1
00:00:09,625 --> 00:00:13,142
<i>37C3 Anspannungsmusik</i>

2
00:00:13,143 --> 00:00:18,080
Engel: Ok dann freue ich mich euch alle
sehr herzlich zu hirnehacken der hackback

3
00:00:18,080 --> 00:00:23,280
Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai

4
00:00:23,280 --> 00:00:29,120
Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant

5
00:00:29,120 --> 00:00:34,200
und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs

6
00:00:34,200 --> 00:00:39,240
verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und

7
00:00:39,240 --> 00:00:45,000
hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt

8
00:00:45,000 --> 00:00:50,240
und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch

9
00:00:50,240 --> 00:00:55,960
das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die

10
00:00:55,960 --> 00:00:59,920
spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!

11
00:00:59,920 --> 00:01:08,346
<i>applaus</i>

12
00:01:08,346 --> 00:01:15,040
Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch das der Linus der wurde

13
00:01:15,040 --> 00:01:19,320
schon kurz vorgestellt, der mag gern
reiten schwimmen und hacken so viel zu

14
00:01:19,320 --> 00:01:23,560
seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma

15
00:01:23,560 --> 00:01:29,480
gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine

16
00:01:29,480 --> 00:01:36,320
Hobbys die er öffentlich nennen möchte.
<i>Lachen</i> Und ruft gerne mal an wenn jemand

17
00:01:36,320 --> 00:01:41,264
gecybert wird weil er im
Investigativressort von Zeit und Zeit

18
00:01:41,264 --> 00:01:47,160
online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der

19
00:01:47,160 --> 00:01:51,659
erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!

20
00:01:51,659 --> 00:01:57,517
<i>gemurmel</i> und und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu

21
00:01:57,517 --> 00:02:03,899
langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain

22
00:02:03,899 --> 00:02:08,443
eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu

23
00:02:08,443 --> 00:02:13,410
hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der

24
00:02:13,410 --> 00:02:18,397
mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten

25
00:02:18,397 --> 00:02:22,396
zurückkaufen und ich sage in die
Schwachstelle."

26
00:02:22,396 --> 00:02:25,762
<i>wachsendes Lachen</i>

27
00:02:25,762 --> 00:02:29,455
Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was

28
00:02:29,455 --> 00:02:34,180
ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es

29
00:02:34,180 --> 00:02:38,088
ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,

30
00:02:38,088 --> 00:02:42,382
werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den

31
00:02:42,382 --> 00:02:44,949
Schaden vor wenn ich veröffentliche."

32
00:02:44,949 --> 00:02:46,930
<i>Lachen</i>

33
00:02:46,930 --> 00:02:52,661
Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine

34
00:02:52,661 --> 00:02:56,456
Forderung uns mitgeteilt: "ich will
2000€".

35
00:02:56,456 --> 00:03:04,275
<i>Lachen</i>

36
00:03:04,275 --> 00:03:08,880
L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit

37
00:03:08,880 --> 00:03:14,120
ein bisschen mehr Forderung hätten wir i
wahrscheinlich auch ernst genommen, haben

38
00:03:14,120 --> 00:03:18,040
uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er

39
00:03:18,040 --> 00:03:22,480
sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich

40
00:03:22,480 --> 00:03:27,750
jetzt entscheiden, das ist kein Blöff."

41
00:03:27,750 --> 00:03:27,800
<i>laute Lachen</i>

42
00:03:27,800 --> 00:03:30,271
Da haben wir erstmal ein Tee getrunken

43
00:03:30,271 --> 00:03:31,640
<i>lachen</i>

44
00:03:31,640 --> 00:03:35,611
und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden

45
00:03:35,611 --> 00:03:38,105
<i>viele lachen</i>

46
00:03:38,105 --> 00:03:42,434
aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also

47
00:03:42,434 --> 00:03:48,733
erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein

48
00:03:48,733 --> 00:03:53,490
letztes Mal 24 Stunden dann aber wirklich!
und dann wurden die Drohungen "sagt er,"

49
00:03:53,490 --> 00:03:57,806
und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert

50
00:03:57,806 --> 00:04:02,447
und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so

51
00:04:02,447 --> 00:04:08,338
na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht

52
00:04:08,338 --> 00:04:14,360
2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für einer? Ja

53
00:04:14,360 --> 00:04:18,520
also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails

54
00:04:18,520 --> 00:04:24,000
schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,

55
00:04:24,000 --> 00:04:28,280
ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei

56
00:04:28,280 --> 00:04:33,440
Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im

57
00:04:33,440 --> 00:04:37,080
Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären

58
00:04:37,080 --> 00:04:42,320
dass er 2000€ für viel Geld hält <i>lachen</i>
oder ist Irgendjemand mit Chat GPT in

59
00:04:42,320 --> 00:04:45,720
Indien oder so für den das potenziell auch
viel Geld wäre also haben wir uns überlegt

60
00:04:45,720 --> 00:04:49,640
na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch

61
00:04:49,640 --> 00:04:53,720
mal und haben da gesagt:
L: Also pass auf du solltest deine Server

62
00:04:53,720 --> 00:04:57,880
echt nicht in der EU hosten, weil
<i>Gelächter</i> die Polizeibehörden hier

63
00:04:57,880 --> 00:05:03,760
arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit

64
00:05:03,760 --> 00:05:08,617
der Kreditkarte zahlen.

65
00:05:08,617 --> 00:05:08,680
<i>Linus lacht, viele Lachen</i>

66
00:05:08,680 --> 00:05:13,600
Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von

67
00:05:13,600 --> 00:05:20,040
deinem anderen vServer aus, ja? Kam
erstmal nichts. <i>einige lachen</i> und dann

68
00:05:20,040 --> 00:05:24,065
hab ich gesagt:
L: Pass auf in 24 Stunden

69
00:05:24,065 --> 00:05:31,095
<i>sehr viele Lachen, Applaus</i>

70
00:05:31,095 --> 00:05:34,360
geht unser Bericht ans LKA die
Datenschutzmeldung haben wir ohnehin schon

71
00:05:34,360 --> 00:05:38,120
gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben

72
00:05:38,120 --> 00:05:40,560
gesagt:
L: Pass auf wenn du deine Daten löscht

73
00:05:40,560 --> 00:05:43,562
bekommst du McDonald's Gutschein

74
00:05:43,562 --> 00:05:43,680
<i>viele lachen</i>

75
00:05:43,680 --> 00:05:54,440
über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt! L: Wie

76
00:05:54,440 --> 00:05:59,480
so ... was für Offshore Server? was für
Verschlüsselung?

77
00:06:00,320 --> 00:06:08,197
"Ich will 2000€ sie haben 24 Stunden
<i>einige lachen</i> sonst ..."

78
00:06:08,197 --> 00:06:11,600
L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet

79
00:06:11,600 --> 00:06:17,080
und dann kam dedos <i>einzelne Gelächter</i>
dann haben wir cloudflare dazwischen

80
00:06:17,080 --> 00:06:21,036
geschaltet und dann waren wir fertig ja

81
00:06:21,036 --> 00:06:21,080
<i>lachen</i>

82
00:06:21,080 --> 00:06:25,120
weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war

83
00:06:25,120 --> 00:06:28,360
viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder

84
00:06:28,360 --> 00:06:33,440
gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber

85
00:06:33,440 --> 00:06:37,880
natürlich sind nicht alle Diskussionen
oder alle solche Fälle wenn man mit einem

86
00:06:37,880 --> 00:06:41,860
verwirten Einzeltäter zu tun hat so
glimpflig und so einfach.

