99:59:59,999 --> 99:59:59,999 gecybert kopiert. Der hat sich alle Protokolle aus Therapiesitzungen alle 94 99:59:59,999 --> 99:59:59,999 Diagnosen von vielen vielen finnischen Menschen von deren Server geholt und hat 95 99:59:59,999 --> 99:59:59,999 anschließend gesagt "ich will nicht 2000€ sondern 40 Bitcoin". Das waren damals ist 96 99:59:59,999 --> 99:59:59,999 schon zwei Jahre her ca 180 000€ und die Firma hat nicht reagiert. Die hat Tee 97 99:59:59,999 --> 99:59:59,999 getrunken und daraufhin hat er den Patienten und Patientinnen eine Mail 98 99:59:59,999 --> 99:59:59,999 geschickt die Daten hat er ja und hat gesagt ok, die Firma zahlt nicht dann will 99 99:59:59,999 --> 99:59:59,999 ich von euch Geld 200€ in Bitcoin damit eure Therapieunterlagen nicht im Netz 100 99:59:59,999 --> 99:59:59,999 veröffentlicht werden. Wer macht denn sowas? Hier ist so eine Selbstbeschreibung 101 99:59:59,999 --> 99:59:59,999 von ihm könnt ihr mal lesen wenn ihr Zeit habt. Ein lustiger junger Mann 25 ist er 102 99:59:59,999 --> 99:59:59,999 inzwischen er glaubt er ist ein großer Philanthrop und hat mit beim Umgang mit 103 99:59:59,999 --> 99:59:59,999 Tieren schon viel übers Leben gelernt vor allem hat er früh schon Ärger gemacht, der 104 99:59:59,999 --> 99:59:59,999 hat mit 15 seine erste Verurteilung kassiert, damals war er an Didos Attacken 105 99:59:59,999 --> 99:59:59,999 beteiligt und an einem Hobby namens swatting, ich weiß nicht ob schon mal 106 99:59:59,999 --> 99:59:59,999 gehört habt. Das ist wenn man Leuten die Polizei nach Hause schickt ohne Grund, 107 99:59:59,999 --> 99:59:59,999 kann sehr ärgerlich sein. Zurück zum Fall, der hat in Finnland für ziemliche 108 99:59:59,999 --> 99:59:59,999 Aufregung gesorgt, das ist die damalige finnische Innenministerin, die fand diesen 109 99:59:59,999 --> 99:59:59,999 data breach ein ziemlich shocking Act und die Formulierung ist interessant, weil es 110 99:59:59,999 --> 99:59:59,999 mehr ein Fall von Data breach ist als ein Fall von hacking, denn und jetzt kommen 111 99:59:59,999 --> 99:59:59,999 wir zu einem 2. wichtigen Punkt in unserem Talk. Die Betroffenen sind oft nicht so 112 99:59:59,999 --> 99:59:59,999 ganz unschuldig an dem ganzen Problem. Der Server auf dem alle Therapieunterlagen von 113 99:59:59,999 --> 99:59:59,999 allen finnischen Patienten und Patienttinlagen war erstens eine 114 99:59:59,999 --> 99:59:59,999 selbstgebaute me SQL Datenbank die hingt zweitens im Netz war drittens über Google 115 99:59:59,999 --> 99:59:59,999 zu finden. Und nur durch ein Standardsystem Admin Passwort geschützt. 116 99:59:59,999 --> 99:59:59,999 *gemurmel* Auslieferungszustand sozusagen. Wer macht sowas? Er das ist der CEO dieser 117 99:59:59,999 --> 99:59:59,999 Firma Vastaamo der war ganz betroffen darüber dass jemand seine Firma ruiniert 118 99:59:59,999 --> 99:59:59,999 hat, die ist daraufhin nämlich pleite gegangen und wird bis heute verklagt 119 99:59:59,999 --> 99:59:59,999 dafür. Der ist nicht betroffen darüber dass viele viele finnische Menschen 120 99:59:59,999 --> 99:59:59,999 erpresst wurden sondern darüber dass eine schöne Firma kaputt gegangen ist. Noch ein 121 99:59:59,999 --> 99:59:59,999 Fakt zu den Patientendaten den ich sehr interessant finde, sie waren nicht 122 99:59:59,999 --> 99:59:59,999 anonymisiert und nicht verschlüsselt. Sollte man nicht machen wenn man so heikle 123 99:59:59,999 --> 99:59:59,999 Gesundheitsdaten hat und die Firma hat auch Vorgaben des finnischen 124 99:59:59,999 --> 99:59:59,999 Gesundheitssystems umgangen zur Datensicherung. Aber zurück zu unserem 125 99:59:59,999 --> 99:59:59,999 Täter weil also er will 40 Bitcoin was tamamo zahlt nicht da haben wir ihn wieder 126 99:59:59,999 --> 99:59:59,999 den kmit, daraufhin hat er eine schlaue Idee, er will um seinen Druck zu erhöhen, 127 99:59:59,999 --> 99:59:59,999 weil das ist für den Erpressern immer sehr wichtig wie er auch eben schon gesehen 128 99:59:59,999 --> 99:59:59,999 hat, er will den Druck erhöhen und sagt ok, wenn ihr nicht zahlt dann liege ich 129 99:59:59,999 --> 99:59:59,999 eben jeden Tag den ihr nicht zahlt liege ich 100 Patientenakten. Das Problem dabei 130 99:59:59,999 --> 99:59:59,999 war er hat es in ein finnischen imagebard gemacht, ich hoffe ich spreche das richtig 131 99:59:59,999 --> 99:59:59,999 aus, yilli lauter heißt es das Problem dabei war er hat so ein paar Informationen 132 99:59:59,999 --> 99:59:59,999 seines Servers von dem er ausgeleakt hat mitgeleakt, *gemurmel* IP-Adressen und 133 99:59:59,999 --> 99:59:59,999 solche Dinge. Worauf hin die Polizei dieser Spur folgen konnte und relativ 134 99:59:59,999 --> 99:59:59,999 schnell dahinter kam dass da so ein Netzwerk von Servern existiert dass jemand 135 99:59:59,999 --> 99:59:59,999 mit seiner Kreditkarte bezahlt hatte. *einzelne Applaus* Wird noch schöner. *Kai 136 99:59:59,999 --> 99:59:59,999 lächelt* Das war nicht der einzige Hinweis auf ihn, den die Polizei fand also, was 137 99:59:59,999 --> 99:59:59,999 zaht nicht ja sind keine netten Leute. Der Mann reiste viel er war er tauchte unter. 138 99:59:59,999 --> 99:59:59,999 Also die Polizei hatte schon seinen Namen, sie ahnte wer es ist und suchte ihn in 139 99:59:59,999 --> 99:59:59,999 Finnland und er ist abgehauen ins Ausland, hat aber die nicht sehr schlaue Idee 140 99:59:59,999 --> 99:59:59,999 gehabt darüber im Internet zu posten [Filler, please remove in amara] 141 99:59:59,999 --> 99:59:59,999 *Gelächter* [Filler, please remove in amara] 142 99:59:59,999 --> 99:59:59,999 ja er hat wieder auf diesem imagebort JimmiLauter ein Foto gepostet wo er an der 143 99:59:59,999 --> 99:59:59,999 französischen Küste es sich gut gehen lässt und sich diesen blödsiniges Wasser 144 99:59:59,999 --> 99:59:59,999 ins Gesicht sprüht. Und hat dieses Foto da gepostet unter anderem von einem der 145 99:59:59,999 --> 99:59:59,999 Server die im Zusammenhang mit der Tat standen, auch nicht so clever und noch 146 99:59:59,999 --> 99:59:59,999 viel lustiger dieses Foto war so gut dass die Polizei einen Fingerabdruck nehmen 147 99:59:59,999 --> 99:59:59,999 konnte. [Filler, please remove in amara] 148 99:59:59,999 --> 99:59:59,999 *Viele lachen, Applaus* [Filler, please remove in amara] 149 99:59:59,999 --> 99:59:59,999 Die finische Polizei wusste jetzt also wo sie ihn suchen muss, in Frankreich. 150 99:59:59,999 --> 99:59:59,999 Übrigens an dieser Stelle möchten wir einen kurzen Gruß an Starbug schicken, der 151 99:59:59,999 --> 99:59:59,999 hat nämlich 2014 in einem Vortrag genau das prophezeit. Damals hat er von einem 152 99:59:59,999 --> 99:59:59,999 Foto von Ursula von der Leihen, das in der Bundespressekonferenz aufgenommen worden 153 99:59:59,999 --> 99:59:59,999 war den Daumenabdruck extrahiert und bewies dass das geht, danke Starbug! Die 154 99:59:59,999 --> 99:59:59,999 finnische Polizei hat dir zugeschaut. [Filler, please remove in amara] 155 99:59:59,999 --> 99:59:59,999 *Applaus* [Filler, please remove in amara] 156 99:59:59,999 --> 99:59:59,999 Nachdem wir uns jetzt mit ein paar Amateuren auseinandergesetzt haben die 157 99:59:59,999 --> 99:59:59,999 eure Unternehmen ruinieren können oder sich selbst oder beides wollen wir uns mal 158 99:59:59,999 --> 99:59:59,999 kurz ein bisschen mit Profis auseinandersetzen. Und für mich ist das 159 99:59:59,999 --> 99:59:59,999 ein bisschen ärgerlich weil ich darüber in vielen Vorträgen seit nun mehr 7 Jahren 160 99:59:59,999 --> 99:59:59,999 rede ja? Und zwar Ransomware es ist wirklich nichts Neues aber ich möchte kurz 161 99:59:59,999 --> 99:59:59,999 eine kleine verkürze subjektive Geschichte der Ransomware erzählen. Ungefähr 2016 162 99:59:59,999 --> 99:59:59,999 ging es los mit locky, das war so eine Ransomware fürs Privatkundengeschäft hat 163 99:59:59,999 --> 99:59:59,999 irgendwie so local host sofort verschlüsselt und irgendwas im Bereich von 164 99:59:59,999 --> 99:59:59,999 paar 100 Euro verlangt ja? Es kam dann später wannacry das war im Prinzip auch so 165 99:59:59,999 --> 99:59:59,999 eine local host randsomeware aber verbunden mit dem eternal blue Exploit hat 166 99:59:59,999 --> 99:59:59,999 also im lokalen Netz nach SMB shares gecheckt und die auch noch mal infiziert 167 99:59:59,999 --> 99:59:59,999 ja. Also ging so ein bisschen weiter rein. Irgendwann 2018 müsste riok damit 168 99:59:59,999 --> 99:59:59,999 angefangen haben zu erkennen dass das Backup der natürliche Feind der Ransomware 169 99:59:59,999 --> 99:59:59,999 ist und hat sich darauf konzentriert in Richtung ad compromise zu gehen also 170 99:59:59,999 --> 99:59:59,999 komplette Active Directory zu übernehmen und von dort aus in meisten Leute hängen 171 99:59:59,999 --> 99:59:59,999 ja dummerweise ihren Backup Server ins Active Directory, was die schlechteste 172 99:59:59,999 --> 99:59:59,999 Idee ist die man haben kann, und dann zerstören sie also erst die Backups und 173 99:59:59,999 --> 99:59:59,999 rollen dann über eine Group Policy die Ransomware auf allen Hosts aus ja das fing 174 99:59:59,999 --> 99:59:59,999 so ungefähr 2018 an und 2019 fing es an dass maze sich auch so ein bisschen mehr 175 99:59:59,999 --> 99:59:59,999 auf fileshares spezifisch konzentriert hat und auf das Modell der Double extortion. 