WEBVTT
00:00:00.230 --> 00:00:13.142
37C3 Anspannungsmusik
00:00:13.143 --> 00:00:18.080
Engel: Ok dann freue ich mich euch alle
sehr herzlich zu Hirne hacken der hackback
00:00:18.080 --> 00:00:23.280
Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai
00:00:23.280 --> 00:00:29.120
Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant
00:00:29.120 --> 00:00:34.200
und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs
00:00:34.200 --> 00:00:39.240
verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und
00:00:39.240 --> 00:00:45.000
hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt
00:00:45.000 --> 00:00:50.240
und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch
00:00:50.240 --> 00:00:55.960
das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die
00:00:55.960 --> 00:00:59.920
spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!
00:00:59.920 --> 00:01:09.866
Applaus
00:01:09.866 --> 00:01:15.040
Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch! Das ist der Linus, der wurde
00:01:15.040 --> 00:01:19.320
schon kurz vorgestellt, der mag gern
reiten, schwimmen und hacken so viel zu
00:01:19.320 --> 00:01:23.560
seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma
00:01:23.560 --> 00:01:29.480
gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine
00:01:29.480 --> 00:01:36.320
Hobbys die er öffentlich nennen möchte.
Lachen Und ruft gerne mal an wenn jemand
00:01:36.320 --> 00:01:41.264
gecybert wird weil er im
Investigativressort von Zeit und Zeit
00:01:41.264 --> 00:01:47.160
online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der
00:01:47.160 --> 00:01:51.659
erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!
00:01:51.659 --> 00:01:56.707
Gemurmel Und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu
00:01:56.707 --> 00:02:03.279
langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain
00:02:03.279 --> 00:02:08.443
eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu
00:02:08.443 --> 00:02:13.410
hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der
00:02:13.410 --> 00:02:18.397
mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten
00:02:18.397 --> 00:02:21.616
zurückkaufen und ich sage in die
Schwachstelle."
00:02:21.616 --> 00:02:25.252
wachsendes Lachen
00:02:25.252 --> 00:02:29.455
Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was
00:02:29.455 --> 00:02:34.180
ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es
00:02:34.180 --> 00:02:38.088
ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,
00:02:38.088 --> 00:02:41.512
werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den
00:02:41.512 --> 00:02:44.159
Schaden vor wenn ich veröffentliche."
00:02:44.159 --> 00:02:46.930
Lachen
00:02:46.930 --> 00:02:52.301
Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine
00:02:52.301 --> 00:02:56.456
Forderung uns mitgeteilt: "ich will
2000€".
00:02:56.456 --> 00:03:04.275
LachenLinus lacht
00:03:04.275 --> 00:03:08.880
L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit
00:03:08.880 --> 00:03:14.120
ein bisschen mehr Forderung hätten wir ihn
wahrscheinlich auch ernst genommen, haben
00:03:14.120 --> 00:03:18.040
uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er
00:03:18.040 --> 00:03:22.480
sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich
00:03:22.480 --> 00:03:27.800
jetzt entscheiden, das ist kein Blöff."
laute Lachen
00:03:27.800 --> 00:03:31.640
Da haben wir erstmals ein Tee getrunken.
lachen
00:03:31.640 --> 00:03:37.205
Und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden viele lachen
00:03:37.205 --> 00:03:44.234
aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also
00:03:44.234 --> 00:03:48.733
erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein
00:03:48.733 --> 00:03:53.490
letztes Mal 24 Stunden dann aber wirklich!
Und dann wurden die Drohungen "sagt er,"
00:03:53.490 --> 00:03:57.806
und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert
00:03:57.806 --> 00:04:02.447
und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so
00:04:02.447 --> 00:04:06.288
na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht
00:04:06.288 --> 00:04:14.360
2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für Einer? Ja?
00:04:14.360 --> 00:04:18.520
Also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails
00:04:18.520 --> 00:04:24.000
schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,
00:04:24.000 --> 00:04:28.280
ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei
00:04:28.280 --> 00:04:33.440
Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im
00:04:33.440 --> 00:04:37.080
Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären
00:04:37.080 --> 00:04:42.320
dass er 2000€ für viel Geld hält lachen
oder ist Irgendjemand mit Chat GPT in
00:04:42.320 --> 00:04:45.720
Indien oder so für den das potenziell auch
viel Geld wäre. Also haben wir uns überlegt
00:04:45.720 --> 00:04:49.640
na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch
00:04:49.640 --> 00:04:53.720
mal und haben da gesagt:
L: Also pass auf du solltest deine Server
00:04:53.720 --> 00:04:57.880
echt nicht in der EU hosten, weil
Gelächter die Polizeibehörden hier
00:04:57.880 --> 00:05:03.760
arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit
00:05:03.760 --> 00:05:08.680
der Kreditkarte zahlen.
Linus lacht, viele Lachen
00:05:08.680 --> 00:05:13.600
Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von
00:05:13.600 --> 00:05:20.040
deinem anderen VServer aus, ja? Kam
erstmals nichts. einige lachen und dann
00:05:20.040 --> 00:05:23.695
hab ich gesagt:
L: Pass auf in 24 Stunden
00:05:23.695 --> 00:05:29.485
sehr viele Lachen, Applaus
00:05:29.485 --> 00:05:34.360
geht unser Bericht ans LKA. Die
Datenschutzmeldung haben wir ohnehin schon
00:05:34.360 --> 00:05:38.120
gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben
00:05:38.120 --> 00:05:40.560
gesagt:
L: Pass auf wenn du deine Daten löscht
00:05:40.560 --> 00:05:43.680
bekommst du McDonald's Gutschein
viele lachen
00:05:43.680 --> 00:05:54.440
über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt!" L: Wie
00:05:54.440 --> 00:05:59.480
so ... was für Offshore Server? was für
Verschlüsselung?
00:06:00.320 --> 00:06:08.197
"Ich will 2000€ sie haben 24 Stunden,
sonst..." einige lachen
00:06:08.197 --> 00:06:11.600
L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet
00:06:11.600 --> 00:06:17.080
und dann kam dedos einzelne Gelächter
dann haben wir cloudflare dazwischen
00:06:17.080 --> 00:06:21.080
geschaltet und dann waren wir fertig ja
lachen
00:06:21.080 --> 00:06:25.120
weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war
00:06:25.120 --> 00:06:28.360
viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder
00:06:28.360 --> 00:06:33.440
gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber
00:06:33.440 --> 00:06:37.880
natürlich sind nicht alle Diskussionen
oder alle solche Fälle, wenn man mit einem
00:06:37.880 --> 00:06:41.860
verwirrten Einzeltäter zu tun hat, so
glimpflich und so einfach.