87
00:06:41,860 --> 00:06:49,440
Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat

88
00:06:49,440 --> 00:06:52,480
mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor

89
00:06:52,480 --> 00:06:56,120
Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich

90
00:06:56,120 --> 00:07:00,240
gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat

91
00:07:00,240 --> 00:07:05,880
in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,

92
00:07:05,880 --> 00:07:13,160
psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen

93
00:07:13,160 --> 00:07:19,960
gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen alle

94
00:07:19,960 --> 00:07:24,200
Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat

95
00:07:24,200 --> 00:07:31,560
anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals ist

96
00:07:31,560 --> 00:07:39,200
schon zwei Jahre her ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee

97
00:07:39,200 --> 00:07:46,080
getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail

98
00:07:46,080 --> 00:07:50,840
geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will

99
00:07:50,840 --> 00:07:57,200
ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz

100
00:07:57,200 --> 00:08:02,520
veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung

101
00:08:02,520 --> 00:08:07,400
von ihm könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er

102
00:08:07,400 --> 00:08:14,600
inzwischen er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit

103
00:08:14,600 --> 00:08:18,600
Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der

104
00:08:18,600 --> 00:08:23,320
hat mit 15 seine erste Verurteilung
kassiert, damals war er an Didos Attacken

105
00:08:23,320 --> 00:08:26,360
beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal

106
00:08:26,360 --> 00:08:29,240
gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,

107
00:08:29,880 --> 00:08:35,560
kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche

108
00:08:35,560 --> 00:08:39,640
Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen

109
00:08:39,640 --> 00:08:44,240
data breach ein ziemlich shocking Act und
die Formulierung ist interessant, weil es

110
00:08:44,240 --> 00:08:49,040
mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen

111
00:08:49,040 --> 00:08:52,840
wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so

112
00:08:52,840 --> 00:08:59,240
ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von

113
00:08:59,240 --> 00:09:03,120
allen finnischen Patienten und
Patienttinlagen war erstens eine

114
00:09:03,120 --> 00:09:07,840
selbstgebaute me SQL Datenbank die hingt
zweitens im Netz war drittens über Google

115
00:09:07,840 --> 00:09:12,220
zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.

116
00:09:12,220 --> 00:09:22,560
<i>gemurmel</i> Auslieferungszustand sozusagen.
Wer macht sowas? Er das ist der CEO dieser

117
00:09:22,560 --> 00:09:27,080
Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert

118
00:09:27,080 --> 00:09:31,320
hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt

119
00:09:31,320 --> 00:09:35,440
dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen

120
00:09:35,440 --> 00:09:41,160
erpresst wurden sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein

121
00:09:41,160 --> 00:09:44,440
Fakt zu den Patientendaten den ich sehr
interessant finde, sie waren nicht

122
00:09:44,440 --> 00:09:51,280
anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle

123
00:09:51,280 --> 00:09:56,040
Gesundheitsdaten hat und die Firma hat
auch Vorgaben des finnischen

124
00:09:56,040 --> 00:10:01,600
Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem

125
00:10:01,600 --> 00:10:09,840
Täter weil also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder

126
00:10:09,840 --> 00:10:16,480
den kmit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,

127
00:10:16,480 --> 00:10:19,280
weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen

128
00:10:19,280 --> 00:10:24,120
hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt dann liege ich

129
00:10:24,120 --> 00:10:31,200
eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei

130
00:10:31,200 --> 00:10:34,920
war er hat es in ein finnischen imagebard
gemacht, ich hoffe ich spreche das richtig

131
00:10:34,920 --> 00:10:39,960
aus, yilli lauter heißt es das Problem
dabei war er hat so ein paar Informationen

132
00:10:39,960 --> 00:10:45,280
seines Servers von dem er ausgeleakt hat
mitgeleakt, <i>gemurmel</i> IP-Adressen und

133
00:10:45,280 --> 00:10:49,440
solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ

134
00:10:49,440 --> 00:10:53,320
schnell dahinter kam dass da so ein
Netzwerk von Servern existiert dass jemand

135
00:10:53,320 --> 00:11:02,190
mit seiner Kreditkarte bezahlt hatte.
<i>einzelne Applaus</i> Wird noch schöner. *Kai

136
00:11:02,190 --> 00:11:06,480
lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, was

137
00:11:06,480 --> 00:11:17,280
zaht nicht ja sind keine netten Leute. Der
Mann reiste viel er war er tauchte unter.

138
00:11:17,280 --> 00:11:20,760
Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in

139
00:11:20,760 --> 00:11:25,720
Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee

140
00:11:25,720 --> 00:11:28,152
gehabt darüber im Internet zu posten

141
00:11:28,152 --> 00:11:28,200
<i>Gelächter</i>

142
00:11:28,200 --> 00:11:33,400
ja er hat wieder auf diesem imagebort
JimmiLauter ein Foto gepostet wo er an der

143
00:11:33,400 --> 00:11:37,720
französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser

144
00:11:37,720 --> 00:11:46,680
ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der

145
00:11:46,680 --> 00:11:51,000
Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch

146
00:11:51,000 --> 00:11:55,720
viel lustiger dieses Foto war so gut dass
die Polizei einen Fingerabdruck nehmen

147
00:11:55,720 --> 00:12:00,714
konnte.

148
00:12:00,714 --> 00:12:06,160
<i>Viele lachen, Applaus</i>

149
00:12:06,160 --> 00:12:11,240
Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.

150
00:12:11,240 --> 00:12:15,920
Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der

151
00:12:15,920 --> 00:12:22,120
hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem

152
00:12:22,120 --> 00:12:25,560
Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden

153
00:12:25,560 --> 00:12:32,000
war den Daumenabdruck extrahiert und
bewies dass das geht, danke Starbug! Die

154
00:12:32,000 --> 00:12:41,115
finnische Polizei hat dir zugeschaut.

155
00:12:41,115 --> 00:12:41,781
<i>Applaus</i>

156
00:12:41,781 --> 00:12:45,060
Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die

157
00:12:45,060 --> 00:12:50,568
eure Unternehmen ruinieren können oder
sich selbst oder beides wollen wir uns mal

158
00:12:50,568 --> 00:12:54,407
kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das

159
00:12:54,407 --> 00:12:59,960
ein bisschen ärgerlich weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren

160
00:12:59,960 --> 00:13:05,480
rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz

161
00:13:05,480 --> 00:13:10,260
eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016

162
00:13:10,260 --> 00:13:15,194
ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat

163
00:13:15,194 --> 00:13:19,768
irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von

164
00:13:19,768 --> 00:13:24,484
paar 100 Euro verlangt ja? Es kam dann
später wannacry das war im Prinzip auch so

165
00:13:24,484 --> 00:13:29,058
eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat

166
00:13:29,058 --> 00:13:34,113
also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert

167
00:13:34,113 --> 00:13:39,239
ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste riok damit

168
00:13:39,239 --> 00:13:44,951
angefangen haben zu erkennen dass das
Backup der natürliche Feind der Ransomware

169
00:13:44,951 --> 00:13:49,526
ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also

170
00:13:49,526 --> 00:13:53,266
komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen

171
00:13:53,266 --> 00:13:57,634
ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste

172
00:13:57,634 --> 00:14:02,064
Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und

173
00:14:02,064 --> 00:14:08,960
rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus ja das fing

174
00:14:08,960 --> 00:14:16,098
so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr

175
00:14:16,098 --> 00:14:20,734
auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.

176
00:14:20,734 --> 00:14:24,455
Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es

177
00:14:24,455 --> 00:14:29,663
gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal

178
00:14:29,663 --> 00:14:34,620
es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die

179
00:14:34,620 --> 00:14:39,191
gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so

180
00:14:39,191 --> 00:14:42,821
sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die

181
00:14:42,821 --> 00:14:46,515
fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.

