37C3 Anspannungsmusik Engel: Ok dann freue ich mich euch alle sehr herzlich zu Hirne hacken der hackback Edition begrüßen zu dürfen. Heute unsere zwei Vortragenden Linus Neumann und Kai Biermann, beides bekannte Gesichter hier. Linus bekannt als IT security Consultant und hatte das zweifelhafte Vergnügen schon mit unterschiedlichsten Ransomware Gangs verhandeln zu dürfen oder zu müssen. Kai Biermann ist Investigativjournalist und hat unter anderem Mitglieder der Ransomware Gang Conti entdeckt aufgedeckt und heute werden sie uns ein bisschen was dazu erzählen wie man so spieltheoretisch das Ganze verhandeln mit Ransomware Hackern angehen kann und was da die spannenden Strategien sind. Bitte ein ganz herzliches Willkommen für Linus und Kai! Applaus Kai: Hallo Kongress eine Ehre hier zu sein! Danke euch! Das ist der Linus, der wurde schon kurz vorgestellt, der mag gern reiten, schwimmen und hacken so viel zu seinen Hobbys. Er wird öfters mal angerufen wenn irgendwo eine Firma gecybert wird und deswegen steht er hier. Linus: Das ist der Kai, der hat keine Hobbys die er öffentlich nennen möchte. Lachen Und ruft gerne mal an wenn jemand gecybert wird weil er im Investigativressort von Zeit und Zeit online arbeitet. Und wenn dieses Telefon so bei mir klingelt ist eigentlich der erste Satz immer so: Linus, du musst sofort helfen, wir werden erpresst! Gemurmel Und so als Einstieg möchte ich mal einen Fall von vor gar nicht allzu langer Zeit schildern, wo ein Hacker oder eine Hackerin von einer eigenen Domain eine E-Mail geschrieben hat. "Ich wurde angeheuert um Ihre Webseite zu hacken, ich habe Zugriff auf alle Kundendaten und mein Kunde also der der mich beauftragt hat zahlt zu wenig deswegen können Sie jetzt Ihre Daten zurückkaufen und ich sage in die Schwachstelle." wachsendes Lachen Linus: Klang schon mal jetzt nicht so auf Anhieb überzeugend ja? Und dann auch was ich sehr schön finde du so unmittelbare Selbstbeschuldigung: "Mir ist klar dass es ihre Daten sind und ich der Kriminelle bin der sich Zugang zu ihnen verschafft hat, werden sie jetzt aber nicht emotional, stellen Sie sich einfach nur mal den Schaden vor wenn ich veröffentliche." Lachen Linus: Ja und ich habe ja schon gesagt das war ein Erpresser ja und er hat dann seine Forderung uns mitgeteilt: "ich will 2000€". LachenLinus lacht L: Ja wir haben dann halt die SQL Injection gefixt und ich sag mal so mit ein bisschen mehr Forderung hätten wir ihn wahrscheinlich auch ernst genommen, haben uns dann aber entschieden vielleicht erstmal nicht zu antworten, worauf hin er sagte "Ich muss dem Kunden jetzt in 24 Stunden antworten und Sie müssen sich jetzt entscheiden, das ist kein Blöff." laute Lachen Da haben wir erstmals ein Tee getrunken. lachen Und dann schrieb er wieder "ich gebe ihn noch mal 24 Stunden viele lachen aber aber dann aber dann!" L: Ja doch ist ein Blöff ja haben also erstmal nichts gemacht und dann schrieb er: "also ich gebe ihnen jetzt noch ein letztes Mal 24 Stunden dann aber wirklich! Und dann wurden die Drohungen "sagt er," und sie haben können sich gar nicht vorstellen, was jetzt noch alles passiert und ja." So der Kunde wurde auch, was wenn er noch irgendwas Anderes hat und wir so na ja, wenn er noch irgendwas Anderes könnte dann wird er wahrscheinlich nicht 2000€ fordern. Und wir haben uns aber gewundert, was ist das denn für Einer? Ja? Also was ist das für ein Typ der so richtig wohlformulierte lange E-Mails schreibt ja? Und uns war irgendwie nicht so klar, es war wohlformulierte Sprache, ich sag jetzt