37C3 Anspannungsmusik
Engel: Ok dann freue ich mich euch alle
sehr herzlich zu Hirne hacken der hackback
Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai
Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant
und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs
verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und
hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt
und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch
das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die
spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!
Applaus
Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch! Das ist der Linus, der wurde
schon kurz vorgestellt, der mag gern
reiten, schwimmen und hacken so viel zu
seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma
gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine
Hobbys die er öffentlich nennen möchte.
Lachen Und ruft gerne mal an wenn jemand
gecybert wird weil er im
Investigativressort von Zeit und Zeit
online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der
erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!
Gemurmel Und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu
langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain
eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu
hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der
mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten
zurückkaufen und ich sage in die
Schwachstelle."
wachsendes Lachen
Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was
ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es
ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,
werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den
Schaden vor wenn ich veröffentliche."
Lachen
Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine
Forderung uns mitgeteilt: "ich will
2000€".
LachenLinus lacht
L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit
ein bisschen mehr Forderung hätten wir ihn
wahrscheinlich auch ernst genommen, haben
uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er
sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich
jetzt entscheiden, das ist kein Blöff."
laute Lachen
Da haben wir erstmals ein Tee getrunken.
lachen
Und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden viele lachen
aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also
erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein
letztes Mal 24 Stunden dann aber wirklich!
Und dann wurden die Drohungen "sagt er,"
und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert
und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so
na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht
2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für Einer? Ja?
Also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails
schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,
ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei
Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im
Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären
dass er 2000€ für viel Geld hält lachen
oder ist Irgendjemand mit Chat GPT in
Indien oder so für den das potenziell auch
viel Geld wäre. Also haben wir uns überlegt
na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch
mal und haben da gesagt:
L: Also pass auf du solltest deine Server
echt nicht in der EU hosten, weil
Gelächter die Polizeibehörden hier
arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit
der Kreditkarte zahlen.
Linus lacht, viele Lachen
Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von
deinem anderen VServer aus, ja? Kam
erstmals nichts. einige lachen und dann
hab ich gesagt:
L: Pass auf in 24 Stunden
sehr viele Lachen, Applaus
geht unser Bericht ans LKA. Die
Datenschutzmeldung haben wir ohnehin schon
gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben
gesagt:
L: Pass auf wenn du deine Daten löscht
bekommst du McDonald's Gutschein
viele lachen
über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt!" L: Wie
so ... was für Offshore Server? was für
Verschlüsselung?
"Ich will 2000€ sie haben 24 Stunden,
sonst..." einige lachen
L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet
und dann kam dedos einzelne Gelächter
dann haben wir cloudflare dazwischen
geschaltet und dann waren wir fertig ja
lachen
weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war
viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder
gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber
natürlich sind nicht alle Diskussionen
oder alle solche Fälle, wenn man mit einem
verwirrten Einzeltäter zu tun hat, so
glimpflich und so einfach.
Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat
mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor
Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich
gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat
in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,
psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen
gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen, alle
Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat
anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals, ist
schon zwei Jahre her, ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee
getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail
geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will
ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz
veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung
von ihm, könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er
inzwischen, er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit
Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der
hat mit 15 seine erste Verurteilung
kassiert, damals war er an Ddos Attacken
beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal
gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,
kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche
Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen
data breach ein ziemlich shocking Act. Und
die Formulierung ist interessant, weil es
mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen
wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so
ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von
allen finnischen Patienten und
Patientin lagen war erstens eine
selbstgebaute mySQL Datenbank die hingt
zweitens im Netz war drittens über Google
zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.
Gemurmel Auslieferungszustand sozusagen.
Wer macht so was? Er, das ist der CEO dieser
Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert
hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt
dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen
erpresst wurden, sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein
Fakt zu den Patientendaten, den ich sehr
interessant finde, sie waren nicht
anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle
Gesundheitsdaten hat. Und die Firma hat
auch Vorgaben des finnischen
Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem
Täter weil... Also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder
den kermit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,
weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen
hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt, dann liege ich
eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei
war, er hat es in ein finnischen imageboard
gemacht, ich hoffe ich spreche das richtig
aus, yillilauter heißt es, das Problem
dabei war, er hat so ein paar Informationen
seines Servers von dem er ausgeleakt hat
mitgeleakt, K lacht, Gemurmel IP-Adressen und
solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ
schnell dahinter kam dass da so ein
Netzwerk von Servern existiert, dass Jemand
mit seiner Kreditkarte bezahlt hatte.
einzelne Applaus Wird noch schöner. *Kai
lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, wastamo
zaht nicht ja sind keine netten Leute. Der
Mann reiste viel, er war er tauchte unter.
Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in
Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee
gehabt darüber im Internet zu posten.
Gelächter
Ja er hat wieder auf diesem imageboard
JimmiLauter ein Foto gepostet wo er an der
französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser
ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der
Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch
viel lustiger, dieses Foto war so gut, dass
die Polizei einen Fingerabdruck nehmen
konnte.
Viele lachen, Applaus
Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.
Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der
hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem
Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden
war den Daumenabdruck extrahiert und
bewiesen dass das geht, danke Starbug! Die
finnische Polizei hat dir zugeschaut.
Applaus
Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die
eure Unternehmen ruinieren können oder
sich selbst oder beides, wollen wir uns mal
kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das
ein bisschen ärgerlich, weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren
rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz
eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016
ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat
irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von
paar 100 Euro verlangt ja? Es kam dann
später wannacry, das war im Prinzip auch so
eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat
also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert
ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste ryuk damit
angefangen haben zu erkennen, dass das
Backup der natürliche Feind der Ransomware
ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also
komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen
ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste
Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und
rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus. Ja das fing
so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr
auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.
Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es
gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal
es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die
gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so
sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die
fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.
Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen
aussieht ne, haben eine Prävention
vielleicht eine Detektion und die Recovery
eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht
so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine
Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D
Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite
Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin
kaufen kannst. Habe ich in Hirne hacken
schon ausführlich erklärt. die Leute die
die Webseite sehen führen dann als
nächstes ungefähr zu dieser Situation:
"Have you tried paing the ransome"?
Weil das die einzige Möglichkeit
ist an die Dateien wieder
ran zukommen. Wenn man das tut, sieht
eine Seite ungefähr so aus, wo es ein
bisschen Instruktionen gibt wie man die
Dateien wiederherstellt und außerdem sind
die Angreifer so nett, sie versprechen den
kompletten Bericht, wie sie reingekommen
sind und ich denke natürlich als Security
Konz, alles klar ein ordentlicher Bericht
ja cool so ein redteam Bericht da bin ich
mal gespannt. Das ist er ja und eine
Standardantwort, die kommt in dem Moment wo
die Bitcoins gezahlt sind, erscheint die
im Chat ja so quasi in in der gleichen
Zeit. Das heißt die ist hard codet in dieser
Webseite drin und das bedeutet diese Web
diese Angreifer sind absolute onetrack
Ponys die haben es hier mit meterpreter
gemacht, ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst,
damit man meterpreter nicht erkennt ja und
diese Angreifer sind onetrack Ponys und
du bist ihr Opfer. Wir alle kennen diesen
klugen Satz, übrigens kann man immer sagen,
kann man immer sagen, nur nicht beim
incident. Der kommt
Lachen, Applaus
also kommt nicht an, kommt nicht an. Ja
learn from my fail ja? Lachen
Ich habe gerade gesagt wir sprechen über
double extortion, double extortion
funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein
Problem ist und sagen Backup haben wir
auch. L lacht Und das werden wir jetzt
veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie
verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der
Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie
versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen
vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn
hat schon mal auf ihren Anzeigetafeln
gehabt, ja? lachen Aber niemand kümmert
sich drum und wenn du die Zeitung
aufmachst ja, was was wird diskutiert?
Cyberwar... Was wäre wie fürchterlich wäre
das Kai, wenn der Cyberwar jetzt käme?
Kai: Ja schrecklich oder?
L: Das wäre doch total schlimm ja.
K: Ich mir wird langsam langweilig über
Ransomeware zu schreiben ganz ehrlich weil es so
vorhersagbar ist. Und wenn man sich nur
einen kurzen Moment vorstellen würde
überall in Deutschland würden maskierte
Menschen in große und kleine Firmen
reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem
Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles
erwischt hat da rennen 100 Leute rein ja,
reißen alle Rechner aus der Wand und
verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?
Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital
passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar, den sich
vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich
mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar
mit ein paar Scharmützeln im Internet. Ja
das ist klar vorweg zu sagen, aber wenn wir
uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im
Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und
es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere
Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn
irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht
anders vorgehen als die Angreifer, die uns
heute schon Millionen und Milliarden
Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,
die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen
und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation
braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes
Wiederherstellungskonzept. Euer Problem
ist nicht, dass alle Dateien weg sind, euer
Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das
langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben
ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort
stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für
eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf
nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht
ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest
nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer
eigenen Infrastruktur, es muss isoliert
sein, also komplett getrenntes identity
Access Management, keinesfalls im Active
Directory. Wer den Backup Server
administriert, geht mit einer Tastatur und
einem Bildschirm in den Serverraum und
steckt die da dran. Keine remote
administration von dem Backup Server,
keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir
auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.
Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte
man da sparen, wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup
also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver
integer! Und vor allem machen wir unsere
Backups risikobasiert also die
Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die
Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr
mal jemanden seht, der dann so ankommt
sagt, wir haben alles auf Tape und du
denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? lächelt Dann
verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die
Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen
gibt, und das das was wir gleich über
Verhandlungen berichten, das vergesst ich
am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute
immer danach fragen, wie denn so eine
Verhandlung läuft. einzelne Applaus
K: Ich entschuldige mich für diesen
Vortrag. Applaus
K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den
lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle
beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,
wie wir später festgestellt haben,
deswegen interessieren uns natürlich die
psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir
hier so ein paar vorstellen, damit ihr eine
Vorstellung dafür kriegt, was sind das für
Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen
mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das
ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist
eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr
gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er
da fährt, das ist seiner. Das Klischee geht
noch viel weiter, wenn ihr das
Nummernschild betrachtet, falls ihr
russisch könnt, da steht W o R nicht Bor,
sondern wor und wor übersetzt heißt Dieb
lächelt. Seine ganze Gang fuhr mit
diesen Nummernschildern rum.
einzelne Gelächter
Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet
und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling
Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist
die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie
gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie
die Großväter der Ransomware, die nannten
sich evil Cop, auch da waren sie relativ
eindeutig in ihrer Bezeichnung.
Gelächter
Die haben schätzungsweise, es sind immer
Schätzungen von Ermittlern, deswegen wer weiß
ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner
namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking
Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden
gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch
nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.
Das Interessante ist, weswegen wir sie hier
drin haben, sie sind wirklich so was wie
die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft
mehrheitlich. Sie haben RAS erfunden
Ransomware As a Service also sie haben
irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet
verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie
haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu
beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,
und wie sehen Leute aus die sowas dann
weiter verkaufen? So
Gelächter
das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer
der Menschen die davon lebt diese
Vermietung zu organisieren,
höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht
verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in
Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit
Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was
die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich
gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten
für Online Casinos und Crypto und anderen
Schmuddelkram und der vermietet oder hat
vermietet REvil, ein weiteres großes
Ransomware, Familienmodell. Und er scheint
nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist
seine Frau, die tut hier nichts zur Sache,
deswegen ist sie so ein bisschen
ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,
wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie
beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,
falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also
die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren
steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass
man da seine Bitcoin Wallet eingravieren
kann.
Applaus, L, K und Alle lachen
Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.
Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht
aber wir konnten sie leider nicht lesen.
Das FBI konnte es. Lachen, Applaus
Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ihnen beschlagnahmt,
ne also die Crypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der
größte Halter von Bitcoins überhaupt
weltweit, oder? Viele lachen
So er selbst wurde nicht gefasst aber
junge Russen, die sich für unverwundbar
halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden
bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die
bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware
Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die
die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine
Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine
Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht weil dieser
Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich
erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war
Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet
ebenfalls eine riesige Ransomware Familie
ja die weltweit tausende Opfer verursacht
hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI
Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn
erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen
wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen
gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden
konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte
Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser
Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese
Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei
bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von
emotet zusammen hier.
L: Sieht aus wie bei mir.
viele lachen
K: Okay du hast auch Flohmarktzeug?
lächelt
K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre
alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der
wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit
uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche
trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert
wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro
Server und Monat $480. Ich finde es
interessant, weil auch so gigantische
Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit
funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei
die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom
Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department
KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,
ich hät gern ein paar davon.
Gelächter
L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt dass
ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,
hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich
habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So
sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben
wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da
drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem
Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen
Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,
ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal
beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher
zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der
man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,
ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10
Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,
ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,
die die Verhandlung betreffen. Und man
sagt natürlich erstmal junge Beweis du
doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich
erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doof
Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass
man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du
die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann
kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann
sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben
dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und
damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist
deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für
umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer
Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese
die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar
keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?
Kostenlose Leistung die man hier kriegt.
viele lachen
Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her
das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann
sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja
eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die
Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt
ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die
Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass
auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das
werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen
dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen gelächter?
Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass
sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr
traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden
für dich selber weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich
nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen
sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden
von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe
Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One
Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich
der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen
Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen
digitalen Angriffen zu schützen.
Einzelne Applaus
Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,
der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,
Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen die der
eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse
signifikant verbessern können und er hat
noch ein paar Interviews gegeben dass das
eine Frechheit wäre und zu wenig.