00:06:41.860 --> 00:06:49.440
Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat
00:06:49.440 --> 00:06:52.480
mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor
00:06:52.480 --> 00:06:56.120
Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich
00:06:56.120 --> 00:07:00.240
gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat
00:07:00.240 --> 00:07:05.880
in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,
00:07:05.880 --> 00:07:13.160
psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen
00:07:13.160 --> 00:07:19.960
gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen, alle
00:07:19.960 --> 00:07:24.200
Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat
00:07:24.200 --> 00:07:31.560
anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals, ist
00:07:31.560 --> 00:07:39.200
schon zwei Jahre her, ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee
00:07:39.200 --> 00:07:46.080
getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail
00:07:46.080 --> 00:07:50.840
geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will
00:07:50.840 --> 00:07:57.200
ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz
00:07:57.200 --> 00:08:02.520
veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung
00:08:02.520 --> 00:08:07.400
von ihm, könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er
00:08:07.400 --> 00:08:14.600
inzwischen, er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit
00:08:14.600 --> 00:08:18.600
Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der
00:08:18.600 --> 00:08:23.320
hat mit 15 seine erste Verurteilung
kassiert, damals war er an Ddos Attacken
00:08:23.320 --> 00:08:26.360
beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal
00:08:26.360 --> 00:08:29.880
gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,
00:08:29.880 --> 00:08:35.560
kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche
00:08:35.560 --> 00:08:39.640
Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen
00:08:39.640 --> 00:08:44.240
data breach ein ziemlich shocking Act. Und
die Formulierung ist interessant, weil es
00:08:44.240 --> 00:08:49.040
mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen
00:08:49.040 --> 00:08:52.840
wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so
00:08:52.840 --> 00:08:59.240
ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von
00:08:59.240 --> 00:09:03.120
allen finnischen Patienten und
Patientin lagen war erstens eine
00:09:03.120 --> 00:09:07.840
selbstgebaute mySQL Datenbank die hingt
zweitens im Netz war drittens über Google
00:09:07.840 --> 00:09:12.220
zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.
00:09:12.220 --> 00:09:22.560
Gemurmel Auslieferungszustand sozusagen.
Wer macht so was? Er, das ist der CEO dieser
00:09:22.560 --> 00:09:27.080
Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert
00:09:27.080 --> 00:09:31.320
hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt
00:09:31.320 --> 00:09:35.440
dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen
00:09:35.440 --> 00:09:41.160
erpresst wurden, sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein
00:09:41.160 --> 00:09:44.440
Fakt zu den Patientendaten, den ich sehr
interessant finde, sie waren nicht
00:09:44.440 --> 00:09:51.280
anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle
00:09:51.280 --> 00:09:56.040
Gesundheitsdaten hat. Und die Firma hat
auch Vorgaben des finnischen
00:09:56.040 --> 00:10:01.600
Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem
00:10:01.600 --> 00:10:09.840
Täter weil... Also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder
00:10:09.840 --> 00:10:16.480
den kermit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,
00:10:16.480 --> 00:10:19.280
weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen
00:10:19.280 --> 00:10:24.120
hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt, dann liege ich
00:10:24.120 --> 00:10:31.200
eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei
00:10:31.200 --> 00:10:34.920
war, er hat es in ein finnischen imageboard
gemacht, ich hoffe ich spreche das richtig
00:10:34.920 --> 00:10:39.960
aus, yillilauter heißt es, das Problem
dabei war, er hat so ein paar Informationen
00:10:39.960 --> 00:10:45.280
seines Servers von dem er ausgeleakt hat
mitgeleakt, K lacht, Gemurmel IP-Adressen und
00:10:45.280 --> 00:10:49.440
solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ
00:10:49.440 --> 00:10:53.320
schnell dahinter kam dass da so ein
Netzwerk von Servern existiert, dass Jemand
00:10:53.320 --> 00:11:02.190
mit seiner Kreditkarte bezahlt hatte.
einzelne Applaus Wird noch schöner. *Kai
00:11:02.190 --> 00:11:06.480
lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, wastamo
00:11:06.480 --> 00:11:17.280
zaht nicht ja sind keine netten Leute. Der
Mann reiste viel, er war er tauchte unter.
00:11:17.280 --> 00:11:20.760
Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in
00:11:20.760 --> 00:11:25.720
Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee
00:11:25.720 --> 00:11:28.152
gehabt darüber im Internet zu posten.
00:11:28.152 --> 00:11:28.200
Gelächter
00:11:28.200 --> 00:11:33.400
Ja er hat wieder auf diesem imageboard
JimmiLauter ein Foto gepostet wo er an der
00:11:33.400 --> 00:11:37.720
französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser
00:11:37.720 --> 00:11:46.680
ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der
00:11:46.680 --> 00:11:51.000
Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch
00:11:51.000 --> 00:11:55.720
viel lustiger, dieses Foto war so gut, dass
die Polizei einen Fingerabdruck nehmen
00:11:55.720 --> 00:12:06.160
konnte.
Viele lachen, Applaus
00:12:06.160 --> 00:12:11.240
Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.
00:12:11.240 --> 00:12:15.920
Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der
00:12:15.920 --> 00:12:22.120
hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem
00:12:22.120 --> 00:12:25.560
Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden
00:12:25.560 --> 00:12:32.000
war den Daumenabdruck extrahiert und
bewiesen dass das geht, danke Starbug! Die
00:12:32.000 --> 00:12:41.261
finnische Polizei hat dir zugeschaut.
Applaus
00:12:41.261 --> 00:12:45.060
Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die
00:12:45.060 --> 00:12:50.568
eure Unternehmen ruinieren können oder
sich selbst oder beides, wollen wir uns mal
00:12:50.568 --> 00:12:54.407
kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das
00:12:54.407 --> 00:12:59.960
ein bisschen ärgerlich, weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren
00:12:59.960 --> 00:13:05.480
rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz
00:13:05.480 --> 00:13:10.260
eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016
00:13:10.260 --> 00:13:15.194
ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat
00:13:15.194 --> 00:13:19.438
irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von
00:13:19.438 --> 00:13:24.484
paar 100 Euro verlangt ja? Es kam dann
später wannacry, das war im Prinzip auch so
00:13:24.484 --> 00:13:29.058
eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat
00:13:29.058 --> 00:13:34.113
also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert
00:13:34.113 --> 00:13:39.239
ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste ryuk damit
00:13:39.239 --> 00:13:44.431
angefangen haben zu erkennen, dass das
Backup der natürliche Feind der Ransomware
00:13:44.431 --> 00:13:49.526
ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also
00:13:49.526 --> 00:13:53.266
komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen
00:13:53.266 --> 00:13:57.254
ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste
00:13:57.254 --> 00:14:02.064
Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und
00:14:02.064 --> 00:14:06.010
rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus. Ja das fing
00:14:06.010 --> 00:14:16.098
so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr
00:14:16.098 --> 00:14:20.734
auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.
00:14:20.734 --> 00:14:24.455
Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es
00:14:24.455 --> 00:14:29.663
gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal
00:14:29.663 --> 00:14:34.620
es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die
00:14:34.620 --> 00:14:39.191
gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so
00:14:39.191 --> 00:14:42.821
sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die
00:14:42.821 --> 00:14:46.515
fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.
00:14:46.515 --> 00:14:50.314
Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen
00:14:50.314 --> 00:14:53.705
aussieht ne, haben eine Prävention
vielleicht eine Detektion und die Recovery
00:14:53.705 --> 00:14:58.860
eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht
00:14:58.860 --> 00:15:03.452
so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine
00:15:03.452 --> 00:15:08.258
Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D
00:15:08.258 --> 00:15:13.375
Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite
00:15:13.375 --> 00:15:17.219
Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin
00:15:17.219 --> 00:15:21.054
kaufen kannst. Habe ich in Hirne hacken
schon ausführlich erklärt. die Leute die
00:15:21.054 --> 00:15:25.752
die Webseite sehen führen dann als
nächstes ungefähr zu dieser Situation:
00:15:25.752 --> 00:15:29.402
"Have you tried paing the ransome"?