nicht welche, aber sie war schön formuliert und wir hatten zwei Hypothesen. Die eine war dass ist irgend so ein Abiturient der von zu Hause im Kinderzimmer irgendwie meint er wäre jetzt der große Hacker, weil das könnte erklären dass er 2000€ für viel Geld hält lachen oder ist Irgendjemand mit Chat GPT in Indien oder so für den das potenziell auch viel Geld wäre. Also haben wir uns überlegt na ja lass uns doch mal rausfinden. Ja haben uns entschieden wir antworten doch mal und haben da gesagt: L: Also pass auf du solltest deine Server echt nicht in der EU hosten, weil Gelächter die Polizeibehörden hier arbeiten zusammen ja? Und diese Domain die du da hast die solltest du echt nicht mit der Kreditkarte zahlen. Linus lacht, viele Lachen Und wenn du dein SQL Map Angriffe versuch das doch mal über TOR wenigstens statt von deinem anderen VServer aus, ja? Kam erstmals nichts. einige lachen und dann hab ich gesagt: L: Pass auf in 24 Stunden sehr viele Lachen, Applaus geht unser Bericht ans LKA. Die Datenschutzmeldung haben wir ohnehin schon gemacht, was soll schon noch kommen ja? Haben wir ihm Angebot gemacht haben gesagt: L: Pass auf wenn du deine Daten löscht bekommst du McDonald's Gutschein viele lachen über 100€ und dann kam eben so, "Eh, meine offshore Server sind verschlüsselt!" L: Wie so ... was für Offshore Server? was für Verschlüsselung? "Ich will 2000€ sie haben 24 Stunden, sonst..." einige lachen L: War wieder die große Sorge, was macht er denn jetzt noch ne haben wir gewartet und dann kam dedos einzelne Gelächter dann haben wir cloudflare dazwischen geschaltet und dann waren wir fertig ja lachen weil wir haben natürlich aus zwei Gründen hier nicht bezahlt: 1. die Forderung war viel zu gering, das Geld wär viel zu schnell weg gewesen und der wäre wieder gekommen und hätte mehr gewollt und ja ist auch nichts weiter passiert. Aber natürlich sind nicht alle Diskussionen oder alle solche Fälle, wenn man mit einem verwirrten Einzeltäter zu tun hat, so glimpflich und so einfach. Kai: Und vor all so lustig. Das hier ist einer, das ist so ein Einzeltäter, der hat mutmaßlich muss ich an dieser Stelle sagen, weil er steht gerade erst vor Gericht und ist noch nicht verurteilt und er bestreitet die Tat obwohl es ziemlich gute Indizien gibt, die ihr gleich sehen werdet. Das ist so ein Einzeltäter der hat in Finnland eine Firma erpresst wastamo die Therapiezentren betreibt, psychiatrische Therapiezentren und hat sämtliche therapeutischen Unterlagen gecybert kopiert. Der hat sich alle Protokolle aus Therapiesitzungen, alle Diagnosen von vielen vielen finnischen Menschen von deren Server geholt und hat anschließend gesagt "ich will nicht 2000€ sondern 40 Bitcoin". Das waren damals, ist schon zwei Jahre her, ca 180 000€ und die Firma hat nicht reagiert. Die hat Tee getrunken und daraufhin hat er den Patienten und Patientinnen eine Mail geschickt die Daten hat er ja und hat gesagt ok, die Firma zahlt nicht dann will ich von euch Geld 200€ in Bitcoin damit eure Therapieunterlagen nicht im Netz veröffentlicht werden. Wer macht denn sowas? Hier ist so eine Selbstbeschreibung von ihm, könnt ihr mal lesen wenn ihr Zeit habt. Ein lustiger junger Mann 25 ist er inzwischen, er glaubt er ist ein großer Philanthrop und hat mit beim Umgang mit Tieren schon viel übers Leben gelernt vor allem hat er früh schon Ärger gemacht, der hat mit 15 seine erste Verurteilung kassiert, damals war er an Ddos Attacken beteiligt und an einem Hobby namens swatting, ich weiß nicht ob schon mal gehört habt. Das