176 99:59:59,999 --> 99:59:59,999 Double extortion könnt ihr euch so vorstellen dass man.. Ich erkläre es 177 99:59:59,999 --> 99:59:59,999 gleich ne, weil ich möchte eigentlich noch mal kurz darauf reingehen wie katastrophal 178 99:59:59,999 --> 99:59:59,999 es ist dass wir 2023 noch darüber reden ja? Seit 2019 mindestens ist das die 179 99:59:59,999 --> 99:59:59,999 gleiche Masche, seit 2016 ist es ein Geschäftsmodell und es sollte einfach so 180 99:59:59,999 --> 99:59:59,999 sein wie in jedem IT security lifeecycle, du hast eine Prävention wenn die 181 99:59:59,999 --> 99:59:59,999 fehlschlägt hast du eine Detektion und wenn die fehschlägt hast eine Recovery. 182 99:59:59,999 --> 99:59:59,999 Die meisten Leute gehen davon aus, dass es vielleicht nicht ganz so gut bei Ihnen 183 99:59:59,999 --> 99:59:59,999 aussieht ne haben eine Prävention vielleicht eine Detektion und die Recovery 184 99:59:59,999 --> 99:59:59,999 eigentlich nicht ganz so gut. Aber wie es wirklich in der Realität für sie aussieht 185 99:59:59,999 --> 99:59:59,999 so... und wenn man das mal nicht grafisch versinicht sondern so wie dann eine 186 99:59:59,999 --> 99:59:59,999 Webseite aussieht, das wäre jetzt hier, ich glaube Blackcat Alfi die die vor 2 D 187 99:59:59,999 --> 99:59:59,999 Wochen hochgegangen sind dann sieht das ungefähr so aus du hast eine Webseite 188 99:59:59,999 --> 99:59:59,999 Forderung das ist ein Hidden Service und da wird dir dann erklärt wie du Bitcoin 189 99:59:59,999 --> 99:59:59,999 kaufen kannst habe ich in hier na hacken schon ausführlich erklärt die Leute die 190 99:59:59,999 --> 99:59:59,999 die Webseite sehen füren dann als nächstes ungefähr zu dieser Situation R weil das 191 99:59:59,999 --> 99:59:59,999 die einzige Möglichkeit ist an die Dateien wieder ranzukommen. Wenn man das tut sieht 192 99:59:59,999 --> 99:59:59,999 eine Seite ungefähr so aus wo es ein bisschen Instruktionen gibt wie man die 193 99:59:59,999 --> 99:59:59,999 Dateien wiederherstellt und außerdem sind die Angreifer so nett sie versprechen den 194 99:59:59,999 --> 99:59:59,999 kompletten Bericht wie sie reingekommen sind und ich denke natürlich als Security 195 99:59:59,999 --> 99:59:59,999 Konz, alles klar ein ordentlicher Bericht ja cool so ein redam Bericht da bin ich 196 99:59:59,999 --> 99:59:59,999 mal gespannt das ist er ja und eine Standardantwort die kommt in dem Moment wo 197 99:59:59,999 --> 99:59:59,999 die Bitcouins gezahlt sind erscheint die im Chat ja so quasi in in der gleichen 198 99:59:59,999 --> 99:59:59,999 Zeit das heißt die ist hardcodet in dieser Webseite drin und das bedeutet diese Web 199 99:59:59,999 --> 99:59:59,999 diese Angreifer sind absolute oneetrack Ponys die haben es hier mit metapreta 200 99:59:59,999 --> 99:59:59,999 gemacht ja ihr könnt euch ungefähr vorstellen wie wenig idea du brauchst 201 99:59:59,999 --> 99:59:59,999 damit man metapritter nicht erkennt ja und diese Angreifer sind one Trick Ponys und 202 99:59:59,999 --> 99:59:59,999 du bist ihr Opfer. Wir alle kennen diesen klugen Satz übrigens kann man immer sagen, 203 99:59:59,999 --> 99:59:59,999 kann man immer sagen, nur nicht beim incident der kommt 204 99:59:59,999 --> 99:59:59,999 *Lachen, Applaus* [Filler, please remove in amara] 205 99:59:59,999 --> 99:59:59,999 also kommt nicht an, kommt nicht an. Ja learn from my fail ja? 206 99:59:59,999 --> 99:59:59,999 *Lachen* [Filler, please remove in amara] 207 99:59:59,999 --> 99:59:59,999 Ich habe gerade gesagt wir sprechen über double extortion, double extortion 208 99:59:59,999 --> 99:59:59,999 funktioniert so: die Angreifer haben gemerkt dass das Backup für sie ein 209 99:59:59,999 --> 99:59:59,999 Problem ist und sagen Backup haben wir auch. Und das werden wir jetzt 210 99:59:59,999 --> 99:59:59,999 veröffentlichen, ja? Das heißt sie erpressen dich einerseits oder sie 211 99:59:59,999 --> 99:59:59,999 verlangen Lösegeld für deine Daten und erpressen dich gleichzeitig mit der 212 99:59:59,999 --> 99:59:59,999 Veröffentlichung, haben also jetzt zwei Druckmittel gegen dich mit denen sie 213 99:59:59,999 --> 99:59:59,999 versuchen Geld von dir zu bekommen. Und das Ganze passiert jetzt seit vielen 214 99:59:59,999 --> 99:59:59,999 vielen Jahren und irgendwie Kai schreibt drüber, ich rede drüber, die Deutsche Bahn 215 99:59:59,999 --> 99:59:59,999 hat schon mal auf ihren Anzeigetafeln gehabt, ja? *lachen* Aber niemand kümmert 216 99:59:59,999 --> 99:59:59,999 sich drum und wenn du die Zeitung aufmachst ja was was wird diskutiert? 217 99:59:59,999 --> 99:59:59,999 Cyberwar... Was wäre wie fürchterlich wäre das Kai wenn der Cyberwar jetzt käme? 218 99:59:59,999 --> 99:59:59,999 Kai: Der schrecklich oder? L: Das wär doch total schlimm ja. 219 99:59:59,999 --> 99:59:59,999 K: Ich mir wird langsam langweilig über Rans zu schreiben ganz ehrlich weil es so 220 99:59:59,999 --> 99:59:59,999 vorheragbar ist und wenn man sich nur einen kurzen Moment vorstellen würde 221 99:59:59,999 --> 99:59:59,999 überall in Deutschland würden maskierte Menschen in große und kleine Firmen 222 99:59:59,999 --> 99:59:59,999 reinrennen ja? Würden die Computer nehmen und wieder rausrennen, was wäre in diesem 223 99:59:59,999 --> 99:59:59,999 Land los? Also bei großen Firmen ja, Metro und wenzo, Continental und wen so alles 224 99:59:59,999 --> 99:59:59,999 erwischt hat da rennen 100 Leute rein ja reißen alle Rechner aus der Wand und 225 99:59:59,999 --> 99:59:59,999 verschwinden, was wäre in diesem Land los wenn das jeden Tag dreimal passiert, ja? 226 99:59:59,999 --> 99:59:59,999 Wir hätten den Kriegszustand den Cyberwar! Keinen interessiert, weil es digital 227 99:59:59,999 --> 99:59:59,999 passiert und das verstehe ich immer nicht. L: Ich denke also der Cyberwar den sich 228 99:59:59,999 --> 99:59:59,999 vor dem sich alle fürchten übrigens ein absolut fürchterlicher Begriff, den ich 229 99:59:59,999 --> 99:59:59,999 mir nicht zu eigen machen möchte, die Schrecken des Krieges sind unvergleichbar 230 99:59:59,999 --> 99:59:59,999 mit ein paar Schamützeln im Internet. Ja das ist klar vorweg zu sagen aber wenn wir 231 99:59:59,999 --> 99:59:59,999 uns davor fürchten digital angegriffen zu werden, dann könnten wir wahrscheinlich im 232 99:59:59,999 --> 99:59:59,999 Moment irgendwann mal zu der Ansicht kommen, dass wir das falsche fürchten und 233 99:59:59,999 --> 99:59:59,999 es jetzt schon schlimmer ist, als wir fürchten und wir müssen die bittere 234 99:59:59,999 --> 99:59:59,999 Erkenntnis sehen, dass wir längst dagegen hätten etwas unternehmen können und wenn 235 99:59:59,999 --> 99:59:59,999 irgendwann einmal der große Cyberwar losgeht, werden die Angreifer auch nicht 236 99:59:59,999 --> 99:59:59,999 anders vorgehen als die Angreifer die uns heute schon Millionen und Milliarden 237 99:59:59,999 --> 99:59:59,999 Schäden verursachen. Deswegen gibt es in diesem Vortrag die einzig wichtige Folie, 238 99:59:59,999 --> 99:59:59,999 die ich einmal kurz runterrattern möchte bevor wir uns wieder den Angreifern widmen 239 99:59:59,999 --> 99:59:59,999 und den schönen Verhandlungen mit ihnen. Was ihr in einer solchen Situation 240 99:59:59,999 --> 99:59:59,999 braucht, wenn ihr von Ransomware getroffen seid, ist ein priorisiertes 241 99:59:59,999 --> 99:59:59,999 wiederherstellungskonzept. Euer Problem ist nicht dass alle Dateien weg sind, euer 242 99:59:59,999 --> 99:59:59,999 Problem ist dass die Dateien von gestern und von vor zwei Wochen weg sind. Das 243 99:59:59,999 --> 99:59:59,999 langzeitarchiv ist gar nicht das Problem, das Problem was diese Unternehmen haben 244 99:59:59,999 --> 99:59:59,999 ist dass die Produktion oder der Geschäftsbetrieb unmittelbar sofort 245 99:59:59,999 --> 99:59:59,999 stillsteht und das kostet sehr viel Geld. Was gibt's also für Best Practices für 246 99:59:59,999 --> 99:59:59,999 eure Backups? Sie müssen unveränderbar sein Write only Backups, ein NutzerIn darf 247 99:59:59,999 --> 99:59:59,999 nicht in der Lage sein ihre eigenen Backups zu löschen und es darf auch nicht 248 99:59:59,999 --> 99:59:59,999 ein Admin oder eine Admina in der Lage sein diese Backups zu löschen zumindest 249 99:59:59,999 --> 99:59:59,999 nicht mit den Rechten im AD vergeben werden. Es muss unabhängig sein auf einer 250 99:59:59,999 --> 99:59:59,999 eigenen Infrastruktur, es muss isoliert sein also komplett getrenntes identity 251 99:59:59,999 --> 99:59:59,999 Access Management, keinesfalls im Active Directory. Wer den Backup Server 252 99:59:59,999 --> 99:59:59,999 administriert geht mit einer Tastatur und einem Bildschirm in den Serverraum und 253 99:59:59,999 --> 99:59:59,999 steckt die da dran. Keine remote administration von dem Backup Server, 254 99:59:59,999 --> 99:59:59,999 keine Verbindung in euer ad. Wir machen natürlich versionierte Backups, damit wir 255 99:59:59,999 --> 99:59:59,999 auch frühere Zustände wiederherstellen können, wir machen verifizierte Backups. 256 99:59:59,999 --> 99:59:59,999 Man könnte das ja einfach mal prüfen bevor man es braucht, ja! Wie viel Geld könnte 257 99:59:59,999 --> 99:59:59,999 man da sparen wenn man auch noch einen Fehler entdeckt, wir überwachen das Backup 258 99:59:59,999 --> 99:59:59,999 also ist ein Backup erfolgt und ist der der Datenbestand auf dem fallserver 259 99:59:59,999 --> 99:59:59,999 integer! Und vor allem machen wir unsere Backups risikobasiert also die 260 99:59:59,999 --> 99:59:59,999 Wiederherstellung des Geschäftsmodells wird priorisiert. Die meisten Daten die 261 99:59:59,999 --> 99:59:59,999 Ihr nicht bra.. Ihr Backup werdet ihr im akuten Fall nicht brauchen, ja wenn ihr 262 99:59:59,999 --> 99:59:59,999 mal jemanden seht der dann so ankommt sagt, wir haben alles auf Tape und du 263 99:59:59,999 --> 99:59:59,999 denkst okay weißt du wie lange das dauert dieses Tape einzuspielen? *lächelt* Dann 264 99:59:59,999 --> 99:59:59,999 verstehst du dass potentiell auch Leute diese Zahlungen in Erwägung ziehen die 265 99:59:59,999 --> 99:59:59,999 Backups haben. Also bitte bitte bitte das sind alle Lehren die es hier zu ziehen 266 99:59:59,999 --> 99:59:59,999 gibt und das das was wir gleich über Verhandlungen berichten, das vergessst ich 267 99:59:59,999 --> 99:59:59,999 am besten wieder ganz schnell, das war nur um euch hierher zu locken, weil uns Leute 268 99:59:59,999 --> 99:59:59,999 immer danach fragen, wie denn so eine Verhandlung läuft. 