182
00:14:46,515 --> 00:14:50,314
Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen

183
00:14:50,314 --> 00:14:53,705
aussieht ne haben eine Prävention
vielleicht eine Detektion und die Recovery

184
00:14:53,705 --> 00:14:58,860
eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht

185
00:14:58,860 --> 00:15:03,452
so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine

186
00:15:03,452 --> 00:15:08,258
Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D

187
00:15:08,258 --> 00:15:13,375
Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite

188
00:15:13,375 --> 00:15:17,219
Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin

189
00:15:17,219 --> 00:15:21,054
kaufen kannst habe ich in hier na hacken
schon ausführlich erklärt die Leute die

190
00:15:21,054 --> 00:15:26,752
die Webseite sehen füren dann als nächstes
ungefähr zu dieser Situation R weil das

191
00:15:26,752 --> 00:15:33,400
die einzige Möglichkeit ist an die Dateien
wieder ranzukommen. Wenn man das tut sieht

192
00:15:33,400 --> 00:15:38,945
eine Seite ungefähr so aus wo es ein
bisschen Instruktionen gibt wie man die

193
00:15:38,945 --> 00:15:44,521
Dateien wiederherstellt und außerdem sind
die Angreifer so nett sie versprechen den

194
00:15:44,521 --> 00:15:48,800
kompletten Bericht wie sie reingekommen
sind und ich denke natürlich als Security

195
00:15:48,800 --> 00:15:52,977
Konz, alles klar ein ordentlicher Bericht
ja cool so ein redam Bericht da bin ich

196
00:15:52,977 --> 00:15:57,621
mal gespannt das ist er ja und eine
Standardantwort die kommt in dem Moment wo

197
00:15:57,621 --> 00:16:01,923
die Bitcouins gezahlt sind erscheint die
im Chat ja so quasi in in der gleichen

198
00:16:01,923 --> 00:16:06,329
Zeit das heißt die ist hardcodet in dieser
Webseite drin und das bedeutet diese Web

199
00:16:06,329 --> 00:16:10,453
diese Angreifer sind absolute oneetrack
Ponys die haben es hier mit metapreta

200
00:16:10,453 --> 00:16:14,930
gemacht ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst

201
00:16:14,930 --> 00:16:20,589
damit man metapritter nicht erkennt ja und
diese Angreifer sind one Trick Ponys und

202
00:16:20,589 --> 00:16:26,200
du bist ihr Opfer. Wir alle kennen diesen
klugen Satz übrigens kann man immer sagen,

203
00:16:26,200 --> 00:16:29,953
kann man immer sagen, nur nicht beim
incident der kommt

204
00:16:29,953 --> 00:16:36,321
<i>Lachen, Applaus</i>

205
00:16:36,321 --> 00:16:46,792
also kommt nicht an, kommt nicht an. Ja
learn from my fail ja?

206
00:16:46,792 --> 00:16:48,989
<i>Lachen</i>

207
00:16:48,989 --> 00:16:51,804
Ich habe gerade gesagt wir sprechen über
double extortion, double extortion

208
00:16:51,804 --> 00:16:55,717
funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein

209
00:16:55,717 --> 00:16:59,918
Problem ist und sagen Backup haben wir
auch. Und das werden wir jetzt

210
00:16:59,918 --> 00:17:04,416
veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie

211
00:17:04,416 --> 00:17:08,670
verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der

212
00:17:08,670 --> 00:17:12,969
Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie

213
00:17:12,969 --> 00:17:18,143
versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen

214
00:17:18,143 --> 00:17:23,768
vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn

215
00:17:23,768 --> 00:17:28,907
hat schon mal auf ihren Anzeigetafeln
gehabt, ja? <i>lachen</i> Aber niemand kümmert

216
00:17:28,907 --> 00:17:34,296
sich drum und wenn du die Zeitung
aufmachst ja was was wird diskutiert?

217
00:17:34,296 --> 00:17:39,904
Cyberwar... Was wäre wie fürchterlich wäre
das Kai wenn der Cyberwar jetzt käme?

218
00:17:39,904 --> 00:17:43,383
Kai: Der schrecklich oder?
L: Das wär doch total schlimm ja.

219
00:17:43,383 --> 00:17:48,013
K: Ich mir wird langsam langweilig über
Rans zu schreiben ganz ehrlich weil es so

220
00:17:48,013 --> 00:17:52,520
vorheragbar ist und wenn man sich nur
einen kurzen Moment vorstellen würde

221
00:17:52,520 --> 00:17:57,238
überall in Deutschland würden maskierte
Menschen in große und kleine Firmen

222
00:17:57,238 --> 00:18:03,197
reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem

223
00:18:03,197 --> 00:18:08,556
Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles

224
00:18:08,556 --> 00:18:12,251
erwischt hat da rennen 100 Leute rein ja
reißen alle Rechner aus der Wand und

225
00:18:12,251 --> 00:18:16,311
verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?

226
00:18:16,311 --> 00:18:20,289
Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital

227
00:18:20,289 --> 00:18:24,750
passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar den sich

228
00:18:24,750 --> 00:18:28,704
vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich

229
00:18:28,704 --> 00:18:32,222
mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar

230
00:18:32,222 --> 00:18:36,226
mit ein paar Schamützeln im Internet. Ja
das ist klar vorweg zu sagen aber wenn wir

231
00:18:36,226 --> 00:18:40,018
uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im

232
00:18:40,018 --> 00:18:43,878
Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und

233
00:18:43,878 --> 00:18:47,903
es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere

234
00:18:47,903 --> 00:18:52,418
Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn

235
00:18:52,418 --> 00:18:56,614
irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht

236
00:18:56,614 --> 00:19:00,652
anders vorgehen als die Angreifer die uns
heute schon Millionen und Milliarden

237
00:19:00,652 --> 00:19:05,857
Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,

238
00:19:05,857 --> 00:19:11,257
die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen

239
00:19:11,257 --> 00:19:15,224
und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation

240
00:19:15,224 --> 00:19:18,801
braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes

241
00:19:18,801 --> 00:19:23,417
wiederherstellungskonzept. Euer Problem
ist nicht dass alle Dateien weg sind, euer

242
00:19:23,417 --> 00:19:27,446
Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das

243
00:19:27,446 --> 00:19:31,183
langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben

244
00:19:31,183 --> 00:19:35,056
ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort

245
00:19:35,056 --> 00:19:39,860
stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für

246
00:19:39,860 --> 00:19:43,974
eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf

247
00:19:43,974 --> 00:19:47,962
nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht

248
00:19:47,962 --> 00:19:52,390
ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest

249
00:19:52,390 --> 00:19:56,733
nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer

250
00:19:56,733 --> 00:20:01,294
eigenen Infrastruktur, es muss isoliert
sein also komplett getrenntes identity

251
00:20:01,294 --> 00:20:05,883
Access Management, keinesfalls im Active
Directory. Wer den Backup Server

252
00:20:05,883 --> 00:20:10,571
administriert geht mit einer Tastatur und
einem Bildschirm in den Serverraum und

253
00:20:10,571 --> 00:20:14,658
steckt die da dran. Keine remote
administration von dem Backup Server,

254
00:20:14,658 --> 00:20:18,721
keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir

255
00:20:18,721 --> 00:20:22,426
auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.

256
00:20:22,426 --> 00:20:26,751
Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte

257
00:20:26,751 --> 00:20:31,540
man da sparen wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup

258
00:20:31,540 --> 00:20:36,008
also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver

259
00:20:36,008 --> 00:20:39,920
integer! Und vor allem machen wir unsere
Backups risikobasiert also die

260
00:20:39,920 --> 00:20:44,984
Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die

261
00:20:44,984 --> 00:20:49,851
Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr

262
00:20:49,851 --> 00:20:53,258
mal jemanden seht der dann so ankommt
sagt, wir haben alles auf Tape und du

263
00:20:53,258 --> 00:20:58,363
denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? <i>lächelt</i> Dann

264
00:20:58,363 --> 00:21:04,182
verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die

265
00:21:04,182 --> 00:21:08,606
Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen

266
00:21:08,606 --> 00:21:12,040
gibt und das das was wir gleich über
Verhandlungen berichten, das vergessst ich

267
00:21:12,040 --> 00:21:15,671
am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute

268
00:21:15,671 --> 00:21:17,821
immer danach fragen, wie denn so eine
Verhandlung läuft.

269
00:21:17,821 --> 00:21:18,987
<i>einzelne Applaus</i>

270
00:21:18,987 --> 00:21:23,656
K: Ich entschuldige mich für diesen
Vortrag.