ist wenn man Leuten die Polizei nach Hause schickt ohne Grund, kann sehr ärgerlich sein. Zurück zum Fall, der hat in Finnland für ziemliche Aufregung gesorgt, das ist die damalige finnische Innenministerin, die fand diesen data breach ein ziemlich shocking Act. Und die Formulierung ist interessant, weil es mehr ein Fall von Data breach ist als ein Fall von hacking, denn und jetzt kommen wir zu einem 2. wichtigen Punkt in unserem Talk. Die Betroffenen sind oft nicht so ganz unschuldig an dem ganzen Problem. Der Server auf dem alle Therapieunterlagen von allen finnischen Patienten und Patientin lagen war erstens eine selbstgebaute mySQL Datenbank die hingt zweitens im Netz war drittens über Google zu finden. Und nur durch ein Standardsystem Admin Passwort geschützt. Gemurmel Auslieferungszustand sozusagen. Wer macht so was? Er, das ist der CEO dieser Firma Vastaamo der war ganz betroffen darüber dass jemand seine Firma ruiniert hat, die ist daraufhin nämlich pleite gegangen und wird bis heute verklagt dafür. Der ist nicht betroffen darüber dass viele viele finnische Menschen erpresst wurden, sondern darüber dass eine schöne Firma kaputt gegangen ist. Noch ein Fakt zu den Patientendaten, den ich sehr interessant finde, sie waren nicht anonymisiert und nicht verschlüsselt. Sollte man nicht machen wenn man so heikle Gesundheitsdaten hat. Und die Firma hat auch Vorgaben des finnischen Gesundheitssystems umgangen zur Datensicherung. Aber zurück zu unserem Täter weil... Also er will 40 Bitcoin was tamamo zahlt nicht da haben wir ihn wieder den kermit, daraufhin hat er eine schlaue Idee, er will um seinen Druck zu erhöhen, weil das ist für den Erpressern immer sehr wichtig wie er auch eben schon gesehen hat, er will den Druck erhöhen und sagt ok, wenn ihr nicht zahlt, dann liege ich eben jeden Tag den ihr nicht zahlt liege ich 100 Patientenakten. Das Problem dabei war, er hat es in ein finnischen imageboard gemacht, ich hoffe ich spreche das richtig aus, yillilauter heißt es, das Problem dabei war, er hat so ein paar Informationen seines Servers von dem er ausgeleakt hat mitgeleakt, K lacht, Gemurmel IP-Adressen und solche Dinge. Worauf hin die Polizei dieser Spur folgen konnte und relativ schnell dahinter kam dass da so ein Netzwerk von Servern existiert, dass Jemand mit seiner Kreditkarte bezahlt hatte. einzelne Applaus Wird noch schöner. *Kai lächelt* Das war nicht der einzige Hinweis auf ihn, den die Polizei fand also, wastamo zaht nicht ja sind keine netten Leute. Der Mann reiste viel, er war er tauchte unter. Also die Polizei hatte schon seinen Namen, sie ahnte wer es ist und suchte ihn in Finnland und er ist abgehauen ins Ausland, hat aber die nicht sehr schlaue Idee gehabt darüber im Internet zu posten. Gelächter Ja er hat wieder auf diesem imageboard JimmiLauter ein Foto gepostet wo er an der französischen Küste es sich gut gehen lässt und sich diesen blödsiniges Wasser ins Gesicht sprüht. Und hat dieses Foto da gepostet unter anderem von einem der Server die im Zusammenhang mit der Tat standen, auch nicht so clever und noch viel lustiger, dieses Foto war so gut, dass die Polizei einen Fingerabdruck nehmen konnte. Viele lachen, Applaus Die finische Polizei wusste jetzt also wo sie ihn suchen muss, in Frankreich. Übrigens an dieser Stelle möchten wir einen kurzen Gruß an Starbug schicken, der hat nämlich 2014 in einem Vortrag genau das prophezeit. Damals hat er von einem Foto von Ursula von der Leihen, das in der Bundespressekonferenz aufgenommen worden war den Daumenabdruck