269 99:59:59,999 --> 99:59:59,999 *einzelne Applaus* [Filler, please remove in amara] 270 99:59:59,999 --> 99:59:59,999 K: Ich entschuldige mich für diesen Vortrag. 271 99:59:59,999 --> 99:59:59,999 *Applaus* [Filler, please remove in amara] 272 99:59:59,999 --> 99:59:59,999 K: Es war etwas lehrerhaft aber ich glaube es musste sein. Kommen wir zurück zu den 273 99:59:59,999 --> 99:59:59,999 lustigen Leuten. Wir sind ja durch eine Verkettung unwahrscheinlicher Zufälle 274 99:59:59,999 --> 99:59:59,999 beide Psychologen mal gewesen und haben noch dazu dasselbe an delben Uni studiert, 275 99:59:59,999 --> 99:59:59,999 wie wir später festgestellt haben, deswegen interessieren uns natürlich die 276 99:59:59,999 --> 99:59:59,999 psychologischen Effekte dahinter und auch die Psyche der Täter, deswegen wollen wir 277 99:59:59,999 --> 99:59:59,999 hier so ein paar vorstellen damit ihr eine Vorstellung dafür kriegt, was sind das für 278 99:59:59,999 --> 99:59:59,999 Leute eigentlich ja? Warum sind die kriminell, was tun die so. Und wir fangen 279 99:59:59,999 --> 99:59:59,999 mit einem sehr Prominenten und schillernen Fall an, ihr seht da Maxim Jakubetz, das 280 99:59:59,999 --> 99:59:59,999 ist ein junger Russe. Ich habe ihn hier sowas wie der Pate genannt, weil er ist 281 99:59:59,999 --> 99:59:59,999 eine Ausnahme, er ist ein sehr klischeehafter krimineller Typ, wie ihr 282 99:59:59,999 --> 99:59:59,999 gleich noch sehen werdet. Also nicht nur ja das ist ein Lamborghini Huracan, den er 283 99:59:59,999 --> 99:59:59,999 da fährt, das ist seiner das Klischee geht noch viel weiter, wenn ihr das 284 99:59:59,999 --> 99:59:59,999 Nummernschild betrachtet falls ihr russisch könnt, da steht W o R nicht Bor, 285 99:59:59,999 --> 99:59:59,999 sondern wor und wor übersetzt heißt Dieb *lächelt*. Seine ganze Gang fuhr mit 286 99:59:59,999 --> 99:59:59,999 diesen Nummernschildern rum. [Filler, please remove in amara] 287 99:59:59,999 --> 99:59:59,999 *einzelne Gelächter* [Filler, please remove in amara] 288 99:59:59,999 --> 99:59:59,999 Das konnte er problemlos tun, weil er hat die Tochter eines FSB Offiziers geheiratet 289 99:59:59,999 --> 99:59:59,999 und muss in Russland nicht viel fürchten. Klischeehaft weil er so richtig Bling 290 99:59:59,999 --> 99:59:59,999 Bling protzt mit seinem Reichtum und er und seine Freunde sowas machen. Das ist 291 99:59:59,999 --> 99:59:59,999 die Lomonosof Universität mitten in Moskau, niemand stört sie dabei, wie 292 99:59:59,999 --> 99:59:59,999 gesagt FSB Offizier. Polizei bestochen und so weiter. Diese Gang, die sind sowas wie 293 99:59:59,999 --> 99:59:59,999 die Großväter der Ransomware, die nannten sich evil Corb, auch da waren sie relativ 294 99:59:59,999 --> 99:59:59,999 eindeutig in ihrer Bezeichnung. [Filler, please remove in amara] 295 99:59:59,999 --> 99:59:59,999 *Gelächter* [Filler, please remove in amara] 296 99:59:59,999 --> 99:59:59,999 Die haben schätzungsweise, es sind immer Schätzung von Ermittlern deswegen wer weiß 297 99:59:59,999 --> 99:59:59,999 ob es stimmt und wie viel es wirklich war, die haben mit ihrem Banking Trojaner 298 99:59:59,999 --> 99:59:59,999 namens Zeus oder süß ca 70 Millionen Dollar erpresst indem sie Online Banking 299 99:59:59,999 --> 99:59:59,999 Informationen abgesaugt und dann ausgenutzt haben. Und ja die werden 300 99:59:59,999 --> 99:59:59,999 gesucht, ne? Also das FBI hätte sie gern, sie sitzen in Russland, werden da auch 301 99:59:59,999 --> 99:59:59,999 nicht wegfahren. Und sicher auch kein Urlaub wo anders machen als auf der Krim. 302 99:59:59,999 --> 99:59:59,999 Das Interessante ist weswegen wir sie hier drin haben, sie sind wirklich sowas wie 303 99:59:59,999 --> 99:59:59,999 die Großväter der Ransomware Modelle, die uns heute plagen. Also die Wirtschaft 304 99:59:59,999 --> 99:59:59,999 mehrheitlich. Sie haben RAS erfunden Ransomware SS Service also sie haben 305 99:59:59,999 --> 99:59:59,999 irgendwann aufgehört das Zeug selber einzusetzen, sie haben es vermietet 306 99:59:59,999 --> 99:59:59,999 verkauft. Hier sind sie noch mal ein bisschen größer nette junge Leute. Sie 307 99:59:59,999 --> 99:59:59,999 haben angefangen ihre kriminellen Fähigkeiten aufs Programmieren zu 308 99:59:59,999 --> 99:59:59,999 beschränken und anschließend in kriminellen Forum ihre Tools anzubieten, 309 99:59:59,999 --> 99:59:59,999 und wie sehen Leute aus die sowas dann weiter verkaufen? So 310 99:59:59,999 --> 99:59:59,999 *Gelächter* [Filler, please remove in amara] 311 99:59:59,999 --> 99:59:59,999 das ist Daniel Schukin, der wurde so noch nicht öffentlich genannt, der ist einer 312 99:59:59,999 --> 99:59:59,999 der Menschen die davon lebt diese Vermietung zu organisieren, 313 99:59:59,999 --> 99:59:59,999 höchstwahrscheinlich, muss ich an der Stelle sagen, er ist auch nicht 314 99:59:59,999 --> 99:59:59,999 verurteilt, hat auch Russland bis jahrelang nicht verlassen. Das da ist in 315 99:59:59,999 --> 99:59:59,999 Antalia, da glaubt er noch reisen zu können, da hat er diese Yacht gemietet mit 316 99:59:59,999 --> 99:59:59,999 Freunden zusammen. Wer ist dieser Mensch? Auch ein junger Russe, etwas begabt was 317 99:59:59,999 --> 99:59:59,999 die Technik angeht, lebt in Krasnodar, mag BMWs und Gucci und große Feste, zeigt sich 318 99:59:59,999 --> 99:59:59,999 gern mit seiner Frau und mit Freunden den er das Essen bezahlt, der hat Webseiten 319 99:59:59,999 --> 99:59:59,999 für Online Casinos und Krypto und anderen Schmuddelkram und der vermietet oder hat 320 99:59:59,999 --> 99:59:59,999 vermietet REvil, ein weiteres großes Ransomware, Familienmodell und er scheint 321 99:59:59,999 --> 99:59:59,999 nicht schlecht davon zu leben, hier ist er wieder, breites Lächeln. Das im Arm ist 322 99:59:59,999 --> 99:59:59,999 seine Frau, die tut hier nichts zur Sache deswegen ist sie so ein bisschen 323 99:59:59,999 --> 99:59:59,999 ausgeblendet. Und leider wollte der nicht mit uns reden, ich weiß auch nicht warum, 324 99:59:59,999 --> 99:59:59,999 wir haben es versucht, also ich habe viele E-Mails geschrieben, die er nie 325 99:59:59,999 --> 99:59:59,999 beantwortet hat. Das Interessante an dieser Stelle, man beachte seine Uhr, 326 99:59:59,999 --> 99:59:59,999 falls Sie die erkennen könnt, hier ist sie größer. Das ist eine vangard encrypto also 327 99:59:59,999 --> 99:59:59,999 die Uhr allein kostet schon so 50 bis 70 000 € wenn man auf so hässliche Uhren 328 99:59:59,999 --> 99:59:59,999 steht, und statt der 12 ist da ein QR-Code eingraviert, damit wirbt die Firma dass 329 99:59:59,999 --> 99:59:59,999 man da seine Bitcoin Wallet eingravieren kann. 330 99:59:59,999 --> 99:59:59,999 *Applaus* [Filler, please remove in amara] 331 99:59:59,999 --> 99:59:59,999 Die öffentliche die öffentliche das muss man sich auch erstmal leisten können. 332 99:59:59,999 --> 99:59:59,999 Genau, wir konnten sie leider nicht entschlüsseln, also ich habe es versucht 333 99:59:59,999 --> 99:59:59,999 aber wir konnten sie leider nicht lesen. Das FBI konnte es. 334 99:59:59,999 --> 99:59:59,999 *Applaus* [Filler, please remove in amara] 335 99:59:59,999 --> 99:59:59,999 Das FBI hat gerade erst noch gar nicht so lange her 317000 von ih beschlagnahmt, ne 336 99:59:59,999 --> 99:59:59,999 also die Krypto sind genau in den Händen des FBI. Ich glaube übrigens FBI ist der 337 99:59:59,999 --> 99:59:59,999 größte Halter von Bitcoins überhaupt weltweit, oder? 338 99:59:59,999 --> 99:59:59,999 *Viele lachen* [Filler, please remove in amara] 339 99:59:59,999 --> 99:59:59,999 So er selbst wurde nicht gefasst aber junge Russen die sich für unverwundbar 340 99:59:59,999 --> 99:59:59,999 halten, das ist ein wichtiger Aspekt dabei, weil sie entweder Behörden 341 99:59:59,999 --> 99:59:59,999 bestechen oder direkt in Verbindung stehen mit Behörden, die sind so relativ die 342 99:59:59,999 --> 99:59:59,999 bilden so eine relativ kleine Gruppe der Hinterleute dieser ganzen Ransomware 343 99:59:59,999 --> 99:59:59,999 Modelle, die sind aber nicht die große Masse, die sind wirklich Ausnahmen. Die 344 99:59:59,999 --> 99:59:59,999 die die eigentliche Arbeit machen, die sehen anders aus. Das hier ist eine 345 99:59:59,999 --> 99:59:59,999 Wohnung in einem relativ runtergekommenen Neubaublock in Harkiv in der Ukraine 346 99:59:59,999 --> 99:59:59,999 Straße ist 23 August, wen es interessiert. Den Namen nenne ich hier nicht weil dieser 347 99:59:59,999 --> 99:59:59,999 Mensch nie verurteilt wurde und nicht mal angeklagt, der wurde laufen gelassen, ich 348 99:59:59,999 --> 99:59:59,999 erzähle gleich warum. Deswegen hier nur sein Name in dem Internet unterwegs war 349 99:59:59,999 --> 99:59:59,999 Jeep. Der erklärt sich auch gleich. Dieser Mann war für emotet unterwegs. Emotet 350 99:59:59,999 --> 99:59:59,999 ebenfalls eine riesige Ransomware Familie ja die weltweit tausende Opfer verursacht 351 99:59:59,999 --> 99:59:59,999 hat. Das BKA nannte emotet einen der gefährlichsten Trojaner weltweit und BSI 352 99:59:59,999 --> 99:59:59,999 Chef Arne Schönbum ex BSI Chef Arne Schönbum, falls sich noch jemand an ihn 353 99:59:59,999 --> 99:59:59,999 erinnert, nannte es den König der Schadsoftware, aber und deswegen zeigen 354 99:59:59,999 --> 99:59:59,999 wir es hier auch emotet machte Fehler. Die haben einen Server in Brasilien offen 355 99:59:59,999 --> 99:59:59,999 gelassen, so dass dort Serverlocks rumlagen, die Ermittlungsbehörden finden 356 99:59:59,999 --> 99:59:59,999 konnten und dank dieser Serverlocks hangelten Sie sich durch die gesamte 357 99:59:59,999 --> 99:59:59,999 Infrastruktur dieser Gruppe und kamen zumindest nach Angaben des BKA zu dieser 358 99:59:59,999 --> 99:59:59,999 Wohnung, dort laufen alle Fäden zusammen und deswegen gab's da 2021 diese 359 99:59:59,999 --> 99:59:59,999 Wohnungsdurchsuchung, polizia steht da auf der Jacke, also die ukrainische Polizei 360 99:59:59,999 --> 99:59:59,999 bricht da gerade ein, BKA Beamte waren dabei, ja also da liefen alle Fäden von 361 99:59:59,999 --> 99:59:59,999 emotet zusammen hier. L: Sieht aus wie bei mir. 362 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 363 99:59:59,999 --> 99:59:59,999 K: Okay du hast auch Flohmarktzeug? [Filler, please remove in amara] 364 99:59:59,999 --> 99:59:59,999 *lächelt* [Filler, please remove in amara] 365 99:59:59,999 --> 99:59:59,999 K: Das ist der Schreibtisch dieses Mannes und das die Wohnung eines damals 47 Jahre 366 99:59:59,999 --> 99:59:59,999 alten Ukrainers, seines Zeichens Systemadministrator für Linux und der 367 99:59:59,999 --> 99:59:59,999 wartet Server für kleine Firmen. Und er tut das für kleines Geld. Und der hat mit 368 99:59:59,999 --> 99:59:59,999 uns geredet, der war sehr nett und sagte also das auf diesen Backends gefährliche 369 99:59:59,999 --> 99:59:59,999 trojaner waren, ich wusste es nicht, er hat sich nicht dafür interessiert 370 99:59:59,999 --> 99:59:59,999 wahrscheinlich. Er hat 12 Server von emotet gewartet und nahm dafür $40 pro 371 99:59:59,999 --> 99:59:59,999 Server und Monat $480. Ich finde es interessant, weil auch so gigantische 372 99:59:59,999 --> 99:59:59,999 Erpressungsmodelle ja, wir reden über gigantische Erpessungsmodelle die weltweit 373 99:59:59,999 --> 99:59:59,999 funktionieren, basieren auf solcher Infrastruktur. Nach Auskunft der Polizei 374 99:59:59,999 --> 99:59:59,999 die da in der Wohnung war, da sieht man sie noch mal, war ein Großteil davon vom 375 99:59:59,999 --> 99:59:59,999 Flohmarkt, Jahre alt. Übrigens könnt ihr Kyrillisch lesen? Da steht Department 376 99:59:59,999 --> 99:59:59,999 KeeberPolitsii, finde ich toll, falls irgendjemand hiermer so Aufkleber macht, 377 99:59:59,999 --> 99:59:59,999 ich hät gern ein paar davon. [Filler, please remove in amara] 378 99:59:59,999 --> 99:59:59,999 *Gelächter* [Filler, please remove in amara] 379 99:59:59,999 --> 99:59:59,999 L: Kommen wir zurück zu einer anderen Ransomware Gang, ich habe ja gesagt dass 380 99:59:59,999 --> 99:59:59,999 ich öfter mal die Freude habe mich mit denen auseinandersetzen zu dürfen, 381 99:59:59,999 --> 99:59:59,999 hauptsächlich deshalb weil Leute denken ich könnte ihn Bitcoin organisieren, ich 382 99:59:59,999 --> 99:59:59,999 habe keine Ahnung wie auf die Idee kommen aber irgendwie klappt's dann auch. So 383 99:59:59,999 --> 99:59:59,999 sieht dann so eine Ransom Note aus, die liegt auf deinem Desktop und angegeben 384 99:59:59,999 --> 99:59:59,999 wird halt ein Tor hinden Service und in diesem Fall ein Login und wenn man da 385 99:59:59,999 --> 99:59:59,999 drauf klickt kommt halt so ein Chat, ja ist etwas andere Gang jetzt in diesem 386 99:59:59,999 --> 99:59:59,999 Fall, mal Screenshot von blackbuster rausgesucht und die sagen also sie wollen 387 99:59:59,999 --> 99:59:59,999 Geld haben. Und jetzt beginnt der Moment für den sich so viele Leute interessieren, 388 99:59:59,999 --> 99:59:59,999 ich werde also immer nach Vorträgen gefragt, dass ich genau das mal 389 99:59:59,999 --> 99:59:59,999 beschreiben soll und wie ich gerade schon sagte ich beschreibe das nicht ohne vorher 390 99:59:59,999 --> 99:59:59,999 zu sagen, wie man sich davor schützen kann. Weil das ist die Situation in der 391 99:59:59,999 --> 99:59:59,999 man wirklich nicht sein möchte, ja. Der Chat geht natürlich ein bisschen länger, 392 99:59:59,999 --> 99:59:59,999 ich habe mich jetzt mal so inhaltlich grob zusammengefasst. Wir veröffentlichen in 10 393 99:59:59,999 --> 99:59:59,999 Tagen, wir haben einen Decrypter, wir wollen in diesem Beispiel 100 Millionen, 394 99:59:59,999 --> 99:59:59,999 ja. Hab jetzt einfach mal 100 genommen, damit ihr ungefähr die Relationen sieht, 395 99:59:59,999 --> 99:59:59,999 die die Verhandlung betreffen. Und man sagt natürlich erstmal junge Beweis du 396 99:59:59,999 --> 99:59:59,999 doch bitte erstmal dass du die Dateien hast ja, also vorher stellt man sich 397 99:59:59,999 --> 99:59:59,999 erstmal so ein bisschen doof, es ist auf jeden Fall klug irgendwie so ein paar doof 398 99:59:59,999 --> 99:59:59,999 Sachen zu fragen ne, was ist BTC irgendwie sowas um den irgendwie zu vermitteln, dass 399 99:59:59,999 --> 99:59:59,999 man relativ dumm ist, ja? Man sagt dann so, ok, aber Beweis doch mal bitte dass Du 400 99:59:59,999 --> 99:59:59,999 die Dateien hast, dann sagen die kein Thema, hier ist die Liste ja und dann 401 99:59:59,999 --> 99:59:59,999 kriegt man so ein Output von tree oder find oder was auch immer ja? Und dann 402 99:59:59,999 --> 99:59:59,999 sagen sie such dir drei Dateien aus, die schicken wir dir ja, das heißt sie geben 403 99:59:59,999 --> 99:59:59,999 dir die komplette Liste, du kannst dir drei aussuchen, die kriegst du zurück und 404 99:59:59,999 --> 99:59:59,999 damit beweisen sie dass du dass sie diese dass Sie alle Dateien haben ne. Hier ist 405 99:59:59,999 --> 99:59:59,999 deine x Doc X Y xlsx und zxe, das Gute ist die die Liste der Dateien kriegst du für 406 99:59:59,999 --> 99:59:59,999 umme ja und die brauchst du um den Schaden abzuschätzen, der beispielsweise bei einer 407 99:59:59,999 --> 99:59:59,999 Veröffentlichung droht, potenziell aber z.B auch für die dsgvo Meldung also diese 408 99:59:59,999 --> 99:59:59,999 die Liste an Dateien gibt's kostenlos und in vielen Fällen selbst, wenn man gar 409 99:59:59,999 --> 99:59:59,999 keine Absicht hat zu bezahlen, lohnt es sich die sich zu organisieren ja? 410 99:59:59,999 --> 99:59:59,999 Kostenlose Leistung die man hier kriegt. [Filler, please remove in amara] 411 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 412 99:59:59,999 --> 99:59:59,999 Und dann sagt man sowas wie du weißt du, wir stellen gerade von Tapes wieder her 413 99:59:59,999 --> 99:59:59,999 das dauert zwar ein bisschen, aber eigentlich sind wir hier guter Dinge. Dann 414 99:59:59,999 --> 99:59:59,999 sagen die, stell dir mal vor wenn wir das alles veröffentlichen und man sagt so ja 415 99:59:59,999 --> 99:59:59,999 eigentlich ist da jetzt nichts großartig kritisches dabei! Wir verkaufen das an die 416 99:59:59,999 --> 99:59:59,999 Konkurrenz! Auch immer ein sehr spannender Fall, ja, wenn man diese Gespräche führt 417 99:59:59,999 --> 99:59:59,999 ja und die Betroffen Unternehmen sagen, oh mein Gott die verkauft das an die 418 99:59:59,999 --> 99:59:59,999 Konkurrenz, oh mein Gott die Verkauf das an die Konkurrenz, wenn man sagt ok, pass 419 99:59:59,999 --> 99:59:59,999 auf, ich mache euch ein Angebot, ich gebe euch die Daten von der Konkurenz. Das 420 99:59:59,999 --> 99:59:59,999 werden wir nie machen! Ja okay aber eure Konkurrenz haltet ihr für so verkommen 421 99:59:59,999 --> 99:59:59,999 dass Sie von irgendwelchen Gangstern für Bitcoin eure Daten kaufen *gelächter*? 422 99:59:59,999 --> 99:59:59,999 Also sagt man, kannst du gern probieren wir gehen eigentlich nicht davon aus dass 423 99:59:59,999 --> 99:59:59,999 sie dir da sonderlich viel Geld für geben ja? Außerdem muss man tatsächlich sehr 424 99:59:59,999 --> 99:59:59,999 traurigerweise sagen die Veröffentlichung bringt meist einen sehr geringen Schaden 425 99:59:59,999 --> 99:59:59,999 für dich selber weiß auch der Gründer und CE von Motel One, Dieter Müller der sich 426 99:59:59,999 --> 99:59:59,999 nachdem dem Motel One gebreached wurde und alle Kundendaten ins Internet gegangen 427 99:59:59,999 --> 99:59:59,999 sind, geweigert hat mit den Leuten zu verhandeln und eventuell diesen Schaden 428 99:59:59,999 --> 99:59:59,999 von den Kunden abzuwenden ja? Der Mann hat geringe Ansprüche an sich selbst und hohe 429 99:59:59,999 --> 99:59:59,999 Ansprüche an den Staat, denn an der gesamten Misere ja dass alle Motel One 430 99:59:59,999 --> 99:59:59,999 Kunden jetzt mit übernachtungsdaten und allem im Internet stehen, ist natürlich 431 99:59:59,999 --> 99:59:59,999 der Staat schuld, denn der Staat hat noch keinen Weg gefunden seiner staatlichen 432 99:59:59,999 --> 99:59:59,999 Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen 433 99:59:59,999 --> 99:59:59,999 digitalen Angriffen zu schützen. [Filler, please remove in amara] 434 99:59:59,999 --> 99:59:59,999 *Einzelne Applaus* [Filler, please remove in amara] 435 99:59:59,999 --> 99:59:59,999 Kann natürlich jetzt auch nicht seine Schuld sein. Wie ich habe schon gesagt, 436 99:59:59,999 --> 99:59:59,999 der Mann hat geringe Ansprüche an sich selbst, hohe Ansprüche an den Staat, 437 99:59:59,999 --> 99:59:59,999 Coronazeiten waren irgendwo im Bereich 100 Millionen Coronahilfen die der 438 99:59:59,999 --> 99:59:59,999 eingestrichen hat, dadurch hat Motel One am Ende seine Geschäftsergebnisse 439 99:59:59,999 --> 99:59:59,999 signifikant verbessern können und er hat noch ein paar Interviews gegeben dass das 440 99:59:59,999 --> 