271
00:21:23,656 --> 00:21:28,662
<i>Applaus</i>

272
00:21:28,662 --> 00:21:31,950
K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den

273
00:21:31,950 --> 00:21:36,404
lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle

274
00:21:36,404 --> 00:21:40,637
beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,

275
00:21:40,637 --> 00:21:43,979
wie wir später festgestellt haben,
deswegen interessieren uns natürlich die

276
00:21:43,979 --> 00:21:48,316
psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir

277
00:21:48,316 --> 00:21:52,025
hier so ein paar vorstellen damit ihr eine
Vorstellung dafür kriegt, was sind das für

278
00:21:52,025 --> 00:21:56,364
Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen

279
00:21:56,364 --> 00:22:02,803
mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das

280
00:22:02,803 --> 00:22:08,121
ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist

281
00:22:08,121 --> 00:22:11,357
eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr

282
00:22:11,357 --> 00:22:16,200
gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er

283
00:22:16,200 --> 00:22:20,365
da fährt, das ist seiner das Klischee geht
noch viel weiter, wenn ihr das

284
00:22:20,365 --> 00:22:24,839
Nummernschild betrachtet falls ihr
russisch könnt, da steht W o R nicht Bor,

285
00:22:24,839 --> 00:22:30,907
sondern wor und wor übersetzt heißt Dieb
<i>lächelt</i>. Seine ganze Gang fuhr mit

286
00:22:30,907 --> 00:22:33,550
diesen Nummernschildern rum.

287
00:22:33,550 --> 00:22:34,905
<i>einzelne Gelächter</i>

288
00:22:34,905 --> 00:22:39,558
Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet

289
00:22:39,558 --> 00:22:46,380
und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling

290
00:22:46,380 --> 00:22:52,809
Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist

291
00:22:52,809 --> 00:22:57,756
die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie

292
00:22:57,756 --> 00:23:03,060
gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie

293
00:23:03,060 --> 00:23:07,198
die Großväter der Ransomware, die nannten
sich evil Corb, auch da waren sie relativ

294
00:23:07,198 --> 00:23:10,380
eindeutig in ihrer Bezeichnung.

295
00:23:10,380 --> 00:23:11,851
<i>Gelächter</i>

296
00:23:11,851 --> 00:23:14,760
Die haben schätzungsweise, es sind immer
Schätzung von Ermittlern deswegen wer weiß

297
00:23:14,760 --> 00:23:19,220
ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner

298
00:23:19,220 --> 00:23:24,786
namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking

299
00:23:24,786 --> 00:23:29,761
Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden

300
00:23:29,761 --> 00:23:36,332
gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch

301
00:23:36,332 --> 00:23:41,071
nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.

302
00:23:41,071 --> 00:23:45,507
Das Interessante ist weswegen wir sie hier
drin haben, sie sind wirklich sowas wie

303
00:23:45,507 --> 00:23:50,721
die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft

304
00:23:50,721 --> 00:23:55,860
mehrheitlich. Sie haben RAS erfunden
Ransomware SS Service also sie haben

305
00:23:55,860 --> 00:24:00,268
irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet

306
00:24:00,268 --> 00:24:05,535
verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie

307
00:24:05,535 --> 00:24:09,666
haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu

308
00:24:09,666 --> 00:24:13,848
beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,

309
00:24:13,848 --> 00:24:18,740
und wie sehen Leute aus die sowas dann
weiter verkaufen? So

310
00:24:18,740 --> 00:24:22,405
<i>Gelächter</i>

311
00:24:22,405 --> 00:24:27,690
das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer

312
00:24:27,690 --> 00:24:30,960
der Menschen die davon lebt diese
Vermietung zu organisieren,

313
00:24:30,960 --> 00:24:34,526
höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht

314
00:24:34,526 --> 00:24:37,795
verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in

315
00:24:37,795 --> 00:24:42,884
Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit

316
00:24:42,884 --> 00:24:48,850
Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was

317
00:24:48,850 --> 00:24:54,153
die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich

318
00:24:54,153 --> 00:24:59,805
gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten

319
00:24:59,805 --> 00:25:06,101
für Online Casinos und Krypto und anderen
Schmuddelkram und der vermietet oder hat

320
00:25:06,101 --> 00:25:11,647
vermietet REvil, ein weiteres großes
Ransomware, Familienmodell und er scheint

321
00:25:11,647 --> 00:25:17,051
nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist

322
00:25:17,051 --> 00:25:22,212
seine Frau, die tut hier nichts zur Sache
deswegen ist sie so ein bisschen

323
00:25:22,212 --> 00:25:26,444
ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,

324
00:25:26,444 --> 00:25:29,681
wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie

325
00:25:29,681 --> 00:25:33,983
beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,

326
00:25:33,983 --> 00:25:39,578
falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also

327
00:25:39,578 --> 00:25:45,305
die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren

328
00:25:45,305 --> 00:25:50,155
steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass

329
00:25:50,155 --> 00:25:54,105
man da seine Bitcoin Wallet eingravieren
kann.

330
00:25:54,105 --> 00:25:58,960
<i>Applaus</i>

331
00:25:58,960 --> 00:26:02,718
Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.

332
00:26:02,718 --> 00:26:07,720
Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht

333
00:26:07,720 --> 00:26:19,270
aber wir konnten sie leider nicht lesen.
Das FBI konnte es.

334
00:26:19,270 --> 00:26:24,351
<i>Applaus</i>

335
00:26:24,351 --> 00:26:28,457
Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ih beschlagnahmt, ne

336
00:26:28,457 --> 00:26:33,480
also die Krypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der

337
00:26:33,480 --> 00:26:36,648
größte Halter von Bitcoins überhaupt
weltweit, oder?

338
00:26:36,648 --> 00:26:39,740
<i>Viele lachen</i>

339
00:26:39,740 --> 00:26:43,996
So er selbst wurde nicht gefasst aber
junge Russen die sich für unverwundbar

340
00:26:43,996 --> 00:26:47,676
halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden

341
00:26:47,676 --> 00:26:52,547
bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die

342
00:26:52,547 --> 00:26:58,050
bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware

343
00:26:58,050 --> 00:27:03,273
Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die

344
00:27:03,273 --> 00:27:09,373
die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine

345
00:27:09,373 --> 00:27:16,753
Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine

346
00:27:16,753 --> 00:27:22,787
Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht weil dieser

347
00:27:22,787 --> 00:27:27,048
Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich

348
00:27:27,048 --> 00:27:32,195
erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war

349
00:27:32,195 --> 00:27:38,981
Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet

350
00:27:38,981 --> 00:27:46,218
ebenfalls eine riesige Ransomware Familie
ja die weltweit tausende Opfer verursacht

351
00:27:46,218 --> 00:27:52,474
hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI

352
00:27:52,474 --> 00:27:57,388
Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn

353
00:27:57,388 --> 00:28:03,149
erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen

354
00:28:03,149 --> 00:28:09,798
wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen

355
00:28:09,798 --> 00:28:14,130
gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden

356
00:28:14,130 --> 00:28:18,938
konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte

357
00:28:18,938 --> 00:28:24,500
Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser

358
00:28:24,500 --> 00:28:29,127
Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese

359
00:28:29,127 --> 00:28:34,189
Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei

360
00:28:34,189 --> 00:28:39,143
bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von

361
00:28:39,143 --> 00:28:43,070
emotet zusammen hier.
L: Sieht aus wie bei mir.

362
00:28:43,070 --> 00:28:45,778
<i>viele lachen</i>

363
00:28:45,778 --> 00:28:47,897
K: Okay du hast auch Flohmarktzeug?