extrahiert und bewiesen dass das geht, danke Starbug! Die finnische Polizei hat dir zugeschaut. Applaus Nachdem wir uns jetzt mit ein paar Amateuren auseinandergesetzt haben die eure Unternehmen ruinieren können oder sich selbst oder beides, wollen wir uns mal kurz ein bisschen mit Profis auseinandersetzen. Und für mich ist das ein bisschen ärgerlich, weil ich darüber in vielen Vorträgen seit nun mehr 7 Jahren rede ja? Und zwar Ransomware es ist wirklich nichts Neues aber ich möchte kurz eine kleine verkürze subjektive Geschichte der Ransomware erzählen. Ungefähr 2016 ging es los mit locky, das war so eine Ransomware fürs Privatkundengeschäft hat irgendwie so local host sofort verschlüsselt und irgendwas im Bereich von paar 100 Euro verlangt ja? Es kam dann später wannacry, das war im Prinzip auch so eine local host randsomeware aber verbunden mit dem eternal blue Exploit hat also im lokalen Netz nach SMB shares gecheckt und die auch noch mal infiziert ja. Also ging so ein bisschen weiter rein. Irgendwann 2018 müsste ryuk damit angefangen haben zu erkennen, dass das Backup der natürliche Feind der Ransomware ist und hat sich darauf konzentriert in Richtung ad compromise zu gehen also komplette Active Directory zu übernehmen und von dort aus in meisten Leute hängen ja dummerweise ihren Backup Server ins Active Directory, was die schlechteste Idee ist die man haben kann, und dann zerstören sie also erst die Backups und rollen dann über eine Group Policy die Ransomware auf allen Hosts aus. Ja das fing so ungefähr 2018 an und 2019 fing es an dass maze sich auch so ein bisschen mehr auf fileshares spezifisch konzentriert hat und auf das Modell der Double extortion. Double extortion könnt ihr euch so vorstellen dass man.. Ich erkläre es gleich ne, weil ich möchte eigentlich noch mal kurz darauf reingehen wie katastrophal es ist dass wir 2023 noch darüber reden ja? Seit 2019 mindestens ist das die gleiche Masche, seit 2016 ist es ein Geschäftsmodell und es sollte einfach so sein wie in jedem IT security lifeecycle, du hast eine Prävention wenn die fehlschlägt hast du eine Detektion und wenn die fehschlägt hast eine Recovery. Die meisten Leute gehen davon aus, dass es vielleicht nicht ganz so gut bei Ihnen aussieht ne, haben eine Prävention vielleicht eine Detektion und die Recovery eigentlich nicht ganz so gut. Aber wie es wirklich in der Realität für sie aussieht so... und wenn man das mal nicht grafisch versinicht sondern so wie dann eine Webseite aussieht, das wäre jetzt hier, ich glaube Blackcat Alfi die die vor 2 D Wochen hochgegangen sind dann sieht das ungefähr so aus du hast eine Webseite Forderung das ist ein Hidden Service und da wird dir dann erklärt wie du Bitcoin kaufen kannst. Habe ich in Hirne hacken schon ausführlich erklärt. die Leute die die Webseite sehen führen dann als nächstes ungefähr zu dieser Situation: "Have you tried paing the ransome"? Weil das die einzige Möglichkeit ist an die Dateien wieder ran zukommen. Wenn man das tut, sieht eine Seite ungefähr so aus, wo es ein bisschen Instruktionen gibt wie man die Dateien wiederherstellt und außerdem sind die Angreifer so nett, sie versprechen den kompletten Bericht, wie sie reingekommen sind und ich denke natürlich als Security Konz, alles klar ein ordentlicher Bericht ja cool so ein redteam Bericht da bin ich mal gespannt. Das ist er ja und eine Standardantwort, die kommt in dem Moment wo die Bitcoins gezahlt sind, erscheint die im Chat ja so quasi in in der gleichen Zeit. Das heißt die ist hard codet in