Weil das die einzige Möglichkeit
00:15:29.402 --> 00:15:33.400
ist an die Dateien wieder
ran zukommen. Wenn man das tut, sieht
00:15:33.400 --> 00:15:38.945
eine Seite ungefähr so aus, wo es ein
bisschen Instruktionen gibt wie man die
00:15:38.945 --> 00:15:44.521
Dateien wiederherstellt und außerdem sind
die Angreifer so nett, sie versprechen den
00:15:44.521 --> 00:15:48.800
kompletten Bericht, wie sie reingekommen
sind und ich denke natürlich als Security
00:15:48.800 --> 00:15:52.977
Konz, alles klar ein ordentlicher Bericht
ja cool so ein redteam Bericht da bin ich
00:15:52.977 --> 00:15:57.621
mal gespannt. Das ist er ja und eine
Standardantwort, die kommt in dem Moment wo
00:15:57.621 --> 00:16:01.923
die Bitcoins gezahlt sind, erscheint die
im Chat ja so quasi in in der gleichen
00:16:01.923 --> 00:16:06.329
Zeit. Das heißt die ist hard codet in dieser
Webseite drin und das bedeutet diese Web
00:16:06.329 --> 00:16:10.453
diese Angreifer sind absolute onetrack
Ponys die haben es hier mit meterpreter
00:16:10.453 --> 00:16:14.930
gemacht, ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst,
00:16:14.930 --> 00:16:20.589
damit man meterpreter nicht erkennt ja und
diese Angreifer sind onetrack Ponys und
00:16:20.589 --> 00:16:26.200
du bist ihr Opfer. Wir alle kennen diesen
klugen Satz, übrigens kann man immer sagen,
00:16:26.200 --> 00:16:29.953
kann man immer sagen, nur nicht beim
incident. Der kommt
00:16:29.953 --> 00:16:36.321
Lachen, Applaus
00:16:36.321 --> 00:16:48.989
also kommt nicht an, kommt nicht an. Ja
learn from my fail ja? Lachen
00:16:48.989 --> 00:16:51.804
Ich habe gerade gesagt wir sprechen über
double extortion, double extortion
00:16:51.804 --> 00:16:55.717
funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein
00:16:55.717 --> 00:16:59.918
Problem ist und sagen Backup haben wir
auch. L lacht Und das werden wir jetzt
00:16:59.918 --> 00:17:04.416
veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie
00:17:04.416 --> 00:17:08.670
verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der
00:17:08.670 --> 00:17:12.969
Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie
00:17:12.969 --> 00:17:18.143
versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen
00:17:18.143 --> 00:17:23.768
vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn
00:17:23.768 --> 00:17:28.907
hat schon mal auf ihren Anzeigetafeln
gehabt, ja? lachen Aber niemand kümmert
00:17:28.907 --> 00:17:33.816
sich drum und wenn du die Zeitung
aufmachst ja, was was wird diskutiert?
00:17:33.816 --> 00:17:39.904
Cyberwar... Was wäre wie fürchterlich wäre
das Kai, wenn der Cyberwar jetzt käme?
00:17:39.904 --> 00:17:43.383
Kai: Ja schrecklich oder?
L: Das wäre doch total schlimm ja.
00:17:43.383 --> 00:17:48.013
K: Ich mir wird langsam langweilig über
Ransomeware zu schreiben ganz ehrlich weil es so
00:17:48.013 --> 00:17:52.520
vorhersagbar ist. Und wenn man sich nur
einen kurzen Moment vorstellen würde
00:17:52.520 --> 00:17:56.788
überall in Deutschland würden maskierte
Menschen in große und kleine Firmen
00:17:56.788 --> 00:18:02.757
reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem
00:18:02.757 --> 00:18:08.556
Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles
00:18:08.556 --> 00:18:12.091
erwischt hat da rennen 100 Leute rein ja,
reißen alle Rechner aus der Wand und
00:18:12.091 --> 00:18:16.311
verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?
00:18:16.311 --> 00:18:20.289
Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital
00:18:20.289 --> 00:18:24.750
passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar, den sich
00:18:24.750 --> 00:18:28.704
vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich
00:18:28.704 --> 00:18:32.222
mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar
00:18:32.222 --> 00:18:36.226
mit ein paar Scharmützeln im Internet. Ja
das ist klar vorweg zu sagen, aber wenn wir
00:18:36.226 --> 00:18:40.018
uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im
00:18:40.018 --> 00:18:43.878
Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und
00:18:43.878 --> 00:18:47.903
es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere
00:18:47.903 --> 00:18:52.418
Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn
00:18:52.418 --> 00:18:56.244
irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht
00:18:56.244 --> 00:19:00.652
anders vorgehen als die Angreifer, die uns
heute schon Millionen und Milliarden
00:19:00.652 --> 00:19:05.857
Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,
00:19:05.857 --> 00:19:11.257
die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen
00:19:11.257 --> 00:19:15.224
und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation
00:19:15.224 --> 00:19:18.801
braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes
00:19:18.801 --> 00:19:23.417
Wiederherstellungskonzept. Euer Problem
ist nicht, dass alle Dateien weg sind, euer
00:19:23.417 --> 00:19:27.446
Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das
00:19:27.446 --> 00:19:31.183
langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben
00:19:31.183 --> 00:19:34.786
ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort
00:19:34.786 --> 00:19:39.860
stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für
00:19:39.860 --> 00:19:43.974
eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf
00:19:43.974 --> 00:19:47.962
nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht
00:19:47.962 --> 00:19:52.390
ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest
00:19:52.390 --> 00:19:56.733
nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer
00:19:56.733 --> 00:20:01.294
eigenen Infrastruktur, es muss isoliert
sein, also komplett getrenntes identity
00:20:01.294 --> 00:20:05.883
Access Management, keinesfalls im Active
Directory. Wer den Backup Server
00:20:05.883 --> 00:20:10.571
administriert, geht mit einer Tastatur und
einem Bildschirm in den Serverraum und
00:20:10.571 --> 00:20:14.258
steckt die da dran. Keine remote
administration von dem Backup Server,
00:20:14.258 --> 00:20:18.721
keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir
00:20:18.721 --> 00:20:22.426
auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.