364
00:28:47,897 --> 00:28:49,045
<i>lächelt</i>

365
00:28:49,045 --> 00:28:53,110
K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre

366
00:28:53,110 --> 00:28:58,026
alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der

367
00:28:58,026 --> 00:29:02,904
wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit

368
00:29:02,904 --> 00:29:08,161
uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche

369
00:29:08,161 --> 00:29:13,789
trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert

370
00:29:13,789 --> 00:29:21,187
wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro

371
00:29:21,187 --> 00:29:27,640
Server und Monat $480. Ich finde es
interessant, weil auch so gigantische

372
00:29:27,640 --> 00:29:31,574
Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit

373
00:29:31,574 --> 00:29:35,854
funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei

374
00:29:35,854 --> 00:29:42,280
die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom

375
00:29:42,280 --> 00:29:48,180
Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department

376
00:29:48,180 --> 00:29:53,704
KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,

377
00:29:53,704 --> 00:29:56,109
ich hät gern ein paar davon.

378
00:29:56,109 --> 00:29:57,215
<i>Gelächter</i>

379
00:29:57,215 --> 00:30:01,208
L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt dass

380
00:30:01,208 --> 00:30:05,998
ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,

381
00:30:05,998 --> 00:30:10,297
hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich

382
00:30:10,297 --> 00:30:15,099
habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So

383
00:30:15,099 --> 00:30:21,062
sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben

384
00:30:21,062 --> 00:30:25,732
wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da

385
00:30:25,732 --> 00:30:29,972
drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem

386
00:30:29,972 --> 00:30:35,519
Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen

387
00:30:35,519 --> 00:30:41,210
Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,

388
00:30:41,210 --> 00:30:44,749
ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal

389
00:30:44,749 --> 00:30:48,128
beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher

390
00:30:48,128 --> 00:30:51,540
zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der

391
00:30:51,540 --> 00:30:55,200
man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,

392
00:30:55,200 --> 00:30:59,540
ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10

393
00:30:59,540 --> 00:31:03,803
Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,

394
00:31:03,803 --> 00:31:09,045
ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,

395
00:31:09,045 --> 00:31:13,920
die die Verhandlung betreffen. Und man
sagt natürlich erstmal junge Beweis du

396
00:31:13,920 --> 00:31:16,962
doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich

397
00:31:16,962 --> 00:31:20,680
erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doof

398
00:31:20,680 --> 00:31:26,054
Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass

399
00:31:26,054 --> 00:31:30,464
man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du

400
00:31:30,464 --> 00:31:34,423
die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann

401
00:31:34,423 --> 00:31:39,141
kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann

402
00:31:39,141 --> 00:31:42,881
sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben

403
00:31:42,881 --> 00:31:47,540
dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und

404
00:31:47,540 --> 00:31:54,366
damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist

405
00:31:54,366 --> 00:32:00,601
deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für

406
00:32:00,601 --> 00:32:05,445
umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer

407
00:32:05,445 --> 00:32:10,160
Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese

408
00:32:10,160 --> 00:32:14,723
die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar

409
00:32:14,723 --> 00:32:20,461
keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?

410
00:32:20,461 --> 00:32:24,789
Kostenlose Leistung die man hier kriegt.

411
00:32:24,789 --> 00:32:25,816
<i>viele lachen</i>

412
00:32:25,816 --> 00:32:28,404
Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her

413
00:32:28,404 --> 00:32:32,029
das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann

414
00:32:32,029 --> 00:32:36,520
sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja

415
00:32:36,520 --> 00:32:42,340
eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die

416
00:32:42,340 --> 00:32:47,719
Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt

417
00:32:47,719 --> 00:32:50,470
ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die

418
00:32:50,470 --> 00:32:53,900
Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass

419
00:32:53,900 --> 00:32:58,155
auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das

420
00:32:58,155 --> 00:33:01,861
werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen

421
00:33:01,861 --> 00:33:05,907
dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen <i>gelächter</i>?

422
00:33:05,907 --> 00:33:10,120
Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass

423
00:33:10,120 --> 00:33:14,261
sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr

424
00:33:14,261 --> 00:33:20,100
traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden

425
00:33:20,100 --> 00:33:26,324
für dich selber weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich

426
00:33:26,324 --> 00:33:31,567
nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen

427
00:33:31,567 --> 00:33:36,739
sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden

428
00:33:36,739 --> 00:33:42,148
von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe

429
00:33:42,148 --> 00:33:45,696
Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One

430
00:33:45,696 --> 00:33:50,114
Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich

431
00:33:50,114 --> 00:33:54,795
der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen

432
00:33:54,795 --> 00:34:00,013
Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen

433
00:34:00,013 --> 00:34:02,585
digitalen Angriffen zu schützen.

434
00:34:02,585 --> 00:34:03,270
<i>Einzelne Applaus</i>

435
00:34:03,270 --> 00:34:06,653
Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,

436
00:34:06,653 --> 00:34:11,729
der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,

437
00:34:11,729 --> 00:34:16,925
Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen die der

438
00:34:16,925 --> 00:34:21,529
eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse

439
00:34:21,529 --> 00:34:25,230
signifikant verbessern können und er hat
noch ein paar Interviews gegeben dass das

440
00:34:25,230 --> 00:34:27,458
eine Frechheit wäre und zu wenig.

441
00:34:27,458 --> 00:34:29,207
<i>Gelächter</i>

442
00:34:29,207 --> 00:34:32,640
Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto

443
00:34:32,640 --> 00:34:37,111
keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich

444
00:34:37,111 --> 00:34:42,249
glaube es war man sieht es im Bild 2021
wurde extensure gebrided von lockbit und

445
00:34:42,249 --> 00:34:46,875
das F ich natürlich sehr interessant also
haben wir auf dem loogbit Block so den

446
00:34:46,875 --> 00:34:50,170
Countdown geguckt und so ne und dann
wurden irwann die Daten von extenser

447
00:34:50,170 --> 00:34:53,905
veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber

448
00:34:53,905 --> 00:34:58,688
total so ein einzeldownload ja, du
konntest jede Datei einzeln das war total

449
00:34:58,688 --> 00:35:03,065
unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline

450
00:35:03,065 --> 00:35:06,504
genommen und dann wurde die Deadline
verlängert wann die released werden und

451
00:35:06,504 --> 00:35:11,816
irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so

452
00:35:11,816 --> 00:35:17,551
und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig

453
00:35:17,551 --> 00:35:22,320
veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird niemand mehr

454
00:35:22,320 --> 00:35:27,151
bezahlen, wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell

455
00:35:27,151 --> 00:35:31,688
noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn

456
00:35:31,688 --> 00:35:35,790
für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu

457
00:35:35,790 --> 00:35:40,044
veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur

458
00:35:40,044 --> 00:35:44,251
ein mahnendes Beispiel für den nächsten
und ein Fall wo ich wieder erzählen kann

459
00:35:44,251 --> 00:35:48,951
eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen das nennt

460
00:35:48,951 --> 00:35:53,521
man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal

461
00:35:53,521 --> 00:35:57,770
die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck

462
00:35:57,770 --> 00:36:03,749
zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die

463
00:36:03,749 --> 00:36:09,766
nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen

464
00:36:09,766 --> 00:36:13,801
eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen

465
00:36:13,801 --> 00:36:18,796
arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen

466
00:36:18,796 --> 00:36:23,942
wir mal wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,

467
00:36:23,942 --> 00:36:28,489
dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er mein

468
00:36:28,489 --> 00:36:33,200
Freund wir sind die cyberswan Gruppe,
google uns wir haben fünf Sterne auf yelp!