Gelächter
Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto
keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich
glaube es war man sieht es im Bild 2021
wurde extensure gebrided von lockbit und
das F ich natürlich sehr interessant also
haben wir auf dem loogbit Block so den
Countdown geguckt und so ne und dann
wurden irwann die Daten von extenser
veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber
total so ein einzeldownload ja, du
konntest jede Datei einzeln das war total
unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline
genommen und dann wurde die Deadline
verlängert wann die released werden und
irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so
und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig
veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird niemand mehr
bezahlen, wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell
noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn
für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu
veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur
ein mahnendes Beispiel für den nächsten
und ein Fall wo ich wieder erzählen kann
eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen das nennt
man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal
die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck
zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die
nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen
eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen
arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen
wir mal wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,
dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er mein
Freund wir sind die cyberswan Gruppe,
google uns wir haben fünf Sterne auf yelp!
viele lachen und es ist es ist natürlich
wirklich wichtig für diese Mechanik der
Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch
betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt
Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den
ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich
erpressen ist eher unwahrscheinlich. Aber
dann sagst du sowas wie ja boah das mit
den Tapes kennt sie ja dauert ey pass auf
wir zahlen dir 25 Dann kommen wir wollen
100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich
jetzt auch wieder dieses Druck ne wir
wollen mehr Geld später und dann sagst du
ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50
Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich
zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur
24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso
weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes
wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die
Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass
sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die
Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst
du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb
angebracht weil sie also weil sie wissen
je länger Du nicht zahlst desto
unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen
Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die
Wissen je länger der Spaß hier geht umso
unwahrscheinlicher zahlst du. Na gut dann
kommt irwi sowas ja 60 Millionen weil du
es bist letzte Preis ja? Und dann sagst
du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal
ok tut mir leid ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win
Situation werden können aber na ja
vielleicht beim nächsten Mal.
viele lachen
Und dann kommt, ok lass mich mal mit dem
Boss reden.
viele lachen
Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare
Grenzen und erst wenn der mit jemand
anders reden muss über den Deal den er dir
machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der
vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein
aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.
Dann kommt eben sowas her: ok 50%
allerletzte Preis ja und dann sagst du
sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja
auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt
signalisiert also die Prüfung, dass Sie
Dateien wiederherstellen können jede
Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel
ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und
dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger
Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass
dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst
du mit diesen Leuten hier zu tun zu haben.
Das war wannacry ihr erinnert euch die
ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und als ich die
doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet war mir auch
sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine
Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so also wichtig
sicherstellen und erst spät sicherstellen
weil damit signalisierst du überhaupt
Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die
klugen Leute und sagen hey vorsicht wenn
du zahlst, dann hacken sie dich direkt
wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht
Mythos auf dem nächsten Sixpack steht
Realität aber dol i kann nicht so gut
schreiben wie ich. Die Realität ist
lächeln
der Rest des Internets wartet auf Sie die
haben überhaupt gar keinen Grund noch mal
dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich
nicht noch mal hackt. Es gibt aber genug
Andere also früher oder später musst du
dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder
sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch
zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in
die Cloud und gebt ihm und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr
kommt sowieso nicht drum herum euch besser
zu schützen am besten macht ihr das bevor
ihr den Case habt, aber egal ob du zahlst
oder nicht die Anderen werden kommen, ja?
Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine
Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen
dann prügeln wir die raus oder so.
lachen
Na ja, dann sagen Sie hier ist unser
unsere Bitcoin Wallet ja die nehmen
üblicherweise eine frische brauchen sie
auch damit sie erkennen dass die Zahlung
von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi
rüber, ja? Achtung, das ist interessanter
Moment weil dann sehen die wie viel Geld
auf deinem Wallet liegt. Ja in dem Moment
beweist du dass du über ein über eine
Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht
doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,
du weißt wie das ist, neh, ich habe jetzt
echt nicht
viele lachen
Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr
ein sehr wichtiger Hinweis, bezahle nur
wenn du ein Business Case hast. Du hast
meistens keinen, das Einzige was hier eine
Rolle spielt ist, dass deine
Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten die
Systemeherten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette
Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch
jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest
oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen
bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann
gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das
deleition Lock, also das Output von rm-RF.