00:20:22.426 --> 00:20:26.751
Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte
00:20:26.751 --> 00:20:31.540
man da sparen, wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup
00:20:31.540 --> 00:20:36.008
also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver
00:20:36.008 --> 00:20:39.920
integer! Und vor allem machen wir unsere
Backups risikobasiert also die
00:20:39.920 --> 00:20:44.984
Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die
00:20:44.984 --> 00:20:49.851
Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr
00:20:49.851 --> 00:20:53.258
mal jemanden seht, der dann so ankommt
sagt, wir haben alles auf Tape und du
00:20:53.258 --> 00:20:57.453
denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? lächelt Dann
00:20:57.453 --> 00:21:04.182
verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die
00:21:04.182 --> 00:21:08.606
Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen
00:21:08.606 --> 00:21:12.040
gibt, und das das was wir gleich über
Verhandlungen berichten, das vergesst ich
00:21:12.040 --> 00:21:15.671
am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute
00:21:15.671 --> 00:21:18.987
immer danach fragen, wie denn so eine
Verhandlung läuft. einzelne Applaus
00:21:18.987 --> 00:21:27.902
K: Ich entschuldige mich für diesen
Vortrag. Applaus
00:21:27.902 --> 00:21:31.950
K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den
00:21:31.950 --> 00:21:36.004
lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle
00:21:36.004 --> 00:21:40.637
beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,
00:21:40.637 --> 00:21:43.979
wie wir später festgestellt haben,
deswegen interessieren uns natürlich die
00:21:43.979 --> 00:21:48.316
psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir
00:21:48.316 --> 00:21:52.025
hier so ein paar vorstellen, damit ihr eine
Vorstellung dafür kriegt, was sind das für
00:21:52.025 --> 00:21:56.364
Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen
00:21:56.364 --> 00:22:02.803
mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das
00:22:02.803 --> 00:22:08.121
ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist
00:22:08.121 --> 00:22:11.357
eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr
00:22:11.357 --> 00:22:16.200
gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er
00:22:16.200 --> 00:22:20.365
da fährt, das ist seiner. Das Klischee geht
noch viel weiter, wenn ihr das
00:22:20.365 --> 00:22:24.839
Nummernschild betrachtet, falls ihr
russisch könnt, da steht W o R nicht Bor,
00:22:24.839 --> 00:22:30.907
sondern wor und wor übersetzt heißt Dieb
lächelt. Seine ganze Gang fuhr mit
00:22:30.907 --> 00:22:34.465
diesen Nummernschildern rum.
einzelne Gelächter
00:22:34.465 --> 00:22:38.848
Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet
00:22:38.848 --> 00:22:46.380
und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling
00:22:46.380 --> 00:22:52.809
Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist
00:22:52.809 --> 00:22:57.756
die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie
00:22:57.756 --> 00:23:03.060
gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie
00:23:03.060 --> 00:23:07.198
die Großväter der Ransomware, die nannten
sich evil Cop, auch da waren sie relativ
00:23:07.198 --> 00:23:11.851
eindeutig in ihrer Bezeichnung.
Gelächter
00:23:11.851 --> 00:23:14.760
Die haben schätzungsweise, es sind immer
Schätzungen von Ermittlern, deswegen wer weiß
00:23:14.760 --> 00:23:19.220
ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner
00:23:19.220 --> 00:23:24.786
namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking
00:23:24.786 --> 00:23:29.761
Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden
00:23:29.761 --> 00:23:36.332
gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch
00:23:36.332 --> 00:23:41.071
nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.
00:23:41.071 --> 00:23:45.507
Das Interessante ist, weswegen wir sie hier
drin haben, sie sind wirklich so was wie
00:23:45.507 --> 00:23:50.721
die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft
00:23:50.721 --> 00:23:55.860
mehrheitlich. Sie haben RAS erfunden
Ransomware As a Service also sie haben
00:23:55.860 --> 00:24:00.268
irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet
00:24:00.268 --> 00:24:05.535
verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie
00:24:05.535 --> 00:24:09.666
haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu
00:24:09.666 --> 00:24:13.848
beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,
00:24:13.848 --> 00:24:18.290
und wie sehen Leute aus die sowas dann
weiter verkaufen? So
00:24:18.290 --> 00:24:20.795
Gelächter
00:24:20.795 --> 00:24:27.690
das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer
00:24:27.690 --> 00:24:30.960
der Menschen die davon lebt diese
Vermietung zu organisieren,
00:24:30.960 --> 00:24:34.526
höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht
00:24:34.526 --> 00:24:37.795
verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in
00:24:37.795 --> 00:24:41.634
Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit
00:24:41.634 --> 00:24:48.850
Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was
00:24:48.850 --> 00:24:54.153
die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich
00:24:54.153 --> 00:24:59.805
gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten
00:24:59.805 --> 00:25:06.101
für Online Casinos und Crypto und anderen
Schmuddelkram und der vermietet oder hat
00:25:06.101 --> 00:25:11.647
vermietet REvil, ein weiteres großes
Ransomware, Familienmodell. Und er scheint
00:25:11.647 --> 00:25:17.051
nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist
00:25:17.051 --> 00:25:20.785
seine Frau, die tut hier nichts zur Sache,
deswegen ist sie so ein bisschen
00:25:20.785 --> 00:25:26.444
ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,
00:25:26.444 --> 00:25:29.171
wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie
00:25:29.171 --> 00:25:33.983
beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,
00:25:33.983 --> 00:25:39.578
falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also
00:25:39.578 --> 00:25:44.235
die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren
00:25:44.235 --> 00:25:50.155
steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass
00:25:50.155 --> 00:25:54.105
man da seine Bitcoin Wallet eingravieren
kann.
00:25:54.105 --> 00:25:58.960
Applaus, L, K und Alle lachen
00:25:58.960 --> 00:26:02.718
Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.
00:26:02.718 --> 00:26:07.370
Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht
00:26:07.370 --> 00:26:23.801
aber wir konnten sie leider nicht lesen.
Das FBI konnte es. Lachen, Applaus
00:26:23.801 --> 00:26:28.457
Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ihnen beschlagnahmt,
00:26:28.457 --> 00:26:33.480
ne also die Crypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der
00:26:33.480 --> 00:26:38.820
größte Halter von Bitcoins überhaupt
weltweit, oder? Viele lachen
00:26:38.820 --> 00:26:43.996
So er selbst wurde nicht gefasst aber
junge Russen, die sich für unverwundbar
00:26:43.996 --> 00:26:47.676
halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden
00:26:47.676 --> 00:26:52.547
bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die
00:26:52.547 --> 00:26:57.580
bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware
00:26:57.580 --> 00:27:03.273
Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die
00:27:03.273 --> 00:27:09.373
die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine
00:27:09.373 --> 00:27:16.753
Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine
00:27:16.753 --> 00:27:22.787
Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht weil dieser
00:27:22.787 --> 00:27:27.048
Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich
00:27:27.048 --> 00:27:32.195
erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war
00:27:32.195 --> 00:27:38.981
Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet
00:27:38.981 --> 00:27:46.218
ebenfalls eine riesige Ransomware Familie
ja die weltweit tausende Opfer verursacht
00:27:46.218 --> 00:27:52.474
hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI
00:27:52.474 --> 00:27:57.388
Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn
00:27:57.388 --> 00:28:03.149
erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen
00:28:03.149 --> 00:28:09.798
wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen
00:28:09.798 --> 00:28:14.130
gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden
00:28:14.130 --> 00:28:18.938
konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte
00:28:18.938 --> 00:28:24.500
Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser
00:28:24.500 --> 00:28:29.127
Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese
00:28:29.127 --> 00:28:34.189
Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei
00:28:34.189 --> 00:28:39.143
bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von
00:28:39.143 --> 00:28:43.070
emotet zusammen hier.
L: Sieht aus wie bei mir.
00:28:43.070 --> 00:28:45.778
viele lachen
00:28:45.778 --> 00:28:47.897
K: Okay du hast auch Flohmarktzeug?
00:28:47.897 --> 00:28:49.045
lächelt
00:28:49.045 --> 00:28:53.110
K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre
00:28:53.110 --> 00:28:58.026
alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der
00:28:58.026 --> 00:29:02.904
wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit
00:29:02.904 --> 00:29:08.161
uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche
00:29:08.161 --> 00:29:13.789
trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert
00:29:13.789 --> 00:29:21.187
wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro
00:29:21.187 --> 00:29:27.640
Server und Monat $480. Ich finde es
interessant, weil auch so gigantische
00:29:27.640 --> 00:29:31.574
Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit
00:29:31.574 --> 00:29:35.854
funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei
00:29:35.854 --> 00:29:42.280
die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom
00:29:42.280 --> 00:29:48.180
Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department
00:29:48.180 --> 00:29:53.704
KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,
00:29:53.704 --> 00:29:56.109
ich hät gern ein paar davon.