469
00:36:33,200 --> 00:36:37,681
<i>viele lachen</i> und es ist es ist natürlich
wirklich wichtig für diese Mechanik der

470
00:36:37,681 --> 00:36:41,625
Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch

471
00:36:41,625 --> 00:36:46,500
betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt

472
00:36:46,500 --> 00:36:51,852
Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den

473
00:36:51,852 --> 00:36:57,247
ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich

474
00:36:57,247 --> 00:37:02,603
erpressen ist eher unwahrscheinlich. Aber
dann sagst du sowas wie ja boah das mit

475
00:37:02,603 --> 00:37:08,686
den Tapes kennt sie ja dauert ey pass auf
wir zahlen dir 25 Dann kommen wir wollen

476
00:37:08,686 --> 00:37:13,484
100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich

477
00:37:13,484 --> 00:37:18,275
jetzt auch wieder dieses Druck ne wir
wollen mehr Geld später und dann sagst du

478
00:37:18,275 --> 00:37:23,268
ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50

479
00:37:23,268 --> 00:37:28,071
Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich

480
00:37:28,071 --> 00:37:34,560
zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur

481
00:37:34,560 --> 00:37:39,699
24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso

482
00:37:39,699 --> 00:37:44,322
weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes

483
00:37:44,322 --> 00:37:48,760
wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die

484
00:37:48,760 --> 00:37:52,163
Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass

485
00:37:52,163 --> 00:37:55,690
sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die

486
00:37:55,690 --> 00:37:58,870
Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst

487
00:37:58,870 --> 00:38:04,250
du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb

488
00:38:04,250 --> 00:38:09,561
angebracht weil sie also weil sie wissen
je länger Du nicht zahlst desto

489
00:38:09,561 --> 00:38:14,090
unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen

490
00:38:14,090 --> 00:38:18,829
Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die

491
00:38:18,829 --> 00:38:24,378
Wissen je länger der Spaß hier geht umso
unwahrscheinlicher zahlst du. Na gut dann

492
00:38:24,378 --> 00:38:30,374
kommt irwi sowas ja 60 Millionen weil du
es bist letzte Preis ja? Und dann sagst

493
00:38:30,374 --> 00:38:35,668
du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal

494
00:38:35,668 --> 00:38:40,961
ok tut mir leid ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win

495
00:38:40,961 --> 00:38:47,586
Situation werden können aber na ja
vielleicht beim nächsten Mal.

496
00:38:47,586 --> 00:38:50,927
<i>viele lachen</i>

497
00:38:50,927 --> 00:38:53,907
Und dann kommt, ok lass mich mal mit dem
Boss reden.

498
00:38:53,907 --> 00:38:56,472
<i>viele lachen</i>

499
00:38:56,472 --> 00:39:00,140
Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare

500
00:39:00,140 --> 00:39:05,570
Grenzen und erst wenn der mit jemand
anders reden muss über den Deal den er dir

501
00:39:05,570 --> 00:39:10,170
machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der

502
00:39:10,170 --> 00:39:15,026
vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein

503
00:39:15,026 --> 00:39:19,821
aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.

504
00:39:19,821 --> 00:39:24,339
Dann kommt eben sowas her: ok 50%
allerletzte Preis ja und dann sagst du

505
00:39:24,339 --> 00:39:28,617
sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja

506
00:39:28,617 --> 00:39:32,243
auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt

507
00:39:32,243 --> 00:39:36,771
signalisiert also die Prüfung, dass Sie
Dateien wiederherstellen können jede

508
00:39:36,771 --> 00:39:41,040
Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel

509
00:39:41,040 --> 00:39:44,984
ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und

510
00:39:44,984 --> 00:39:49,535
dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger

511
00:39:49,535 --> 00:39:53,505
Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass

512
00:39:53,505 --> 00:39:57,342
dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst

513
00:39:57,342 --> 00:40:02,318
du mit diesen Leuten hier zu tun zu haben.
Das war wannacry ihr erinnert euch die

514
00:40:02,318 --> 00:40:07,480
ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und als ich die

515
00:40:07,480 --> 00:40:11,245
doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet war mir auch

516
00:40:11,245 --> 00:40:15,434
sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine

517
00:40:15,434 --> 00:40:21,250
Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so also wichtig

518
00:40:21,250 --> 00:40:25,846
sicherstellen und erst spät sicherstellen
weil damit signalisierst du überhaupt

519
00:40:25,846 --> 00:40:30,566
Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die

520
00:40:30,566 --> 00:40:35,349
klugen Leute und sagen hey vorsicht wenn
du zahlst, dann hacken sie dich direkt

521
00:40:35,349 --> 00:40:39,547
wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht

522
00:40:39,547 --> 00:40:44,279
Mythos auf dem nächsten Sixpack steht
Realität aber dol i kann nicht so gut

523
00:40:44,279 --> 00:40:47,114
schreiben wie ich. Die Realität ist

524
00:40:47,114 --> 00:40:47,859
<i>lächeln</i>

525
00:40:47,859 --> 00:40:50,624
der Rest des Internets wartet auf Sie die
haben überhaupt gar keinen Grund noch mal

526
00:40:50,624 --> 00:40:54,992
dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich

527
00:40:54,992 --> 00:41:00,543
nicht noch mal hackt. Es gibt aber genug
Andere also früher oder später musst du

528
00:41:00,543 --> 00:41:06,921
dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder

529
00:41:06,921 --> 00:41:13,279
sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch

530
00:41:13,279 --> 00:41:19,305
zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in

531
00:41:19,305 --> 00:41:24,460
die Cloud und gebt ihm und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr

532
00:41:24,460 --> 00:41:29,380
kommt sowieso nicht drum herum euch besser
zu schützen am besten macht ihr das bevor

533
00:41:29,380 --> 00:41:34,600
ihr den Case habt, aber egal ob du zahlst
oder nicht die Anderen werden kommen, ja?

534
00:41:34,600 --> 00:41:39,324
Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine

535
00:41:39,324 --> 00:41:42,992
Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen

536
00:41:42,992 --> 00:41:44,596
dann prügeln wir die raus oder so.

537
00:41:44,596 --> 00:41:46,202
<i>lachen</i>

538
00:41:46,202 --> 00:41:49,721
Na ja, dann sagen Sie hier ist unser
unsere Bitcoin Wallet ja die nehmen

539
00:41:49,721 --> 00:41:53,951
üblicherweise eine frische brauchen sie
auch damit sie erkennen dass die Zahlung

540
00:41:53,951 --> 00:41:58,407
von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi

541
00:41:58,407 --> 00:42:02,557
rüber, ja? Achtung, das ist interessanter
Moment weil dann sehen die wie viel Geld

542
00:42:02,557 --> 00:42:06,350
auf deinem Wallet liegt. Ja in dem Moment
beweist du dass du über ein über eine

543
00:42:06,350 --> 00:42:10,990
Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht

544
00:42:10,990 --> 00:42:15,970
doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,

545
00:42:15,970 --> 00:42:20,015
du weißt wie das ist, neh, ich habe jetzt
echt nicht

546
00:42:20,015 --> 00:42:24,073
<i>viele lachen</i>

547
00:42:24,073 --> 00:42:28,326
Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr

548
00:42:28,326 --> 00:42:32,875
ein sehr wichtiger Hinweis, bezahle nur
wenn du ein Business Case hast. Du hast

549
00:42:32,875 --> 00:42:37,513
meistens keinen, das Einzige was hier eine
Rolle spielt ist, dass deine

550
00:42:37,513 --> 00:42:41,934
Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten die

551
00:42:41,934 --> 00:42:47,148
Systemeherten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette

552
00:42:47,148 --> 00:42:51,680
Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch

553
00:42:51,680 --> 00:42:55,816
jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest

554
00:42:55,816 --> 00:42:59,765
oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen

555
00:42:59,765 --> 00:43:04,331
bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann

556
00:43:04,331 --> 00:43:10,100
gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das

557
00:43:10,100 --> 00:43:17,027
deleition Lock, also das Output von rm-RF.
Das sieht dann so aus, und <i>Linus lächelt</i>

558
00:43:17,027 --> 00:43:22,433
ich meine die haben sogar ihre local
language auf Russisch eingestellt, ja?

559
00:43:22,433 --> 00:43:27,893
also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also

560
00:43:27,893 --> 00:43:38,501
ein Output von rm-RF. Und dann sagen sie
yoh, wir bereiten jetzt dein Decrypter

561
00:43:38,501 --> 00:43:39,343
vor.

562
00:43:39,343 --> 00:43:40,712
<i>einzelne gelächter</i>

563
00:43:40,712 --> 00:43:46,085
Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus

564
00:43:46,085 --> 00:43:52,839
lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den

565
00:43:52,839 --> 00:44:01,090
Typen nicht erreichen, hab mal kurz gedult
bitte und dann kann das manchmal ein

566
00:44:01,090 --> 00:44:08,900
bisschen dauern und dann kommt hey, hier
ist der Decrypter, sorry der Typ war

567
00:44:08,900 --> 00:44:10,615
draußen einen saufen, Ja?