99:59:59,999 eine Frechheit wäre und zu wenig. [Filler, please remove in amara] 441 99:59:59,999 --> 99:59:59,999 *Gelächter* [Filler, please remove in amara] 442 99:59:59,999 --> 99:59:59,999 Aber tatsächlich mal ne, man muss tatsächlich sagen Motel One hat de facto 443 99:59:59,999 --> 99:59:59,999 keinen Schaden dadurch, dass diese Daten veröffentlicht wurden. Irgendwann ich 444 99:59:59,999 --> 99:59:59,999 glaube es war man sieht es im Bild 2021 wurde extensure gebrided von lockbit und 445 99:59:59,999 --> 99:59:59,999 das F ich natürlich sehr interessant also haben wir auf dem loogbit Block so den 446 99:59:59,999 --> 99:59:59,999 Countdown geguckt und so ne und dann wurden irwann die Daten von extenser 447 99:59:59,999 --> 99:59:59,999 veröffentlichicht da hat man sich ja dann doch mal für interessiert, das war aber 448 99:59:59,999 --> 99:59:59,999 total so ein einzeldownload ja, du konntest jede Datei einzeln das war total 449 99:59:59,999 --> 99:59:59,999 unsortiert umständlich zeitaufwendig ja und die wurden auch immer wieder offline 450 99:59:59,999 --> 99:59:59,999 genommen und dann wurde die Deadline verlängert wann die released werden und 451 99:59:59,999 --> 99:59:59,999 irgendwie sind sie jetzt nicht mehr zu finden. Ich denke warum die Angreifer so 452 99:59:59,999 --> 99:59:59,999 und nicht anders veröffentlichen ist ganz klar, in dem Moment wo sie vollständig 453 99:59:59,999 --> 99:59:59,999 veröffentlichen, haben Sie Ihr Kind mit dem Bade ausgegossen, es wird niemand mehr 454 99:59:59,999 --> 99:59:59,999 bezahlen, wenn sie aber so scheibchenweise veröffentlichen, können sie potenziell 455 99:59:59,999 --> 99:59:59,999 noch weiter erpressen und dich doch überzeugen denen etwas Geld zu geben. Denn 456 99:59:59,999 --> 99:59:59,999 für sie ist das ja eine Alles oder Nichts Situation und diese Dateien zu 457 99:59:59,999 --> 99:59:59,999 veröffentlichen, dann haben sie halt statt irgendwie potenziell Millionen einfach nur 458 99:59:59,999 --> 99:59:59,999 ein mahnendes Beispiel für den nächsten und ein Fall wo ich wieder erzählen kann 459 99:59:59,999 --> 99:59:59,999 eigentlich kein Schaden entstanden. Wir haben auch darüber gesprochen das nennt 460 99:59:59,999 --> 99:59:59,999 man dann also die Angreifer wollen Druck erhöhen ja, sie machen inzwischen auch mal 461 99:59:59,999 --> 99:59:59,999 die Meldung an an die Behörden für dich ja, auch da natürlich einfach um den Druck 462 99:59:59,999 --> 99:59:59,999 zu erhöhen, weil Druck ist alles was die haben, oder sie belästigen die Leute die 463 99:59:59,999 --> 99:59:59,999 nicht zahlen ja, rufen dann z.B dort an oder lassen dort anrufen oder erpressen 464 99:59:59,999 --> 99:59:59,999 eben die Kunden um den rufschaden irgendwie zu maximieren. Also die Gruppen 465 99:59:59,999 --> 99:59:59,999 arbeiten daran diesen Rufschaden zu vergrößern. Ja in unserem Beispiel sagen 466 99:59:59,999 --> 99:59:59,999 wir mal wir würden jetzt irgendwie in Richtung einer Zahlung uns orientieren, 467 99:59:59,999 --> 99:59:59,999 dann sagen wir Bruder, wie sollen wir dir überhaupt vertrauen? Und dann sagt er mein 468 99:59:59,999 --> 99:59:59,999 Freund wir sind die cyberswan Gruppe, google uns wir haben fünf Sterne auf yelp! 469 99:59:59,999 --> 99:59:59,999 *viele lachen* und es ist es ist natürlich wirklich wichtig für diese Mechanik der 470 99:59:59,999 --> 99:59:59,999 Verhandlung zu wissen, die müssen auch ihren Ruf schützen. Wenn die euch 471 99:59:59,999 --> 99:59:59,999 betrügen, dann wird das ja bekannt und dann zahlt ihnen niemand mehr. Das heißt 472 99:59:59,999 --> 99:59:59,999 Vertrauen ist für die eine entscheidende Sache ja? Außerdem haben die auch den 473 99:59:59,999 --> 99:59:59,999 ganzen Rest des Internets noch vor sich, dass sie jetzt ein zweites Mal dich 474 99:59:59,999 --> 99:59:59,999 erpressen ist eher unwahrscheinlich. Aber dann sagst du sowas wie ja boah das mit 475 99:59:59,999 --> 99:59:59,999 den Tapes kennt sie ja dauert ey pass auf wir zahlen dir 25 Dann kommen wir wollen 476 99:59:59,999 --> 99:59:59,999 100 und du hast noch 7 Tage danach wird es teurer und dann denkst das ist natürlich 477 99:59:59,999 --> 99:59:59,999 jetzt auch wieder dieses Druck ne wir wollen mehr Geld später und dann sagst du 478 99:59:59,999 --> 99:59:59,999 ja pass auf Alter in 7 Tagen sind wir fertig, du kannst mir hier maximal 50 479 99:59:59,999 --> 99:59:59,999 Millionen sparen, das muss aber auch irgendwie businesscase für mich sein ich 480 99:59:59,999 --> 99:59:59,999 zahle dir 40 ja? Dann sagen die wir wollen 70, das unser letztes Angebot, es gilt nur 481 99:59:59,999 --> 99:59:59,999 24 Stunden und dann sagst du sowas wie, ey Junge, je länger das hier dauert, umso 482 99:59:59,999 --> 99:59:59,999 weniger ist deine Dienstleistung für mich Wert, ich stell ja hier gerade von Tapes 483 99:59:59,999 --> 99:59:59,999 wieder her. Und das ist der entscheidende Punkt in diesen Verhandlung für die 484 99:59:59,999 --> 99:59:59,999 Angreifer geht es um alles oder nichts, also die stehen vor einer Situation dass 485 99:59:59,999 --> 99:59:59,999 sie entweder von dir Geld bekommen oder gar nichts und dann haben Sie noch die 486 99:59:59,999 --> 99:59:59,999 Kosten dass sie deine Daten veröffentlichen müssen und genau da musst 487 99:59:59,999 --> 99:59:59,999 du diesem Druck wiederstehen, der zeitliche Druck wird von denen nur deshalb 488 99:59:59,999 --> 99:59:59,999 angebracht weil sie also weil sie wissen je länger Du nicht zahlst desto 489 99:59:59,999 --> 99:59:59,999 unwahrscheinlicher zahlst du. Insofern ist das durchaus sinnvoll in einer solchen 490 99:59:59,999 --> 99:59:59,999 Situation , wenn du die Zeit hast, auch tatsächlich auf Zeit zu spielen, weil die 491 99:59:59,999 --> 99:59:59,999 Wissen je länger der Spaß hier geht umso unwahrscheinlicher zahlst du. Na gut dann 492 99:59:59,999 --> 99:59:59,999 kommt irwi sowas ja 60 Millionen weil du es bist letzte Preis ja? Und dann sagst 493 99:59:59,999 --> 99:59:59,999 du, das ist der Moment den die Kunden meistens nicht wollen, ja? Dann sagst mal 494 99:59:59,999 --> 99:59:59,999 ok tut mir leid ich erkläre die Behandlung für gescheitert, hätte hier eine Win-Win 495 99:59:59,999 --> 99:59:59,999 Situation werden können aber na ja vielleicht beim nächsten Mal. 496 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 497 99:59:59,999 --> 99:59:59,999 Und dann kommt, ok lass mich mal mit dem Boss reden. 498 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 499 99:59:59,999 --> 99:59:59,999 Du verhandelst jetzt mit dem Level One Customer Support! Und der hat klare 500 99:59:59,999 --> 99:59:59,999 Grenzen und erst wenn der mit jemand anders reden muss über den Deal den er dir 501 99:59:59,999 --> 99:59:59,999 machen kann, merkst du dass du vielleicht langsam in einen Bereich kommst der 502 99:59:59,999 --> 99:59:59,999 vielleicht für dich auch interessant ist ja? Natürlich kann auch das ein Spiel sein 503 99:59:59,999 --> 99:59:59,999 aber in diesem Fall werdet ihr gleich sehen war es nicht, es gibt einen Boss. 504 99:59:59,999 --> 99:59:59,999 Dann kommt eben sowas her: ok 50% allerletzte Preis ja und dann sagst du 505 99:59:59,999 --> 99:59:59,999 sowas eh, woher weiß ich dass du die Datei überhaupt wieder herstellen kannst? Ja 506 99:59:59,999 --> 99:59:59,999 auch das erst ganz am Ende machen, weil das ja ein Interesse überhaupt 507 99:59:59,999 --> 99:59:59,999 signalisiert also die Prüfung, dass Sie Dateien wiederherstellen können jede 508 99:59:59,999 --> 99:59:59,999 Ransomware Gang bietet dafür an, schick mir zwei Dateien mein Freund, entschlüssel 509 99:59:59,999 --> 99:59:59,999 ich dir, kriegst du zurück, schickst Du ja hier ist A encrypted und B encrypted und 510 99:59:59,999 --> 99:59:59,999 dann schickt er dir die entschlüsselten Dateien zurück. Das ist ein sehr wichtiger 511 99:59:59,999 --> 99:59:59,999 Schritt den man keinesfalls vergessen darf! Du musst dich vergewissern, dass 512 99:59:59,999 --> 99:59:59,999 dein Freund die Dienstleistung auch wirklich erbringen kann, sonst riskierst 513 99:59:59,999 --> 99:59:59,999 du mit diesen Leuten hier zu tun zu haben. Das war wannacry ihr erinnert euch die 514 99:59:59,999 --> 99:59:59,999 ganze Ransomware hat in der Welt nur drei Bitcoin Adressen angegeben und als ich die 515 99:59:59,999 --> 99:59:59,999 doppelten Screenshots gesehen habe mit dem gleichen Bitcoin Wallet war mir auch 516 99:59:59,999 --> 99:59:59,999 sofort klar, die werden die Zahlung nicht zuordnen können, hier besteht keine 517 99:59:59,999 --> 99:59:59,999 Absicht der Wiederherstellung. Und war ja auch bei Wannacry nicht so also wichtig 518 99:59:59,999 --> 99:59:59,999 sicherstellen und erst spät sicherstellen weil damit signalisierst du überhaupt 519 99:59:59,999 --> 99:59:59,999 Interesse an der ernsthaftes Interesse an der Wiederherstellung. Und dann kommen die 520 99:59:59,999 --> 99:59:59,999 klugen Leute und sagen hey vorsicht wenn du zahlst, dann hacken sie dich direkt 521 99:59:59,999 --> 99:59:59,999 wieder. Und das ist aber Quatsch, übrigens hier das ist also auf dem Sixpack steht 522 99:59:59,999 --> 99:59:59,999 Mythos auf dem nächsten Sixpack steht Realität aber dol i kann nicht so gut 523 99:59:59,999 --> 99:59:59,999 schreiben wie ich. Die Realität ist [Filler, please remove in amara] 524 99:59:59,999 --> 99:59:59,999 *lächeln* [Filler, please remove in amara] 525 99:59:59,999 --> 99:59:59,999 der Rest des Internets wartet auf Sie die haben überhaupt gar keinen Grund noch mal 526 99:59:59,999 --> 99:59:59,999 dich zu hacken, die geben