00:29:56.109 --> 00:29:57.215
Gelächter
00:29:57.215 --> 00:30:01.208
L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt dass
00:30:01.208 --> 00:30:05.998
ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,
00:30:05.998 --> 00:30:10.297
hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich
00:30:10.297 --> 00:30:15.099
habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So
00:30:15.099 --> 00:30:21.062
sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben
00:30:21.062 --> 00:30:25.732
wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da
00:30:25.732 --> 00:30:29.972
drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem
00:30:29.972 --> 00:30:35.519
Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen
00:30:35.519 --> 00:30:41.210
Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,
00:30:41.210 --> 00:30:44.749
ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal
00:30:44.749 --> 00:30:48.128
beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher
00:30:48.128 --> 00:30:51.540
zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der
00:30:51.540 --> 00:30:55.200
man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,
00:30:55.200 --> 00:30:59.540
ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10
00:30:59.540 --> 00:31:03.803
Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,
00:31:03.803 --> 00:31:09.045
ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,
00:31:09.045 --> 00:31:13.920
die die Verhandlung betreffen. Und man
sagt natürlich erstmal junge Beweis du
00:31:13.920 --> 00:31:16.962
doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich
00:31:16.962 --> 00:31:20.680
erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doof
00:31:20.680 --> 00:31:26.054
Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass
00:31:26.054 --> 00:31:30.464
man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du
00:31:30.464 --> 00:31:34.423
die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann
00:31:34.423 --> 00:31:39.141
kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann
00:31:39.141 --> 00:31:42.881
sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben
00:31:42.881 --> 00:31:47.540
dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und
00:31:47.540 --> 00:31:54.366
damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist
00:31:54.366 --> 00:32:00.601
deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für
00:32:00.601 --> 00:32:05.445
umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer
00:32:05.445 --> 00:32:10.160
Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese
00:32:10.160 --> 00:32:14.723
die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar
00:32:14.723 --> 00:32:20.461
keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?
00:32:20.461 --> 00:32:24.789
Kostenlose Leistung die man hier kriegt.
00:32:24.789 --> 00:32:25.816
viele lachen
00:32:25.816 --> 00:32:28.404
Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her
00:32:28.404 --> 00:32:32.029
das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann
00:32:32.029 --> 00:32:36.520
sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja
00:32:36.520 --> 00:32:42.340
eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die
00:32:42.340 --> 00:32:47.719
Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt
00:32:47.719 --> 00:32:50.470
ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die
00:32:50.470 --> 00:32:53.900
Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass
00:32:53.900 --> 00:32:58.155
auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das
00:32:58.155 --> 00:33:01.861
werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen
00:33:01.861 --> 00:33:05.907
dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen gelächter?
00:33:05.907 --> 00:33:10.120
Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass
00:33:10.120 --> 00:33:14.261
sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr
00:33:14.261 --> 00:33:20.100
traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden
00:33:20.100 --> 00:33:26.324
für dich selber weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich
00:33:26.324 --> 00:33:31.567
nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen
00:33:31.567 --> 00:33:36.739
sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden
00:33:36.739 --> 00:33:42.148
von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe
00:33:42.148 --> 00:33:45.696
Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One
00:33:45.696 --> 00:33:50.114
Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich
00:33:50.114 --> 00:33:54.795
der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen
00:33:54.795 --> 00:34:00.013
Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen
00:34:00.013 --> 00:34:02.585
digitalen Angriffen zu schützen.
00:34:02.585 --> 00:34:03.270
Einzelne Applaus
00:34:03.270 --> 00:34:06.653
Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,
00:34:06.653 --> 00:34:11.729
der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,
00:34:11.729 --> 00:34:16.925
Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen die der
00:34:16.925 --> 00:34:21.529
eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse
00:34:21.529 --> 00:34:25.230
signifikant verbessern können und er hat
noch ein paar Interviews gegeben dass das
00:34:25.230 --> 00:34:27.458
eine Frechheit wäre und zu wenig.
00:34:27.458 --> 00:34:29.207
Gelächter
00:34:29.207 --> 00:34:32.640
Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto
00:34:32.640 --> 00:34:37.111
keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich
00:34:37.111 --> 00:34:42.249
glaube es war man sieht es im Bild 2021
wurde extensure gebrided von lockbit und
00:34:42.249 --> 00:34:46.875
das F ich natürlich sehr interessant also
haben wir auf dem loogbit Block so den
00:34:46.875 --> 00:34:50.170
Countdown geguckt und so ne und dann
wurden irwann die Daten von extenser
00:34:50.170 --> 00:34:53.905
veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber
00:34:53.905 --> 00:34:58.688
total so ein einzeldownload ja, du
konntest jede Datei einzeln das war total
00:34:58.688 --> 00:35:03.065
unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline
00:35:03.065 --> 00:35:06.504
genommen und dann wurde die Deadline
verlängert wann die released werden und
00:35:06.504 --> 00:35:11.816
irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so
00:35:11.816 --> 00:35:17.551
und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig
00:35:17.551 --> 00:35:22.320
veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird niemand mehr
00:35:22.320 --> 00:35:27.151
bezahlen, wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell
00:35:27.151 --> 00:35:31.688
noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn
00:35:31.688 --> 00:35:35.790
für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu
00:35:35.790 --> 00:35:40.044
veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur
00:35:40.044 --> 00:35:44.251
ein mahnendes Beispiel für den nächsten
und ein Fall wo ich wieder erzählen kann
00:35:44.251 --> 00:35:48.951
eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen das nennt
00:35:48.951 --> 00:35:53.521
man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal
00:35:53.521 --> 00:35:57.770
die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck
00:35:57.770 --> 00:36:03.749
zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die
00:36:03.749 --> 00:36:09.766
nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen
00:36:09.766 --> 00:36:13.801
eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen
00:36:13.801 --> 00:36:18.796
arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen
00:36:18.796 --> 00:36:23.942
wir mal wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,
00:36:23.942 --> 00:36:28.489
dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er mein
00:36:28.489 --> 00:36:33.200
Freund wir sind die cyberswan Gruppe,
google uns wir haben fünf Sterne auf yelp!