568
00:44:10,615 --> 00:44:11,903
<i>video läufzt, alle lachen</i>

569
00:44:11,903 --> 00:44:15,309
Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen

570
00:44:15,309 --> 00:44:19,380
Schlüssel geben der Millionen wert ist,
weil dann machen sie side Deals ja? Dann

571
00:44:19,380 --> 00:44:24,496
verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,

572
00:44:24,496 --> 00:44:29,352
blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das

573
00:44:29,352 --> 00:44:33,736
Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch

574
00:44:33,736 --> 00:44:39,080
die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte

575
00:44:39,080 --> 00:44:44,163
automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei

576
00:44:44,163 --> 00:44:48,608
dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle

577
00:44:48,608 --> 00:44:54,300
Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten

578
00:44:54,300 --> 00:44:59,005
halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über

579
00:44:59,005 --> 00:45:04,143
diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter

580
00:45:04,143 --> 00:45:10,519
hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie

581
00:45:10,519 --> 00:45:15,941
die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,

582
00:45:15,941 --> 00:45:18,424
wie es dann auf der anderen Seite
aussieht.

583
00:45:18,424 --> 00:45:24,120
Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen

584
00:45:24,120 --> 00:45:29,768
Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch

585
00:45:29,768 --> 00:45:33,290
zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel

586
00:45:33,290 --> 00:45:37,396
outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist

587
00:45:37,396 --> 00:45:43,226
Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware

588
00:45:43,226 --> 00:45:48,658
Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese

589
00:45:48,658 --> 00:45:54,326
Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin

590
00:45:54,326 --> 00:45:59,629
gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen

591
00:45:59,629 --> 00:46:07,360
verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie

592
00:46:07,360 --> 00:46:14,459
und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe

593
00:46:14,459 --> 00:46:21,080
gefahren und allein er hat 1400 Bitcoin
eingesammelt mit diesen Erpressung, damals

594
00:46:21,080 --> 00:46:26,485
27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar

595
00:46:26,485 --> 00:46:30,790
nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe

596
00:46:30,790 --> 00:46:35,136
von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war

597
00:46:35,136 --> 00:46:39,840
Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der

598
00:46:39,840 --> 00:46:43,820
irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.

599
00:46:43,820 --> 00:46:48,380
Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt

600
00:46:48,380 --> 00:46:53,038
<i>viele Lachen</i>

601
00:46:53,038 --> 00:47:00,022
Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich

602
00:47:00,022 --> 00:47:04,556
fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte

603
00:47:04,556 --> 00:47:07,122
durch dan Corona konnte man der
Gerichtsverhandlung im Internet folgen,

604
00:47:07,122 --> 00:47:10,528
wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller

605
00:47:10,528 --> 00:47:14,298
freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen

606
00:47:14,298 --> 00:47:18,200
mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist

607
00:47:18,200 --> 00:47:22,976
er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das

608
00:47:22,976 --> 00:47:28,047
finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in

609
00:47:28,047 --> 00:47:32,566
der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen

610
00:47:32,566 --> 00:47:37,580
Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur

611
00:47:37,580 --> 00:47:43,130
so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit

612
00:47:43,130 --> 00:47:47,860
ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,

613
00:47:47,860 --> 00:47:52,412
ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen

614
00:47:52,412 --> 00:47:57,446
sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser

615
00:47:57,446 --> 00:48:03,967
Screenshots waren Metadaten Screenshot
2.png enthielt Metadaten und in Metadaten

616
00:48:03,967 --> 00:48:10,195
stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die

617
00:48:10,195 --> 00:48:15,737
Kommunikation mit diesem Server zwar eine
anonyme E-Mailadresse, war aber zu faul

618
00:48:15,737 --> 00:48:21,983
die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private

619
00:48:21,983 --> 00:48:22,948
Mailadresse

620
00:48:22,948 --> 00:48:23,667
<i>viele Lachen</i>.

621
00:48:23,667 --> 00:48:27,383
Über die auch seine amazon Bestellung
liefen, so dass das FBI sofort auch seiner

622
00:48:27,383 --> 00:48:28,385
Adresse hatte.

623
00:48:28,385 --> 00:48:31,877
<i>einzelnes Lachen</i>

624
00:48:31,877 --> 00:48:38,123
Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen

625
00:48:38,123 --> 00:48:42,071
irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort wo sie

626
00:48:42,071 --> 00:48:46,193
angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für

627
00:48:46,193 --> 00:48:49,822
20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss

628
00:48:49,822 --> 00:48:55,291
er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also

629
00:48:55,291 --> 00:49:02,171
diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es

630
00:49:02,171 --> 00:49:07,549
sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind

631
00:49:07,549 --> 00:49:12,984
normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht

632
00:49:12,984 --> 00:49:20,929
sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1

633
00:49:20,929 --> 00:49:28,680
Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,

634
00:49:28,680 --> 00:49:33,732
die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für

635
00:49:33,732 --> 00:49:40,454
Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im

636
00:49:40,454 --> 00:49:47,613
Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so

637
00:49:47,613 --> 00:49:53,417
durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und

638
00:49:53,417 --> 00:49:58,909
programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und

639
00:49:58,909 --> 00:50:04,106
dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt

640
00:50:04,106 --> 00:50:08,981
sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,

641
00:50:08,981 --> 00:50:12,420
da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden

642
00:50:12,420 --> 00:50:16,860
und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du

643
00:50:16,860 --> 00:50:22,688
von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines

644
00:50:22,688 --> 00:50:28,878
Team mit neuen Leuten und die kannten sich
alle nur über Java. Und ihr Job war es

645
00:50:28,878 --> 00:50:33,614
dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige

646
00:50:33,614 --> 00:50:36,808
ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf

647
00:50:36,808 --> 00:50:40,692
der dann steht "ihr Computer ist
infiziert". <i>Kai lächelt</i> Entschuldigung

648
00:50:40,692 --> 00:50:46,051
das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die

649
00:50:46,051 --> 00:50:51,538
Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und

650
00:50:51,538 --> 00:50:58,140
organisiertesten Ransomware Banden die die
Welt bislang gesehen hat , oder die größte

651
00:50:58,140 --> 00:51:03,829
und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,

652
00:51:03,829 --> 00:51:08,355
das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem

653
00:51:08,355 --> 00:51:12,542
echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander

654
00:51:12,542 --> 00:51:17,249
kommunizierte und der dann später geliegt
wurde durch ein ROG Mitglied dieser Bande,

655
00:51:17,249 --> 00:51:23,424
so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die

656
00:51:23,424 --> 00:51:29,653
Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von

657
00:51:29,653 --> 00:51:33,740
Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist

658
00:51:33,740 --> 00:51:37,100
abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir

659
00:51:37,100 --> 00:51:41,985
schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr

660
00:51:41,985 --> 00:51:48,957
erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand

661
00:51:48,957 --> 00:51:54,600
dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio und da blieb sie

662
00:51:54,600 --> 00:51:58,764
relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,

663
00:51:58,764 --> 00:52:03,000
die kann uns was über Konti erzählen, das
war vor dem leack. Nah, das FBI hat sie

664
00:52:03,000 --> 00:52:06,641
vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur

665
00:52:06,641 --> 00:52:10,083
die neun Leute aus ihrem Team, das waren
alles kleine freischaffende

666
00:52:10,083 --> 00:52:15,160
Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen

667
00:52:15,160 --> 00:52:20,869
wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im

668
00:52:20,869 --> 00:52:25,644
Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam

669
00:52:25,644 --> 00:52:30,122
der Konti Leack und alle Welter erfuhr
über diese Gang. Inzwischen ist sie

670
00:52:30,122 --> 00:52:35,451
freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in

671
00:52:35,451 --> 00:52:40,618
Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum

672
00:52:40,618 --> 00:52:44,959
Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie

673
00:52:44,959 --> 00:52:49,082
gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie

674
00:52:49,082 --> 00:52:54,580
putzen. Das ist, ihr seht hier so die
Struktur, von Konti das ist die unterste

675
00:52:54,580 --> 00:53:01,090
Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der

676
00:53:01,090 --> 00:53:06,448
Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros

677
00:53:06,448 --> 00:53:12,593
anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen

678
00:53:12,593 --> 00:53:19,990
da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma

679
00:53:19,990 --> 00:53:25,302
organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem

680
00:53:25,302 --> 00:53:29,690
Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf

681
00:53:29,690 --> 00:53:34,705
der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß

682
00:53:34,705 --> 00:53:39,454
bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr

683
00:53:39,454 --> 00:53:43,451
fähige kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie

684
00:53:43,451 --> 00:53:46,991
Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun

685
00:53:46,991 --> 00:53:50,473
niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es

686
00:53:50,473 --> 00:53:55,326
ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden

687
00:53:55,326 --> 00:54:00,752
machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.