auch übrigens Garantien dass diese Ransomware Gang dich 527 99:59:59,999 --> 99:59:59,999 nicht noch mal hackt. Es gibt aber genug Andere also früher oder später musst du 528 99:59:59,999 --> 99:59:59,999 dich schützen und ich kenne mehrere Fälle in den die CEOs oder der Vorstand, oder 529 99:59:59,999 --> 99:59:59,999 sonst was nach der Zahlung gesagt hat, jetzt haben wir es hinter uns lehnt euch 530 99:59:59,999 --> 99:59:59,999 zurück, fahrt die Systeme wieder hoch, alles rein ins ad und den MySQL Server in 531 99:59:59,999 --> 99:59:59,999 die Cloud und gebt ihm und kurze Zeit darauf war das Geschrei groß, ja? Also ihr 532 99:59:59,999 --> 99:59:59,999 kommt sowieso nicht drum herum euch besser zu schützen am besten macht ihr das bevor 533 99:59:59,999 --> 99:59:59,999 ihr den Case habt, aber egal ob du zahlst oder nicht die Anderen werden kommen, ja? 534 99:59:59,999 --> 99:59:59,999 Du hältst dir eine von 100 Gangs vom Leib und dummerweise machen die nicht so eine 535 99:59:59,999 --> 99:59:59,999 Garantie wie Schutzgeld, dass sie sagen pass auf wenn die anderen Gangs kommen 536 99:59:59,999 --> 99:59:59,999 dann prügeln wir die raus oder so. [Filler, please remove in amara] 537 99:59:59,999 --> 99:59:59,999 *lachen* [Filler, please remove in amara] 538 99:59:59,999 --> 99:59:59,999 Na ja, dann sagen Sie hier ist unser unsere Bitcoin Wallet ja die nehmen 539 99:59:59,999 --> 99:59:59,999 üblicherweise eine frische brauchen sie auch damit sie erkennen dass die Zahlung 540 99:59:59,999 --> 99:59:59,999 von dir ist. Du nimmst üblicherweise eine frische und schickst mal ein satoschi 541 99:59:59,999 --> 99:59:59,999 rüber, ja? Achtung, das ist interessanter Moment weil dann sehen die wie viel Geld 542 99:59:59,999 --> 99:59:59,999 auf deinem Wallet liegt. Ja in dem Moment beweist du dass du über ein über eine 543 99:59:59,999 --> 99:59:59,999 Summe verfügst. Es kann also durchaus auch interessant sein an der Stelle vielleicht 544 99:59:59,999 --> 99:59:59,999 doch nur 40 da liegen zu haben statt der 50 und zu sagen hey Scheiße, Freitagabend, 545 99:59:59,999 --> 99:59:59,999 du weißt wie das ist, neh, ich habe jetzt echt nicht 546 99:59:59,999 --> 99:59:59,999 *viele lachen* [Filler, please remove in amara] 547 99:59:59,999 --> 99:59:59,999 Dann sagen sie, ist angekommen und dann schickst du den Rest und jetzt kommt sehr 548 99:59:59,999 --> 99:59:59,999 ein sehr wichtiger Hinweis, bezahle nur wenn du ein Business Case hast. Du hast 549 99:59:59,999 --> 99:59:59,999 meistens keinen, das Einzige was hier eine Rolle spielt ist, dass deine 550 99:59:59,999 --> 99:59:59,999 Wiederherstellung potentiell schneller geht. Alle sonstigen Folgekosten die 551 99:59:59,999 --> 99:59:59,999 Systemeherten, die Systeme desinfizieren, Dinge maximal neu aufbauen, eine komplette 552 99:59:59,999 --> 99:59:59,999 Renovierung deiner Infrastruktur, die Kosten hast Du ohnehin, die hast du auch 553 99:59:59,999 --> 99:59:59,999 jetzt schon vor dir, weil du es e machen musst entweder bevor du gebreacht wurdest 554 99:59:59,999 --> 99:59:59,999 oder danach. Das heißt du musst diesen Case wirklich sehr genau durchrechnen 555 99:59:59,999 --> 99:59:59,999 bevor du in Erwägung ziehst eine solche Zahlung vorzunehmen. Wenn du es dann 556 99:59:59,999 --> 99:59:59,999 gemacht hast, kommt sowas wie Yow, wir haben deine Dateien gelöscht, hier ist das 557 99:59:59,999 --> 99:59:59,999 deleition Lock, also das Output von rm-RF. Das sieht dann so aus, und *Linus lächelt* 558 99:59:59,999 --> 99:59:59,999 ich meine die haben sogar ihre local language auf Russisch eingestellt, ja? 559 99:59:59,999 --> 99:59:59,999 also man sieht hier unten die Translation für gelöscht und Verzeichnis gelöscht also 560 99:59:59,999 --> 99:59:59,999 ein Output von rm-RF. Und dann sagen sie yoh, wir bereiten jetzt dein Decrypter 561 99:59:59,999 --> 99:59:59,999 vor. [Filler, please remove in amara] 562 99:59:59,999 --> 99:59:59,999 *einzelne gelächter* [Filler, please remove in amara] 563 99:59:59,999 --> 99:59:59,999 Und man denkt so, bei den anderen geht das eigentlich immer relativ schnell. *Linus 564 99:59:59,999 --> 99:59:59,999 lächelt* So nach einer Stunde fragt man mal nach und dann kommt, eh ich kann den 565 99:59:59,999 --> 99:59:59,999 Typen nicht erreichen, hab mal kurz gedult bitte und dann kann das manchmal ein 566 99:59:59,999 --> 99:59:59,999 bisschen dauern und dann kommt hey, hier ist der Decrypter, sorry der Typ war 567 99:59:59,999 --> 99:59:59,999 draußen einen saufen, Ja? [Filler, please remove in amara] 568 99:59:59,999 --> 99:59:59,999 *video läufzt, alle lachen* [Filler, please remove in amara] 569 99:59:59,999 --> 99:59:59,999 Und an dieser Stelle zeigt sich, du würdest dem Level One Support auch keinen 570 99:59:59,999 --> 99:59:59,999 Schlüssel geben der Millionen wert ist, weil dann machen sie side Deals ja? Dann 571 99:59:59,999 --> 99:59:59,999 verkaufen die den Schlüssel über ihre eigene Konten. Klüger hat das LV gemacht, 572 99:59:59,999 --> 99:59:59,999 blackcat be denen war das so, die haben quasi also auf Ihrem Server war das 573 99:59:59,999 --> 99:59:59,999 Bitcoin Wallet direkt angegeben und hat das immer gepollt, ja? Und das heißt auch 574 99:59:59,999 --> 99:59:59,999 die Veröffentlichung von den decryption Tools und deinem Pentestbericht erfolgte 575 99:59:59,999 --> 99:59:59,999 automatisch, so haben die den Key von den von ihren Verhandlern weggehalten. Bei 576 99:59:59,999 --> 99:59:59,999 dieser Gang die ich hier im Beispiel hatte war es eben so, dass sie manuelle 577 99:59:59,999 --> 99:59:59,999 Interaktion oder oder direkte Interaktion mit ihrem Chef brauchten und die hatten 578 99:59:59,999 --> 99:59:59,999 halt echt nicht dessen die Nummer, nah? Die können halt auch nur mit dem über 579 99:59:59,999 --> 99:59:59,999 diesen Chat kommunizieren, aber ich bin ehrlich die Stunden bis wir den Decrypter 580 99:59:59,999 --> 99:59:59,999 hatten waren etwas weniger entspannt, auch wenn ich mir relativ sicher war, dass sie 581 99:59:59,999 --> 99:59:59,999 die Zahlung machen würden. Und Kai kann noch mal ein bisschen was darüber reden, 582 99:59:59,999 --> 99:59:59,999 wie es dann auf der anderen Seite aussieht. 583 99:59:59,999 --> 99:59:59,999 Kai: Wir machen noch mal ein kleinen Exkurs zu den Leuten, die auf der anderen 584 99:59:59,999 --> 99:59:59,999 Seite sitzen. Das interessante an diesen Modellen ist, wir kommen auch gleich noch 585 99:59:59,999 --> 99:59:59,999 zum Level 1 Support. Das interessante an diesen Modellen ist dass sehr viel 586 99:59:59,999 --> 99:59:59,999 outgesourced ist, wie in der Wirtschaft auch an sogenannte Affiliates, da ist 587 99:59:59,999 --> 99:59:59,999 Einer. Das sind Menschen die sozusagen auf eigene Rechnung für irgendeine Ransomware 588 99:59:59,999 --> 99:59:59,999 Familie arbeiten und ihre Beute teilen, die Deals sind meist 75% für diese 589 99:59:59,999 --> 99:59:59,999 Menschen, 25% oder 20% für die Gäng dahinter, die Vermieter den wir vorhin 590 99:59:59,999 --> 99:59:59,999 gesehen haben. Das hier ist Sebastian Vahoung, ein Kanadier inzwischen 591 99:59:59,999 --> 99:59:59,999 verurteilt. Der hat für Networker gearbeitet, wieder eine sehr große Familie 592 99:59:59,999 --> 99:59:59,999 und war der eifrigste Affiliate von Networker. Der hat dutzende Angriffe 593 99:59:59,999 --> 99:59:59,999 gefahren und allein er hat 1400 Bitcoin eingesammelt mit diesen Erpressung, damals 594 99:59:59,999 --> 99:59:59,999 27 Millionen Dollar. Jetzt fragt man sich, wer ist so ein Mensch, ja? Dem ging es gar 595 99:59:59,999 --> 99:59:59,999 nicht so schlecht, das war sein Häuschen schon vorher, der wohnte da. In der Nähe 596 99:59:59,999 --> 99:59:59,999 von Ottawa war nettes kleines Häuschen, sieht ganz gemütlich aus, der war 597 99:59:59,999 --> 99:59:59,999 Computertechniker Universität Ottawa, aber der war so der Typ Kleinkrimineller der 598 99:59:59,999 --> 99:59:59,999 irgendwie so ein bisschen mehr will vom Leben als das was ihm sein dayjob bietet. 599 99:59:59,999 --> 99:59:59,999 Der ist auch schon mal mit Drogendelikten aufgefallen, hat 123 kg Marijana vertickt 600 99:59:59,999 --> 99:59:59,999 *viele Lachen* [Filler, please remove in amara] 601 99:59:59,999 --> 99:59:59,999 Kleinkram. Und ja das war dann beim Verhör, da war er nicht mehr so... Ich 602 99:59:59,999 --> 99:59:59,999 fand den Fall sehr interessant, ich habe ihn ein bisschen zugeguckt man konnte 603 99:59:59,999 --> 99:59:59,999 durch dan Corona konnte man der Gerichtsverhandlung im Internet folgen, 604 99:59:59,999 --> 99:59:59,999 wenn man so ein Link sich geholt hat von den Behörden dort und ein stiller 605 99:59:59,999 --> 99:59:59,999 freundlicher nicht blöder Mensch wie gesagt, ich glaube er wollte ein bisschen 606 99:59:59,999 --> 99:59:59,999 mehr vom Leben, das wird er jetzt nicht mehr kriegen. Und er ist auch deswegen ist 607 99:59:59,999 --> 99:59:59,999 er hier in der Sammlung ein Beispiel dafür dass die Täter Fehler machen. Auch das 608 99:59:59,999 --> 99:59:59,999 finde ich wichtig, die sind nicht unfehlbar. In dem Fall hier war das FBI in 609 99:59:59,999 --> 99:59:59,999 der Lage, wieder das FBI, die sind sehr aktiv seit einigen Jahren. Die Stufen 610 99:59:59,999 --> 99:59:59,999 Ransomware auf der Höhe von Terror ein in was ihre Ermittlung angeht inzwischen, nur 611 99:59:59,999 --> 99:59:59,999 so zur Wichtigkeit, das FBI hat den Server geknackt auf dem die Networker Leute mit 612 99:59:59,999 --> 99:59:59,999 ihren Affiliates geredet haben, neh die müssen ja reden miteinander, ich war hier, 