dieser Webseite drin und das bedeutet diese Web diese Angreifer sind absolute onetrack Ponys die haben es hier mit meterpreter gemacht, ja ihr könnt euch ungefähr vorstellen wie wenig idea du brauchst, damit man meterpreter nicht erkennt ja und diese Angreifer sind onetrack Ponys und du bist ihr Opfer. Wir alle kennen diesen klugen Satz, übrigens kann man immer sagen, kann man immer sagen, nur nicht beim incident. Der kommt Lachen, Applaus also kommt nicht an, kommt nicht an. Ja learn from my fail ja? Lachen Ich habe gerade gesagt wir sprechen über double extortion, double extortion funktioniert so: die Angreifer haben gemerkt dass das Backup für sie ein Problem ist und sagen Backup haben wir auch. L lacht Und das werden wir jetzt veröffentlichen, ja? Das heißt sie erpressen dich einerseits oder sie verlangen Lösegeld für deine Daten und erpressen dich gleichzeitig mit der Veröffentlichung, haben also jetzt zwei Druckmittel gegen dich mit denen sie versuchen Geld von dir zu bekommen. Und das Ganze passiert jetzt seit vielen vielen Jahren und irgendwie Kai schreibt drüber, ich rede drüber, die Deutsche Bahn hat schon mal auf ihren Anzeigetafeln gehabt, ja? lachen Aber niemand kümmert sich drum und wenn du die Zeitung aufmachst ja, was was wird diskutiert? Cyberwar... Was wäre wie fürchterlich wäre das Kai, wenn der Cyberwar jetzt käme? Kai: Ja schrecklich oder? L: Das wäre doch total schlimm ja. K: Ich mir wird langsam langweilig über Ransomeware zu schreiben ganz ehrlich weil es so vorhersagbar ist. Und wenn man sich nur einen kurzen Moment vorstellen würde überall in Deutschland würden maskierte Menschen in große und kleine Firmen reinrennen ja? Würden die Computer nehmen und wieder rausrennen, was wäre in diesem Land los? Also bei großen Firmen ja, Metro und wenzo, Continental und wen so alles erwischt hat da rennen 100 Leute rein ja, reißen alle Rechner aus der Wand und verschwinden, was wäre in diesem Land los wenn das jeden Tag dreimal passiert, ja? Wir hätten den Kriegszustand den Cyberwar! Keinen interessiert, weil es digital passiert und das verstehe ich immer nicht. L: Ich denke also der Cyberwar, den sich vor dem sich alle fürchten übrigens ein absolut fürchterlicher Begriff, den ich mir nicht zu eigen machen möchte, die Schrecken des Krieges sind unvergleichbar mit ein paar Scharmützeln im Internet. Ja das ist klar vorweg zu sagen, aber wenn wir uns davor fürchten digital angegriffen zu werden, dann könnten wir wahrscheinlich im Moment irgendwann mal zu der Ansicht kommen, dass wir das falsche fürchten und es jetzt schon schlimmer ist, als wir fürchten und wir müssen die bittere Erkenntnis sehen, dass wir längst dagegen hätten etwas unternehmen können und wenn irgendwann einmal der große Cyberwar losgeht, werden die Angreifer auch nicht anders vorgehen als die Angreifer, die uns heute schon Millionen und Milliarden Schäden verursachen. Deswegen gibt es in diesem Vortrag die einzig wichtige Folie, die ich einmal kurz runterrattern möchte bevor wir uns wieder den Angreifern widmen und den schönen Verhandlungen mit ihnen. Was ihr in einer solchen Situation braucht, wenn ihr von Ransomware getroffen seid, ist ein priorisiertes Wiederherstellungskonzept. Euer Problem ist nicht, dass alle Dateien weg sind, euer Problem ist dass die Dateien von gestern und von vor zwei Wochen weg sind. Das langzeitarchiv ist gar nicht das Problem, das Problem was diese Unternehmen haben ist dass die Produktion oder der Geschäftsbetrieb unmittelbar sofort stillsteht und das kostet sehr viel