00:36:33.200 --> 00:36:37.681
viele lachen und es ist es ist natürlich
wirklich wichtig für diese Mechanik der
00:36:37.681 --> 00:36:41.625
Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch
00:36:41.625 --> 00:36:46.500
betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt
00:36:46.500 --> 00:36:51.852
Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den
00:36:51.852 --> 00:36:57.247
ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich
00:36:57.247 --> 00:37:02.603
erpressen ist eher unwahrscheinlich. Aber
dann sagst du sowas wie ja boah das mit
00:37:02.603 --> 00:37:08.686
den Tapes kennt sie ja dauert ey pass auf
wir zahlen dir 25 Dann kommen wir wollen
00:37:08.686 --> 00:37:13.484
100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich
00:37:13.484 --> 00:37:18.275
jetzt auch wieder dieses Druck ne wir
wollen mehr Geld später und dann sagst du
00:37:18.275 --> 00:37:23.268
ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50
00:37:23.268 --> 00:37:28.071
Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich
00:37:28.071 --> 00:37:34.560
zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur
00:37:34.560 --> 00:37:39.699
24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso
00:37:39.699 --> 00:37:44.322
weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes
00:37:44.322 --> 00:37:48.760
wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die
00:37:48.760 --> 00:37:52.163
Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass
00:37:52.163 --> 00:37:55.690
sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die
00:37:55.690 --> 00:37:58.870
Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst
00:37:58.870 --> 00:38:04.250
du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb
00:38:04.250 --> 00:38:09.561
angebracht weil sie also weil sie wissen
je länger Du nicht zahlst desto
00:38:09.561 --> 00:38:14.090
unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen
00:38:14.090 --> 00:38:18.829
Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die
00:38:18.829 --> 00:38:24.378
Wissen je länger der Spaß hier geht umso
unwahrscheinlicher zahlst du. Na gut dann
00:38:24.378 --> 00:38:30.374
kommt irwi sowas ja 60 Millionen weil du
es bist letzte Preis ja? Und dann sagst
00:38:30.374 --> 00:38:35.668
du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal
00:38:35.668 --> 00:38:40.961
ok tut mir leid ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win
00:38:40.961 --> 00:38:47.586
Situation werden können aber na ja
vielleicht beim nächsten Mal.
00:38:47.586 --> 00:38:50.927
viele lachen
00:38:50.927 --> 00:38:53.907
Und dann kommt, ok lass mich mal mit dem
Boss reden.
00:38:53.907 --> 00:38:56.472
viele lachen
00:38:56.472 --> 00:39:00.140
Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare
00:39:00.140 --> 00:39:05.570
Grenzen und erst wenn der mit jemand
anders reden muss über den Deal den er dir
00:39:05.570 --> 00:39:10.170
machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der
00:39:10.170 --> 00:39:15.026
vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein
00:39:15.026 --> 00:39:19.821
aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.
00:39:19.821 --> 00:39:24.339
Dann kommt eben sowas her: ok 50%
allerletzte Preis ja und dann sagst du
00:39:24.339 --> 00:39:28.617
sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja
00:39:28.617 --> 00:39:32.243
auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt
00:39:32.243 --> 00:39:36.771
signalisiert also die Prüfung, dass Sie
Dateien wiederherstellen können jede
00:39:36.771 --> 00:39:41.040
Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel
00:39:41.040 --> 00:39:44.984
ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und
00:39:44.984 --> 00:39:49.535
dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger
00:39:49.535 --> 00:39:53.505
Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass
00:39:53.505 --> 00:39:57.342
dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst
00:39:57.342 --> 00:40:02.318
du mit diesen Leuten hier zu tun zu haben.
Das war wannacry ihr erinnert euch die
00:40:02.318 --> 00:40:07.480
ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und als ich die
00:40:07.480 --> 00:40:11.245
doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet war mir auch
00:40:11.245 --> 00:40:15.434
sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine
00:40:15.434 --> 00:40:21.250
Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so also wichtig
00:40:21.250 --> 00:40:25.846
sicherstellen und erst spät sicherstellen
weil damit signalisierst du überhaupt
00:40:25.846 --> 00:40:30.566
Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die
00:40:30.566 --> 00:40:35.349
klugen Leute und sagen hey vorsicht wenn
du zahlst, dann hacken sie dich direkt
00:40:35.349 --> 00:40:39.547
wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht
00:40:39.547 --> 00:40:44.279
Mythos auf dem nächsten Sixpack steht
Realität aber dol i kann nicht so gut
00:40:44.279 --> 00:40:47.114
schreiben wie ich. Die Realität ist
00:40:47.114 --> 00:40:47.859
lächeln
00:40:47.859 --> 00:40:50.624
der Rest des Internets wartet auf Sie die
haben überhaupt gar keinen Grund noch mal
00:40:50.624 --> 00:40:54.992
dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich
00:40:54.992 --> 00:41:00.543
nicht noch mal hackt. Es gibt aber genug
Andere also früher oder später musst du
00:41:00.543 --> 00:41:06.921
dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder
00:41:06.921 --> 00:41:13.279
sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch
00:41:13.279 --> 00:41:19.305
zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in
00:41:19.305 --> 00:41:24.460
die Cloud und gebt ihm und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr
00:41:24.460 --> 00:41:29.380
kommt sowieso nicht drum herum euch besser
zu schützen am besten macht ihr das bevor
00:41:29.380 --> 00:41:34.600
ihr den Case habt, aber egal ob du zahlst
oder nicht die Anderen werden kommen, ja?
00:41:34.600 --> 00:41:39.324
Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine
00:41:39.324 --> 00:41:42.992
Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen
00:41:42.992 --> 00:41:44.596
dann prügeln wir die raus oder so.
00:41:44.596 --> 00:41:46.202
lachen
00:41:46.202 --> 00:41:49.721
Na ja, dann sagen Sie hier ist unser
unsere Bitcoin Wallet ja die nehmen
00:41:49.721 --> 00:41:53.951
üblicherweise eine frische brauchen sie
auch damit sie erkennen dass die Zahlung
00:41:53.951 --> 00:41:58.407
von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi
00:41:58.407 --> 00:42:02.557
rüber, ja? Achtung, das ist interessanter
Moment weil dann sehen die wie viel Geld
00:42:02.557 --> 00:42:06.350
auf deinem Wallet liegt. Ja in dem Moment
beweist du dass du über ein über eine
00:42:06.350 --> 00:42:10.990
Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht
00:42:10.990 --> 00:42:15.970
doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,
00:42:15.970 --> 00:42:20.015
du weißt wie das ist, neh, ich habe jetzt
echt nicht
00:42:20.015 --> 00:42:24.073
viele lachen
00:42:24.073 --> 00:42:28.326
Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr
00:42:28.326 --> 00:42:32.875
ein sehr wichtiger Hinweis, bezahle nur
wenn du ein Business Case hast. Du hast
00:42:32.875 --> 00:42:37.513
meistens keinen, das Einzige was hier eine
Rolle spielt ist, dass deine
00:42:37.513 --> 00:42:41.934
Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten die
00:42:41.934 --> 00:42:47.148
Systemeherten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette
00:42:47.148 --> 00:42:51.680
Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch
00:42:51.680 --> 00:42:55.816
jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest
00:42:55.816 --> 00:42:59.765
oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen
00:42:59.765 --> 00:43:04.331
bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann
00:43:04.331 --> 00:43:10.100
gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das
00:43:10.100 --> 00:43:17.027
deleition Lock, also das Output von rm-RF.
Das sieht dann so aus, und Linus lächelt
00:43:17.027 --> 00:43:22.433
ich meine die haben sogar ihre local
language auf Russisch eingestellt, ja?
00:43:22.433 --> 00:43:27.893
also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also
00:43:27.893 --> 00:43:38.501
ein Output von rm-RF. Und dann sagen sie
yoh, wir bereiten jetzt dein Decrypter
00:43:38.501 --> 00:43:39.343
vor.
00:43:39.343 --> 00:43:40.712
einzelne gelächter
00:43:40.712 --> 00:43:46.085
Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus
00:43:46.085 --> 00:43:52.839
lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den
00:43:52.839 --> 00:44:01.090
Typen nicht erreichen, hab mal kurz gedult
bitte und dann kann das manchmal ein
00:44:01.090 --> 00:44:08.900
bisschen dauern und dann kommt hey, hier
ist der Decrypter, sorry der Typ war
00:44:08.900 --> 00:44:10.615
draußen einen saufen, Ja?