613 99:59:59,999 --> 99:59:59,999 ich war da und diese Affiliates die müssen belegen dass sie irgendwo eingebrochen 614 99:59:59,999 --> 99:59:59,999 sind, dazu laden Sie Screenshots hoch der kopierten Daten, und in einem dieser 615 99:59:59,999 --> 99:59:59,999 Screenshots waren Metadaten Screenshot 2.png enthielt Metadaten und in Metadaten 616 99:59:59,999 --> 99:59:59,999 stand Sebastian Vahoun. Passiert den besten von uns. Außerdem nutzte er für die 617 99:59:59,999 --> 99:59:59,999 Kommunikation mit diesem Server zwar eine anonyme E-Mailadresse, war aber zu faul 618 99:59:59,999 --> 99:59:59,999 die auch anonym abzurufen, sondern sendete sich die E-Mails weiter an seine private 619 99:59:59,999 --> 99:59:59,999 Mailadresse [Filler, please remove in amara] 620 99:59:59,999 --> 99:59:59,999 *viele Lachen*. [Filler, please remove in amara] 621 99:59:59,999 --> 99:59:59,999 Über die auch seine amazon Bestellung liefen, so dass das FBI sofort auch seiner 622 99:59:59,999 --> 99:59:59,999 Adresse hatte. [Filler, please remove in amara] 623 99:59:59,999 --> 99:59:59,999 *einzelnes Lachen* [Filler, please remove in amara] 624 99:59:59,999 --> 99:59:59,999 Passiert im besten. Ja also die müssen miteinander reden, ganz kurz, die brauchen 625 99:59:59,999 --> 99:59:59,999 irgendeine Infrastruktur um zu kommunizieren und das meist der Ort wo sie 626 99:59:59,999 --> 99:59:59,999 angegriffen werden von Ermittlern. Übrigens Sebastian Vahoug sitzt jetzt für 627 99:59:59,999 --> 99:59:59,999 20 Jahre in den USA, danach dann noch drei Jahre Bewährung und ich glaube dann muss 628 99:59:59,999 --> 99:59:59,999 er noch die Freiheitsstrafe absetzen, die er in Kanada noch egal länger. So, also 629 99:59:59,999 --> 99:59:59,999 diese Leute bilden Banden, die Sourcen aus, die sind relativ organisiert und es 630 99:59:59,999 --> 99:59:59,999 sind ganz normale Menschen, ja, keine Götter, keine Superhacker. Das sind 631 99:59:59,999 --> 99:59:59,999 normale Menschen die Fehler machen. Und diese Arbeitsteilung dieser Band geht 632 99:59:59,999 --> 99:59:59,999 sogar noch viel weiter, hier seht ihr die unterste Ebene, hier seht ihr den Level 1 633 99:59:59,999 --> 99:59:59,999 Support. Das ist Alla Witte, eine, ich bedauere sie fast, inzwischen. Eine Frau, 634 99:59:59,999 --> 99:59:59,999 die in der Sowjetunion geboren wurde, sie hat dort mal Programmiererin für 635 99:59:59,999 --> 99:59:59,999 Funktechnik gelernt, sie ist inzwischen 57 Jahre alt, hat ein bisschen Pech gehabt im 636 99:59:59,999 --> 99:59:59,999 Leben, verwitwet, hat mit Scientology zu tun egal. Jedenfalls sie schlug sich so 637 99:59:59,999 --> 99:59:59,999 durch mit dem Programmieren von Websites, lebte in Surinam zu dem Zeitpunkt und 638 99:59:59,999 --> 99:59:59,999 programmierte auch für kleine Unternehmen so ein bisschen HTML und solche Dinge und 639 99:59:59,999 --> 99:59:59,999 dann bekam sie ein Jobangebot 2017 von einer russischen Softwarefirma, so sagt 640 99:59:59,999 --> 99:59:59,999 sie es. Ja mit der konnten wir auch reden. Dann gab's so ein Einstellungstest online, 641 99:59:59,999 --> 99:59:59,999 da musste sie so ein paar technische Fragen beantworten, den hat sie bestanden 642 99:59:59,999 --> 99:59:59,999 und dann hat man ihren Job angeboten, hat gesagt, pass auf 800 € im Monat kannst du 643 99:59:59,999 --> 99:59:59,999 von uns haben und dafür machst du hier so Entwicklertätigkeiten. Kam ein kleines 644 99:59:59,999 --> 99:59:59,999 Team mit neuen Leuten und die kannten sich alle nur über Java. Und ihr Job war es 645 99:59:59,999 --> 99:59:59,999 dann, und da fingen sie dann doch an drüber nachzudenken, ob das das richtige 646 99:59:59,999 --> 99:59:59,999 ist, sowas zu programmieren, nämlich Webseiten mit der Benutzeroberfläche auf 647 99:59:59,999 --> 99:59:59,999 der dann steht "ihr Computer ist infiziert". *Kai lächelt* Entschuldigung 648 99:59:59,999 --> 99:59:59,999 das wieder eine von dolies Erfindung, aber ich fand sie sehr hübsch. Und die 649 99:59:59,999 --> 99:59:59,999 Softwarefma, für die sie dort gearbeitet hat war Conti, eine der größten und 650 99:59:59,999 --> 99:59:59,999 organisiertesten Ransomware Banden die die Welt bislang gesehen hat , oder die größte 651 99:59:59,999 --> 99:59:59,999 und organisierteste, und ja Alla Witte war wie gesagt relativ unbedarft am Anfang, 652 99:59:59,999 --> 99:59:59,999 das glaube ich ihr sogar, weil bei Jabber hat sie sich noch angemeldet mit ihrem 653 99:59:59,999 --> 99:59:59,999 echten Namen Alla Witte, also den Jabber Server wo die Gang miteinander 654 99:59:59,999 --> 99:59:59,999 kommunizierte und der dann später geliegt wurde durch ein ROG Mitglied dieser Bande, 655 99:59:59,999 --> 99:59:59,999 so dass ihr Name relativ schnell klar war deswegen, war sie auch die erste die 656 99:59:59,999 --> 99:59:59,999 Probleme bekam. Also sie war in Surinam und eines Tages stand die Polizei von 657 99:59:59,999 --> 99:59:59,999 Surinam vor ihrer Tür und sagte, sorry wir nehmen Sie jetzt mit, ihr Visum ist 658 99:59:59,999 --> 99:59:59,999 abgelaufen und ihre Computer und so sammeln wir auch alles ein und wir 659 99:59:59,999 --> 99:59:59,999 schicken sie zurück nach Lettland, wo sie herkam. Sie sind hier nicht mehr 660 99:59:59,999 --> 99:59:59,999 erwünscht, ja. Der Flug landete dann seltsamerweise in Miami zwischen, da stand 661 99:59:59,999 --> 99:59:59,999 dann wieder das FBI und nahm sie mit in ein Gefängnis nach Ohio und da blieb sie 662 99:59:59,999 --> 99:59:59,999 relativ lange, weil das FBI glaubte okay wir haben hier sozusagen die Hacker Queen, 663 99:59:59,999 --> 99:59:59,999 die kann uns was über Konti erzählen, das war vor dem leack. Nah, das FBI hat sie 664 99:59:59,999 --> 99:59:59,999 vorer gefunden und hoffte, sie kann ihn viel verraten, aber sie kannte echt nur 665 99:59:59,999 --> 99:59:59,999 die neun Leute aus ihrem Team, das waren alles kleine freischaffende 666 99:59:59,999 --> 99:59:59,999 Softwareentwickler, System Admins , die sich ein bisschen was dazu verdienen 667 99:59:59,999 --> 99:59:59,999 wollten. Sie konnte ihnen nicht viel sagen, deswegen saß sie zwei Jahre dort im 668 99:59:59,999 --> 99:59:59,999 Knast ohne Prozess. Und es passiert einfach nichts, in der Zwischenzeit kam 669 99:59:59,999 --> 99:59:59,999 der Konti Leack und alle Welter erfuhr über diese Gang. Inzwischen ist sie 670 99:59:59,999 --> 99:59:59,999 freigelassen worden aus den USA, ist wieder zurück jetzt wieder in Lettland in 671 99:59:59,999 --> 99:59:59,999 Riga. Die meisten Vorwürfe wurden fallen gelassen, außer einer Verabredung zum 672 99:59:59,999 --> 99:59:59,999 Computerbetrug, aber das also es reichtte nicht um sie weiter festzuhalten, wie 673 99:59:59,999 --> 99:59:59,999 gesagt sie lebt in Riga, sie tut mir wirklich etwas leid. Inzwischen geht sie 674 99:59:59,999 --> 99:59:59,999 putzen. Das ist, ihr seht hier so die Struktur, von Konti das ist die unterste 675 99:59:59,999 --> 99:59:59,999 Ebene dieser wirklich organisierten Gang und wir reden hier über die die Profis der 676 99:59:59,999 --> 99:59:59,999 Branche. Die hatten alles, die hatten Chefs, die sich darum kümmerten Büros 677 99:59:59,999 --> 99:59:59,999 anzumieten in denen die Leute wirklich von 8 bis 5 gearbeitet haben, ja, die kamen 678 99:59:59,999 --> 99:59:59,999 da. Die wurden über Foren angeheuert und für day Jobs und die waren wie eine Firma 679 99:59:59,999 --> 99:59:59,999 organisiert. Ich zeige euch gleich noch zwei Mitglieder davon aus dem 680 99:59:59,999 --> 99:59:59,999 Führungsebene. Bis heute sind nicht alle identifiziert, vor Allen nicht der Kopf 681 99:59:59,999 --> 99:59:59,999 der Bande Stern, der ist nur unter diesem Händel bekannt, ich soweit ich weiß weiß 682 99:59:59,999 --> 99:59:59,999 bis heute niemand wer das ist, das ist ein Zeichen dafür dass es schon auch sehr 683 99:59:59,999 --> 99:59:59,999 fähige kriminelle in diesem Bereich gibt aber es sind Wenige. Und wenn ihr so wie 684 99:59:59,999 --> 99:59:59,999 Linus mit diesen Leuten zu tun habt, habt ihr nicht mit diesen Leuten zu tun 685 99:59:59,999 --> 99:59:59,999 niemals, also die machen sich die Finger da nicht mehr mit schmutzig, sondern es 686 99:59:59,999 --> 99:59:59,999 ist wie gesagt der Level 1 Support, aber es ist auch ein Beispiel, ja diese Banden 687 99:59:59,999 --> 99:59:59,999 machen Fehler, aber ja Sie können auch gar nicht so schlecht sein, wenn man Pech hat. 688 99:59:59,999 --> 99:59:59,999 Noch ein paar Gesichter, hier ist einer der Manager Maxim Galochkin, hat ein paar 689 99:59:59,999 --> 99:59:59,999 Softwarefmen, ist pleite gegangen, kommt aus Abakan in Russland, lebt da glaube ich 690 99:59:59,999 --> 99:59:59,999 noch immer, soweit zum seine Social Media Profile das hergeben. Der war zuständig 691 99:59:59,999 --> 99:59:59,999 dafür, dass also die haben alle Virencanner, die es auf dem Markt gab, 692 99:59:59,999 --> 99:59:59,999 sich so besorgt und er musste testen ob ihre Schadsoftware da durchgeht idR 693 99:59:59,999 --> 99:59:59,999 Evasion heißt das habe ich mir sagen... L: idR Evasion, ja. 694 99:59:59,999 --> 99:59:59,999 K: Der baut auch den Kryptolocker, also die Daten verschlüsselt, also sein Team. 695 99:59:59,999 --> 99:59:59,999 Er war Teamleiter und Manager, ja Maxim wandert gern, der hält nichts von 696 99:59:59,999 --> 99:59:59,999 Covidimpfung, ist ein großer Putin Fan und Verteidiger des Ukrainekrieges oder das 697 99:59:59,999 --> 99:59:59,999 Kriegs des Angriffs auf gegen die Ukraine und Anhänger irgendeines Komisischen 698 99:59:59,999 --> 99:59:59,999 Gurus. Letztlich ein