688
00:54:00,752 --> 00:54:08,930
Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar

689
00:54:08,930 --> 00:54:17,090
Softwarefmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich

690
00:54:17,090 --> 00:54:24,574
noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig

691
00:54:24,574 --> 00:54:30,316
dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,

692
00:54:30,316 --> 00:54:34,878
sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR

693
00:54:34,878 --> 00:54:39,082
Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.

694
00:54:39,082 --> 00:54:43,830
K: Der baut auch den Kryptolocker, also
die Daten verschlüsselt, also sein Team.

695
00:54:43,830 --> 00:54:47,836
Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von

696
00:54:47,836 --> 00:54:51,753
Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das

697
00:54:51,753 --> 00:54:57,683
Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines Komisischen

698
00:54:57,683 --> 00:55:02,389
Gurus. Letztlich ein ganz normaler Mensch.

699
00:55:02,389 --> 00:55:03,949
<i>viele Lachen</i>

700
00:55:03,949 --> 00:55:08,717
ist in Abwesenheit angeklagt in den USA,
weil er Teil von Konti sein soll. Hier ist

701
00:55:08,717 --> 00:55:15,096
noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei

702
00:55:15,096 --> 00:55:20,687
Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt

703
00:55:20,687 --> 00:55:23,860
sich selber reverse engineer und mail
Analyst und scheint schon länger in der

704
00:55:23,860 --> 00:55:28,087
Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen

705
00:55:28,087 --> 00:55:33,254
Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und

706
00:55:33,254 --> 00:55:37,442
finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch

707
00:55:37,442 --> 00:55:42,672
remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu

708
00:55:42,672 --> 00:55:47,498
einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,

709
00:55:47,498 --> 00:55:50,804
zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch

710
00:55:50,804 --> 00:55:54,774
interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team

711
00:55:54,774 --> 00:55:59,849
war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte

712
00:55:59,849 --> 00:56:06,203
Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem

713
00:56:06,203 --> 00:56:11,517
Wasser geblasen wurde, und für Konti hat
er Leute angeworben und geführt als

714
00:56:11,517 --> 00:56:16,160
Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines

715
00:56:16,160 --> 00:56:21,887
Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht

716
00:56:21,887 --> 00:56:26,920
man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen

717
00:56:26,920 --> 00:56:32,392
für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld

718
00:56:32,392 --> 00:56:38,140
und es heißt dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen

719
00:56:38,140 --> 00:56:42,161
interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also

720
00:56:42,161 --> 00:56:45,744
Konti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das

721
00:56:45,744 --> 00:56:49,490
hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich

722
00:56:49,490 --> 00:56:55,257
selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die

723
00:56:55,257 --> 00:56:56,827
Lehren daraus halten.

724
00:56:56,827 --> 00:56:57,527
<i>Linus lacht</i>

725
00:56:57,527 --> 00:57:01,157
L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann

726
00:57:01,157 --> 00:57:06,897
verhältnismäßig entspannt ja? Also wenn
man überlegt dass Konti war mal, blackhead

727
00:57:06,897 --> 00:57:11,135
wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im

728
00:57:11,135 --> 00:57:15,080
im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr

729
00:57:15,080 --> 00:57:19,859
das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die

730
00:57:19,859 --> 00:57:25,432
Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich

731
00:57:25,432 --> 00:57:31,259
vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld

732
00:57:31,259 --> 00:57:36,389
übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort

733
00:57:36,389 --> 00:57:40,420
verteilt wird auf viele tausend einzelne
wallets, also findet so ein

734
00:57:40,420 --> 00:57:45,140
Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von

735
00:57:45,140 --> 00:57:50,214
Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff

736
00:57:50,214 --> 00:57:55,949
mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein dass

737
00:57:55,949 --> 00:58:00,523
es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie

738
00:58:00,523 --> 00:58:04,273
sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein

739
00:58:04,273 --> 00:58:09,200
Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen

740
00:58:09,200 --> 00:58:13,944
keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt

741
00:58:13,944 --> 00:58:19,960
dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.

742
00:58:19,960 --> 00:58:25,149
Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich

743
00:58:25,149 --> 00:58:29,728
schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben

744
00:58:29,728 --> 00:58:34,016
halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein

745
00:58:34,016 --> 00:58:37,588
kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt

746
00:58:37,588 --> 00:58:41,280
hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst

747
00:58:41,280 --> 00:58:46,080
du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,

748
00:58:46,080 --> 00:58:49,989
also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den

749
00:58:49,989 --> 00:58:54,077
dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden

750
00:58:54,077 --> 00:58:57,757
die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer

751
00:58:57,757 --> 00:59:01,339
verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen

752
00:59:01,339 --> 00:59:04,854
Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,

753
00:59:04,854 --> 00:59:08,780
dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu

754
00:59:08,780 --> 00:59:12,615
drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die

755
00:59:12,615 --> 00:59:16,437
Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach

756
00:59:16,437 --> 00:59:19,943
moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine

757
00:59:19,943 --> 00:59:23,551
Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld

758
00:59:23,551 --> 00:59:27,403
nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also

759
00:59:27,403 --> 00:59:31,256
mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach

760
00:59:31,256 --> 00:59:35,145
den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.

761
00:59:35,145 --> 00:59:39,454
Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst

762
00:59:39,454 --> 00:59:43,220
euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die

763
00:59:43,220 --> 00:59:47,730
brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du

764
00:59:47,730 --> 00:59:53,625
zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst

765
00:59:53,625 --> 00:59:58,570
dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du

766
00:59:58,570 --> 01:00:02,875
den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du

767
01:00:02,875 --> 01:00:06,815
über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben

768
01:00:06,815 --> 01:00:11,075
findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr

769
01:00:11,075 --> 01:00:15,866
Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du

770
01:00:15,866 --> 01:00:20,952
ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema

771
01:00:20,952 --> 01:00:26,472
unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat

772
01:00:26,472 --> 01:00:30,887
den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als

773
01:00:30,887 --> 01:00:35,701
kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter

774
01:00:35,701 --> 01:00:40,440
veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,

775
01:00:40,440 --> 01:00:45,256
sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir

776
01:00:45,256 --> 01:00:50,352
beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des

777
01:00:50,352 --> 01:00:54,848
decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit

778
01:00:54,848 --> 01:00:58,903
hierirner Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt

779
01:00:58,903 --> 01:01:04,050
zum Thema hoffentlich alles gesagt sein,
vielen Dank.

780
01:01:04,050 --> 01:01:06,554
<i>Applaus</i>

781
01:01:06,554 --> 01:01:07,653
<i>Musik</i>

782
01:01:07,653 --> 01:01:12,520
K: Danke!
Herald: Wunderbar, super ja vielen Dank an

783
01:01:12,520 --> 01:01:25,573
Linus und Kai.

784
01:01:25,573 --> 01:01:28,792
<i>37c3 Nachspannmusik</i>

785
01:01:28,792 --> 01:01:40,000
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!