00:44:10.615 --> 00:44:11.903
video läufzt, alle lachen
00:44:11.903 --> 00:44:15.309
Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen
00:44:15.309 --> 00:44:19.380
Schlüssel geben der Millionen wert ist,
weil dann machen sie side Deals ja? Dann
00:44:19.380 --> 00:44:24.496
verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,
00:44:24.496 --> 00:44:29.352
blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das
00:44:29.352 --> 00:44:33.736
Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch
00:44:33.736 --> 00:44:39.080
die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte
00:44:39.080 --> 00:44:44.163
automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei
00:44:44.163 --> 00:44:48.608
dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle
00:44:48.608 --> 00:44:54.300
Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten
00:44:54.300 --> 00:44:59.005
halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über
00:44:59.005 --> 00:45:04.143
diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter
00:45:04.143 --> 00:45:10.519
hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie
00:45:10.519 --> 00:45:15.941
die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,
00:45:15.941 --> 00:45:18.424
wie es dann auf der anderen Seite
aussieht.
00:45:18.424 --> 00:45:24.120
Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen
00:45:24.120 --> 00:45:29.768
Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch
00:45:29.768 --> 00:45:33.290
zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel
00:45:33.290 --> 00:45:37.396
outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist
00:45:37.396 --> 00:45:43.226
Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware
00:45:43.226 --> 00:45:48.658
Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese
00:45:48.658 --> 00:45:54.326
Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin
00:45:54.326 --> 00:45:59.629
gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen
00:45:59.629 --> 00:46:07.360
verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie
00:46:07.360 --> 00:46:14.459
und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe
00:46:14.459 --> 00:46:21.080
gefahren und allein er hat 1400 Bitcoin
eingesammelt mit diesen Erpressung, damals
00:46:21.080 --> 00:46:26.485
27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar
00:46:26.485 --> 00:46:30.790
nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe
00:46:30.790 --> 00:46:35.136
von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war
00:46:35.136 --> 00:46:39.840
Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der
00:46:39.840 --> 00:46:43.820
irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.
00:46:43.820 --> 00:46:48.380
Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt
00:46:48.380 --> 00:46:53.038
viele Lachen
00:46:53.038 --> 00:47:00.022
Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich
00:47:00.022 --> 00:47:04.556
fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte
00:47:04.556 --> 00:47:07.122
durch dan Corona konnte man der
Gerichtsverhandlung im Internet folgen,
00:47:07.122 --> 00:47:10.528
wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller
00:47:10.528 --> 00:47:14.298
freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen
00:47:14.298 --> 00:47:18.200
mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist
00:47:18.200 --> 00:47:22.976
er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das
00:47:22.976 --> 00:47:28.047
finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in
00:47:28.047 --> 00:47:32.566
der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen
00:47:32.566 --> 00:47:37.580
Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur
00:47:37.580 --> 00:47:43.130
so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit
00:47:43.130 --> 00:47:47.860
ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,
00:47:47.860 --> 00:47:52.412
ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen
00:47:52.412 --> 00:47:57.446
sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser
00:47:57.446 --> 00:48:03.967
Screenshots waren Metadaten Screenshot
2.png enthielt Metadaten und in Metadaten
00:48:03.967 --> 00:48:10.195
stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die
00:48:10.195 --> 00:48:15.737
Kommunikation mit diesem Server zwar eine
anonyme E-Mailadresse, war aber zu faul
00:48:15.737 --> 00:48:21.983
die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private
00:48:21.983 --> 00:48:22.948
Mailadresse
00:48:22.948 --> 00:48:23.667
viele Lachen.
00:48:23.667 --> 00:48:27.383
Über die auch seine amazon Bestellung
liefen, so dass das FBI sofort auch seiner
00:48:27.383 --> 00:48:28.385
Adresse hatte.
00:48:28.385 --> 00:48:31.877
einzelnes Lachen
00:48:31.877 --> 00:48:38.123
Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen
00:48:38.123 --> 00:48:42.071
irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort wo sie
00:48:42.071 --> 00:48:46.193
angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für
00:48:46.193 --> 00:48:49.822
20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss
00:48:49.822 --> 00:48:55.291
er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also
00:48:55.291 --> 00:49:02.171
diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es
00:49:02.171 --> 00:49:07.549
sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind
00:49:07.549 --> 00:49:12.984
normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht
00:49:12.984 --> 00:49:20.929
sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1
00:49:20.929 --> 00:49:28.680
Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,
00:49:28.680 --> 00:49:33.732
die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für
00:49:33.732 --> 00:49:40.454
Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im
00:49:40.454 --> 00:49:47.613
Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so
00:49:47.613 --> 00:49:53.417
durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und
00:49:53.417 --> 00:49:58.909
programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und
00:49:58.909 --> 00:50:04.106
dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt
00:50:04.106 --> 00:50:08.981
sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,
00:50:08.981 --> 00:50:12.420
da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden
00:50:12.420 --> 00:50:16.860
und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du
00:50:16.860 --> 00:50:22.688
von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines
00:50:22.688 --> 00:50:28.878
Team mit neuen Leuten und die kannten sich
alle nur über Java. Und ihr Job war es
00:50:28.878 --> 00:50:33.614
dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige
00:50:33.614 --> 00:50:36.808
ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf
00:50:36.808 --> 00:50:40.692
der dann steht "ihr Computer ist
infiziert". Kai lächelt Entschuldigung
00:50:40.692 --> 00:50:46.051
das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die
00:50:46.051 --> 00:50:51.538
Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und
00:50:51.538 --> 00:50:58.140
organisiertesten Ransomware Banden die die
Welt bislang gesehen hat , oder die größte
00:50:58.140 --> 00:51:03.829
und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,
00:51:03.829 --> 00:51:08.355
das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem
00:51:08.355 --> 00:51:12.542
echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander
00:51:12.542 --> 00:51:17.249
kommunizierte und der dann später geliegt
wurde durch ein ROG Mitglied dieser Bande,
00:51:17.249 --> 00:51:23.424
so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die
00:51:23.424 --> 00:51:29.653
Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von
00:51:29.653 --> 00:51:33.740
Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist
00:51:33.740 --> 00:51:37.100
abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir
00:51:37.100 --> 00:51:41.985
schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr
00:51:41.985 --> 00:51:48.957
erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand
00:51:48.957 --> 00:51:54.600
dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio und da blieb sie
00:51:54.600 --> 00:51:58.764
relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,
00:51:58.764 --> 00:52:03.000
die kann uns was über Konti erzählen, das
war vor dem leack. Nah, das FBI hat sie
00:52:03.000 --> 00:52:06.641
vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur
00:52:06.641 --> 00:52:10.083
die neun Leute aus ihrem Team, das waren
alles kleine freischaffende
00:52:10.083 --> 00:52:15.160
Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen
00:52:15.160 --> 00:52:20.869
wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im
00:52:20.869 --> 00:52:25.644
Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam
00:52:25.644 --> 00:52:30.122
der Konti Leack und alle Welter erfuhr
über diese Gang. Inzwischen ist sie
00:52:30.122 --> 00:52:35.451
freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in
00:52:35.451 --> 00:52:40.618
Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum
00:52:40.618 --> 00:52:44.959
Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie
00:52:44.959 --> 00:52:49.082
gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie
00:52:49.082 --> 00:52:54.580
putzen. Das ist, ihr seht hier so die
Struktur, von Konti das ist die unterste
00:52:54.580 --> 00:53:01.090
Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der
00:53:01.090 --> 00:53:06.448
Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros
00:53:06.448 --> 00:53:12.593
anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen
00:53:12.593 --> 00:53:19.990
da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma
00:53:19.990 --> 00:53:25.302
organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem
00:53:25.302 --> 00:53:29.690
Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf
00:53:29.690 --> 00:53:34.705
der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß
00:53:34.705 --> 00:53:39.454
bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr
00:53:39.454 --> 00:53:43.451
fähige kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie
00:53:43.451 --> 00:53:46.991
Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun
00:53:46.991 --> 00:53:50.473
niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es
00:53:50.473 --> 00:53:55.326
ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden
00:53:55.326 --> 00:54:00.752
machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.