Das sieht dann so aus, und Linus lächelt
ich meine die haben sogar ihre local
language auf Russisch eingestellt, ja?
also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also
ein Output von rm-RF. Und dann sagen sie
yoh, wir bereiten jetzt dein Decrypter
vor.
einzelne gelächter
Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus
lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den
Typen nicht erreichen, hab mal kurz gedult
bitte und dann kann das manchmal ein
bisschen dauern und dann kommt hey, hier
ist der Decrypter, sorry der Typ war
draußen einen saufen, Ja?
video läufzt, alle lachen
Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen
Schlüssel geben der Millionen wert ist,
weil dann machen sie side Deals ja? Dann
verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,
blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das
Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch
die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte
automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei
dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle
Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten
halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über
diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter
hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie
die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,
wie es dann auf der anderen Seite
aussieht.
Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen
Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch
zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel
outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist
Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware
Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese
Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin
gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen
verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie
und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe
gefahren und allein er hat 1400 Bitcoin
eingesammelt mit diesen Erpressung, damals
27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar
nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe
von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war
Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der
irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.
Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt
viele Lachen
Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich
fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte
durch dan Corona konnte man der
Gerichtsverhandlung im Internet folgen,
wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller
freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen
mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist
er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das
finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in
der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen
Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur
so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit
ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,
ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen
sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser
Screenshots waren Metadaten Screenshot
2.png enthielt Metadaten und in Metadaten
stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die
Kommunikation mit diesem Server zwar eine
anonyme E-Mailadresse, war aber zu faul
die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private
Mailadresse
viele Lachen.
Über die auch seine amazon Bestellung
liefen, so dass das FBI sofort auch seiner
Adresse hatte.
einzelnes Lachen
Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen
irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort wo sie
angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für
20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss
er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also
diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es
sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind
normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht
sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1
Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,
die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für
Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im
Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so
durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und
programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und
dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt
sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,
da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden
und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du
von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines
Team mit neuen Leuten und die kannten sich
alle nur über Java. Und ihr Job war es
dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige
ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf
der dann steht "ihr Computer ist
infiziert". Kai lächelt Entschuldigung
das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die
Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und
organisiertesten Ransomware Banden die die
Welt bislang gesehen hat , oder die größte
und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,
das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem
echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander
kommunizierte und der dann später geliegt
wurde durch ein ROG Mitglied dieser Bande,
so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die
Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von
Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist
abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir
schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr
erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand
dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio und da blieb sie
relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,
die kann uns was über Konti erzählen, das
war vor dem leack. Nah, das FBI hat sie
vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur
die neun Leute aus ihrem Team, das waren
alles kleine freischaffende
Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen
wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im
Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam
der Konti Leack und alle Welter erfuhr
über diese Gang. Inzwischen ist sie
freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in
Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum
Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie
gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie
putzen. Das ist, ihr seht hier so die
Struktur, von Konti das ist die unterste
Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der
Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros
anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen
da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma
organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem
Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf
der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß
bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr
fähige kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie
Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun
niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es
ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden
machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.
Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar
Softwarefmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich
noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig
dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,
sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR
Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.
K: Der baut auch den Kryptolocker, also
die Daten verschlüsselt, also sein Team.
Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von
Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das
Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines Komisischen
Gurus. Letztlich ein ganz normaler Mensch.
viele Lachen
ist in Abwesenheit angeklagt in den USA,
weil er Teil von Konti sein soll. Hier ist
noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei
Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt
sich selber reverse engineer und mail
Analyst und scheint schon länger in der
Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen
Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und
finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch
remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu
einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,
zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch
interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team
war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte
Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem
Wasser geblasen wurde, und für Konti hat
er Leute angeworben und geführt als
Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines
Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht
man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen
für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld
und es heißt dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen
interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also
Konti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das
hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich
selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die
Lehren daraus halten.
Linus lacht
L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann
verhältnismäßig entspannt ja? Also wenn
man überlegt dass Konti war mal, blackhead
wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im
im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr
das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die
Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich
vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld
übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort
verteilt wird auf viele tausend einzelne
wallets, also findet so ein
Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von
Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff
mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein dass
es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie
sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein
Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen
keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt
dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.
Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich
schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben
halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein
kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt
hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst
du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,
also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den
dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden
die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer
verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen
Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,
dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu
drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die
Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach
moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine
Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld
nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also
mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach
den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.
Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst
euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die
brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du
zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst
dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du
den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du
über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben
findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr
Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du
ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema
unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat
den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als
kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter
veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,
sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir
beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des
decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit
hierirner Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt
zum Thema hoffentlich alles gesagt sein,
vielen Dank.
Applaus
Musik
K: Danke!
Herald: Wunderbar, super ja vielen Dank an
Linus und Kai.
37c3 Nachspannmusik
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!