ganz normaler Mensch. [Filler, please remove in amara] 699 99:59:59,999 --> 99:59:59,999 *viele Lachen* [Filler, please remove in amara] 700 99:59:59,999 --> 99:59:59,999 ist in Abwesenheit angeklagt in den USA, weil er Teil von Konti sein soll. Hier ist 701 99:59:59,999 --> 99:59:59,999 noch einer eine Ebene tiefer ein Teamleiter Oleg Kugarov aus Tolyati bei 702 99:59:59,999 --> 99:59:59,999 Samara, 50 Jahre alt. Ich finde den interessant, den man, weil also er nennt 703 99:59:59,999 --> 99:59:59,999 sich selber reverse engineer und mail Analyst und scheint schon länger in der 704 99:59:59,999 --> 99:59:59,999 Branche zu sein, also länger als Andere, viele Andere kommen wirklich aus legalen 705 99:59:59,999 --> 99:59:59,999 Bereichen und suchen verzweifelt einen Job. Viele können auch kein Englisch und 706 99:59:59,999 --> 99:59:59,999 finden in englischsprachigen Industrien da ja keinen Job, also man könnte ja auch 707 99:59:59,999 --> 99:59:59,999 remote arbeiten und finden kein Job, sie können halt nur russisch und gehen dann zu 708 99:59:59,999 --> 99:59:59,999 einer russischen Softwarefirma. Ja Oleg verkauft z.B Zero days im Darknet, 709 99:59:59,999 --> 99:59:59,999 zumindest habe ich so ein paar Hinweise darauf gefunden und, was ich auch 710 99:59:59,999 --> 99:59:59,999 interessant finde, der hat sich schon 2014 bei hacking Team beworben. Hacking Team 711 99:59:59,999 --> 99:59:59,999 war hier beim Kongress schon ein zwei mal Thema. Das war eine recht berüchtigte 712 99:59:59,999 --> 99:59:59,999 Firma die Späsoftware herstellte und von Finineas Fischer aufgebohrt und aus dem 713 99:59:59,999 --> 99:59:59,999 Wasser geblasen wurde, und für Konti hat er Leute angeworben und geführt als 714 99:59:59,999 --> 99:59:59,999 Teamleiter ja. Er grillt gern, er hat ein shibaainu, Namen Simba, ein kleines 715 99:59:59,999 --> 99:59:59,999 Häuschen, man sieht ih da in seiner Straße. Wie ernst diese Gangs sind, sieht 716 99:59:59,999 --> 99:59:59,999 man unter anderem daran, dass die USA bereits sind 10 Millionen Dollar zu zahlen 717 99:59:59,999 --> 99:59:59,999 für Hinweise, auf die noch nicht bekannten Mitglieder. Das ist schon ein Haufen Geld 718 99:59:59,999 --> 99:59:59,999 und es heißt dass diese Branche bis heute, die ganze Welt in Atem hält und kaum einen 719 99:59:59,999 --> 99:59:59,999 interessiert es. Und wie gesagt ich finde das immer noch seltsam. Noch dazu also 720 99:59:59,999 --> 99:59:59,999 Konti hat sich nicht hat sich selber zerlegt, neh. Das war nicht Ermittler, das 721 99:59:59,999 --> 99:59:59,999 hat nicht geholfen Alla Witte da einzusperren, sondern die haben sich 722 99:59:59,999 --> 99:59:59,999 selber ruiniert. Und ja Linus wird jetzt noch mal einen kurzen Vortrag über die 723 99:59:59,999 --> 99:59:59,999 Lehren daraus halten. [Filler, please remove in amara] 724 99:59:59,999 --> 99:59:59,999 *Linus lacht* [Filler, please remove in amara] 725 99:59:59,999 --> 99:59:59,999 L: Also was ich noch mal sehr wichtig finde, ist, ihr seht die leben dann 726 99:59:59,999 --> 99:59:59,999 verhältnismäßig entspannt ja? Also wenn man überlegt dass Konti war mal, blackhead 727 99:59:59,999 --> 99:59:59,999 wurden irgendwie so um die also üblicherweise werden immer so Einnahmen im 728 99:59:59,999 --> 99:59:59,999 im 100 Millionen Bereich kriegen die hin bis sie bis sie hochgehen ja. So ungefähr 729 99:59:59,999 --> 99:59:59,999 das ist so die Region, wenn man sich das anschaut. Und so viel Geld scheinen die 730 99:59:59,999 --> 99:59:59,999 Leute an der Spitze ja auch nicht zu haben, ich denke Kriminalität lohnt sich 731 99:59:59,999 --> 99:59:59,999 vor allem wegen der Nebenkosten nicht, ja? Also du hast, wenn du wenn dieses Geld 732 99:59:59,999 --> 99:59:59,999 übergeht auf das auf das Wallet geht, dauert wenige Minuten bis es von dort 733 99:59:59,999 --> 99:59:59,999 verteilt wird auf viele tausend einzelne wallets, also findet so ein 734 99:59:59,999 --> 99:59:59,999 Geldwäschevorgang statt. Früher gerne von Tornado Cash gemacht, heute vermutlich von 735 99:59:59,999 --> 99:59:59,999 Anderen, weil der Betreiber von Tornado Cash ja im Knast sitzt und keine Zugriff 736 99:59:59,999 --> 99:59:59,999 mehr auf seine Systeme hat. Die müssen sich in ihrer Interaktion sicher sein dass 737 99:59:59,999 --> 99:59:59,999 es Menschen gibt die lieber 10 Millionen haben können, wenn sie verraten wer Sie 738 99:59:59,999 --> 99:59:59,999 sind, und das führt dazu, dass du auch echt extrem, sag ich mal dein 739 99:59:59,999 --> 99:59:59,999 Freundeskreis wird sehr teuer, ja, weil du sicherstellen musst, dass jeder von denen 740 99:59:59,999 --> 99:59:59,999 keinen Grund findet sich die 10 Millionen zu holen. Also es ist eigentlich insgesamt 741 99:59:59,999 --> 99:59:59,999 dann doch glaube ich kein Lebensstil der sich empfiehlt, das nur noch mal am Rande. 742 99:59:59,999 --> 99:59:59,999 Kommen wir zum Fazit. Wir wissen, wie die Angreifer vorgehen und wie man sich 743 99:59:59,999 --> 99:59:59,999 schützt von Conti. Wir haben es nicht in dem Leak, die haben ein Manual die haben 744 99:59:59,999 --> 99:59:59,999 halt Probleme gehabt Nachwuchs zu finden, haben sie ein Buch geschrieben so ein 745 99:59:59,999 --> 99:59:59,999 kleines PDF, wie man jetzt musst du da klicken und dann musst Du hier ne Blatt 746 99:59:59,999 --> 99:59:59,999 hauen und dann guckst du da und dann kürzester Weg zum Domänenadmin, da musst 747 99:59:59,999 --> 99:59:59,999 du das machen, da musst Du hier Mimicuts und das ist alles drin, ja? Die Angreifer, 748 99:59:59,999 --> 99:59:59,999 also du brauchst sowieso ein Wiederherstellungskonzept, solange wir den 749 99:59:59,999 --> 99:59:59,999 dieses diesen Sumpf nicht trocken legen, dass wir gezwungen sind zu zahlen, werden 750 99:59:59,999 --> 99:59:59,999 die das weiter tun, da hilft auch kein Verbot der Zahlungen. Die Angreifer 751 99:59:59,999 --> 99:59:59,999 verlieren aber auch alles, wenn Du nicht zahlst. Also wenn du in der unglücklichen 752 99:59:59,999 --> 99:59:59,999 Situation bist, in der du niemals sein willst, stell ihn glaubhaft in Aussicht, 753 99:59:59,999 --> 99:59:59,999 dass sie gar nichts bekommen, das ist der einzige Weg den Preis nach unten zu 754 99:59:59,999 --> 99:59:59,999 drücken. Sie wollen Druck erzeugen, beuge dich dem Druck nicht und nehm ihn die 755 99:59:59,999 --> 99:59:59,999 Druckmittel. Also wann immer die sagen, hier Tage und so weiter, sagst du einfach 756 99:59:59,999 --> 99:59:59,999 moment mal, neh, also mach mal ein bisschen länger, also ehrlich gesagt keine 757 99:59:59,999 --> 99:59:59,999 Ahnung, also auf Zeit zu spielen, macht bei Ihnen den Druck, dass sie das Geld 758 99:59:59,999 --> 99:59:59,999 nicht bekommen. Sie müssen einen Ruf pflegen. Dich zu betrügen schidet ihn also 759 99:59:59,999 --> 99:59:59,999 mehr, als es ihnen selbst nützt, ja? Also es wäre für die, ist es günstiger einfach 760 99:59:59,999 --> 99:59:59,999 den nächsten zu hacken und ihr Glück da zu probieren, als dich noch mal zu hacken. 761 99:59:59,999 --> 99:59:59,999 Das heißt aber nicht, dass es Andere nicht tun. Ja also bitte bitte bitte, ihr müsst 762 99:59:59,999 --> 99:59:59,999 euch so oder so schützen! Die Liste der extrahierten Dateien gibt's kostenlos, die 763 99:59:59,999 --> 99:59:59,999 brauchst du für die DSGVO Meldung, schadet nicht sich die abzuholen. Auch wenn du 764 99:59:59,999 --> 99:59:59,999 zahlst, hast du hohe Folgekosten, du musst dich sowieso noch schützen und du du musst 765 99:59:59,999 --> 99:59:59,999 dich auch vergewissern, dass du wirklich ein Business Case hast. Meistens hast du 766 99:59:59,999 --> 99:59:59,999 den nicht, deswegen drücken die ja so bei der Zeit, weil sie wissen, je länger du 767 99:59:59,999 --> 99:59:59,999 über die Situation nachdenkst, umso mehr Möglichkeiten dich da selber rauszuheben 768 99:59:59,999 --> 99:59:59,999 findest du und umso besser geht's dir und so wahrscheinlicher ist es, dass sie ihr 769 99:59:59,999 --> 99:59:59,999 Geld nicht kriegen. Die Angreifer sind nicht unfehlbar und trotzdem brauchst du 770 99:59:59,999 --> 99:59:59,999 ein Wiederherstellungskonzept, so oder so und zwar jetzt. Übrigens zum Thema 771 99:59:59,999 --> 99:59:59,999 unfehlbar, hat mein Kollege Tobias heute ne gestern einen Vortrag gehalten, der hat 772 99:59:59,999 --> 99:59:59,999 den Titel unlocked recovering Files taken hostage by Ransomware, weil wir als 773 99:59:59,999 --> 99:59:59,999 kleiner Nebenaktivität unserer Aktivitäten in diesem Bereich noch ein Decrypter 774 99:59:59,999 --> 99:59:59,999 veröffentlichen. Dieser Talk ist Teil einer Reihe, sie begann mit Hirnehaken, 775 99:59:59,999 --> 99:59:59,999 sie ging weiter mit Disclosure Hack und hackback von Kantorkel Dominik und mir 776 99:59:59,999 --> 99:59:59,999 beim Camp. Sie hatte einen Höhepunkt gestern mit Unlocked! dem Release des 777 99:59:59,999 --> 99:59:59,999 decrypters für blackbuster von Tobias und sie findet hoffentlich hier Ende mit 778 99:59:59,999 --> 99:59:59,999 hierirner Hacken hackback Edition von Kai Biermann und mir, weil damit sollte jetzt 779 99:59:59,999 --> 99:59:59,999 zum Thema hoffentlich alles gesagt sein, vielen Dank. 780 99:59:59,999 --> 99:59:59,999 *Applaus* [Filler, please remove in amara] 781 99:59:59,999 --> 99:59:59,999 *Musik* [Filler, please remove in amara] 782 99:59:59,999 --> 99:59:59,999 K: Danke! Herald: Wunderbar, super ja vielen Dank an 783 99:59:59,999 --> 99:59:59,999 Linus und Kai. [Filler, please remove in amara] 784 99:59:59,999 --> 99:59:59,999 *37c3 Nachspannmusik* [Filler, please remove in amara]