00:54:00.752 --> 00:54:08.930
Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar
00:54:08.930 --> 00:54:17.090
Softwarefmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich
00:54:17.090 --> 00:54:24.574
noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig
00:54:24.574 --> 00:54:30.316
dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,
00:54:30.316 --> 00:54:34.878
sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR
00:54:34.878 --> 00:54:39.082
Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.
00:54:39.082 --> 00:54:43.830
K: Der baut auch den Kryptolocker, also
die Daten verschlüsselt, also sein Team.
00:54:43.830 --> 00:54:47.836
Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von
00:54:47.836 --> 00:54:51.753
Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das
00:54:51.753 --> 00:54:57.683
Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines Komisischen
00:54:57.683 --> 00:55:02.389
Gurus. Letztlich ein ganz normaler Mensch.
00:55:02.389 --> 00:55:03.949
viele Lachen
00:55:03.949 --> 00:55:08.717
ist in Abwesenheit angeklagt in den USA,
weil er Teil von Konti sein soll. Hier ist
00:55:08.717 --> 00:55:15.096
noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei
00:55:15.096 --> 00:55:20.687
Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt
00:55:20.687 --> 00:55:23.860
sich selber reverse engineer und mail
Analyst und scheint schon länger in der
00:55:23.860 --> 00:55:28.087
Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen
00:55:28.087 --> 00:55:33.254
Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und
00:55:33.254 --> 00:55:37.442
finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch
00:55:37.442 --> 00:55:42.672
remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu
00:55:42.672 --> 00:55:47.498
einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,
00:55:47.498 --> 00:55:50.804
zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch
00:55:50.804 --> 00:55:54.774
interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team
00:55:54.774 --> 00:55:59.849
war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte
00:55:59.849 --> 00:56:06.203
Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem
00:56:06.203 --> 00:56:11.517
Wasser geblasen wurde, und für Konti hat
er Leute angeworben und geführt als
00:56:11.517 --> 00:56:16.160
Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines
00:56:16.160 --> 00:56:21.887
Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht
00:56:21.887 --> 00:56:26.920
man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen
00:56:26.920 --> 00:56:32.392
für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld
00:56:32.392 --> 00:56:38.140
und es heißt dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen
00:56:38.140 --> 00:56:42.161
interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also
00:56:42.161 --> 00:56:45.744
Konti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das
00:56:45.744 --> 00:56:49.490
hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich
00:56:49.490 --> 00:56:55.257
selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die
00:56:55.257 --> 00:56:56.827
Lehren daraus halten.
00:56:56.827 --> 00:56:57.527
Linus lacht
00:56:57.527 --> 00:57:01.157
L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann
00:57:01.157 --> 00:57:06.897
verhältnismäßig entspannt ja? Also wenn
man überlegt dass Konti war mal, blackhead
00:57:06.897 --> 00:57:11.135
wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im
00:57:11.135 --> 00:57:15.080
im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr
00:57:15.080 --> 00:57:19.859
das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die
00:57:19.859 --> 00:57:25.432
Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich
00:57:25.432 --> 00:57:31.259
vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld
00:57:31.259 --> 00:57:36.389
übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort
00:57:36.389 --> 00:57:40.420
verteilt wird auf viele tausend einzelne
wallets, also findet so ein
00:57:40.420 --> 00:57:45.140
Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von
00:57:45.140 --> 00:57:50.214
Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff
00:57:50.214 --> 00:57:55.949
mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein dass
00:57:55.949 --> 00:58:00.523
es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie
00:58:00.523 --> 00:58:04.273
sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein
00:58:04.273 --> 00:58:09.200
Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen
00:58:09.200 --> 00:58:13.944
keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt
00:58:13.944 --> 00:58:19.960
dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.
00:58:19.960 --> 00:58:25.149
Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich
00:58:25.149 --> 00:58:29.728
schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben
00:58:29.728 --> 00:58:34.016
halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein
00:58:34.016 --> 00:58:37.588
kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt
00:58:37.588 --> 00:58:41.280
hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst
00:58:41.280 --> 00:58:46.080
du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,
00:58:46.080 --> 00:58:49.989
also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den
00:58:49.989 --> 00:58:54.077
dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden
00:58:54.077 --> 00:58:57.757
die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer
00:58:57.757 --> 00:59:01.339
verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen
00:59:01.339 --> 00:59:04.854
Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,
00:59:04.854 --> 00:59:08.780
dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu
00:59:08.780 --> 00:59:12.615
drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die
00:59:12.615 --> 00:59:16.437
Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach
00:59:16.437 --> 00:59:19.943
moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine
00:59:19.943 --> 00:59:23.551
Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld
00:59:23.551 --> 00:59:27.403
nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also
00:59:27.403 --> 00:59:31.256
mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach
00:59:31.256 --> 00:59:35.145
den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.
00:59:35.145 --> 00:59:39.454
Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst
00:59:39.454 --> 00:59:43.220
euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die
00:59:43.220 --> 00:59:47.730
brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du
00:59:47.730 --> 00:59:53.625
zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst
00:59:53.625 --> 00:59:58.570
dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du
00:59:58.570 --> 01:00:02.875
den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du
01:00:02.875 --> 01:00:06.815
über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben
01:00:06.815 --> 01:00:11.075
findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr
01:00:11.075 --> 01:00:15.866
Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du
01:00:15.866 --> 01:00:20.952
ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema
01:00:20.952 --> 01:00:26.472
unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat
01:00:26.472 --> 01:00:30.887
den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als
01:00:30.887 --> 01:00:35.701
kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter
01:00:35.701 --> 01:00:40.440
veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,
01:00:40.440 --> 01:00:45.256
sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir
01:00:45.256 --> 01:00:50.352
beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des
01:00:50.352 --> 01:00:54.848
decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit
01:00:54.848 --> 01:00:58.903
hierirner Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt
01:00:58.903 --> 01:01:04.050
zum Thema hoffentlich alles gesagt sein,
vielen Dank.
01:01:04.050 --> 01:01:06.554
Applaus
01:01:06.554 --> 01:01:07.653
Musik
01:01:07.653 --> 01:01:12.520
K: Danke!
Herald: Wunderbar, super ja vielen Dank an
01:01:12.520 --> 01:01:25.573
Linus und Kai.
01:01:25.573 --> 01:01:28.792
37c3 Nachspannmusik
01:01:28.792 --> 01:01:40.000
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!