Geld. Was gibt's also für Best Practices für eure Backups? Sie müssen unveränderbar sein Write only Backups, ein NutzerIn darf nicht in der Lage sein ihre eigenen Backups zu löschen und es darf auch nicht ein Admin oder eine Admina in der Lage sein diese Backups zu löschen zumindest nicht mit den Rechten im AD vergeben werden. Es muss unabhängig sein auf einer eigenen Infrastruktur, es muss isoliert sein, also komplett getrenntes identity Access Management, keinesfalls im Active Directory. Wer den Backup Server administriert, geht mit einer Tastatur und einem Bildschirm in den Serverraum und steckt die da dran. Keine remote administration von dem Backup Server, keine Verbindung in euer ad. Wir machen natürlich versionierte Backups, damit wir auch frühere Zustände wiederherstellen können, wir machen verifizierte Backups. Man könnte das ja einfach mal prüfen bevor man es braucht, ja! Wie viel Geld könnte man da sparen, wenn man auch noch einen Fehler entdeckt, wir überwachen das Backup also ist ein Backup erfolgt und ist der der Datenbestand auf dem fallserver integer! Und vor allem machen wir unsere Backups risikobasiert also die Wiederherstellung des Geschäftsmodells wird priorisiert. Die meisten Daten die Ihr nicht bra.. Ihr Backup werdet ihr im akuten Fall nicht brauchen, ja wenn ihr mal jemanden seht, der dann so ankommt sagt, wir haben alles auf Tape und du denkst okay weißt du wie lange das dauert dieses Tape einzuspielen? lächelt Dann verstehst du dass potentiell auch Leute diese Zahlungen in Erwägung ziehen die Backups haben. Also bitte bitte bitte das sind alle Lehren die es hier zu ziehen gibt, und das das was wir gleich über Verhandlungen berichten, das vergesst ich am besten wieder ganz schnell, das war nur um euch hierher zu locken, weil uns Leute immer danach fragen, wie denn so eine Verhandlung läuft. einzelne Applaus K: Ich entschuldige mich für diesen Vortrag. Applaus K: Es war etwas lehrerhaft aber ich glaube es musste sein. Kommen wir zurück zu den lustigen Leuten. Wir sind ja durch eine Verkettung unwahrscheinlicher Zufälle beide Psychologen mal gewesen und haben noch dazu dasselbe an delben Uni studiert, wie wir später festgestellt haben, deswegen interessieren uns natürlich die psychologischen Effekte dahinter und auch die Psyche der Täter, deswegen wollen wir hier so ein paar vorstellen, damit ihr eine Vorstellung dafür kriegt, was sind das für Leute eigentlich ja? Warum sind die kriminell, was tun die so. Und wir fangen mit einem sehr Prominenten und schillernen Fall an, ihr seht da Maxim Jakubetz, das ist ein junger Russe. Ich habe ihn hier sowas wie der Pate genannt, weil er ist eine Ausnahme, er ist ein sehr klischeehafter krimineller Typ, wie ihr gleich noch sehen werdet. Also nicht nur ja das ist ein Lamborghini Huracan, den er da fährt, das ist seiner. Das Klischee geht noch viel weiter, wenn ihr das Nummernschild betrachtet, falls ihr russisch könnt, da steht W o R nicht Bor, sondern wor und wor übersetzt heißt Dieb lächelt. Seine ganze Gang fuhr mit diesen Nummernschildern rum. einzelne Gelächter Das konnte er problemlos tun, weil er hat die Tochter eines FSB Offiziers geheiratet und muss in Russland nicht viel fürchten. Klischeehaft weil er so richtig Bling Bling protzt mit seinem Reichtum und er und seine Freunde sowas machen. Das ist die Lomonosof Universität mitten in Moskau, niemand stört sie dabei, wie gesagt FSB Offizier. Polizei bestochen und so weiter. Diese Gang, die sind sowas wie die Großväter der Ransomware, die nannten sich evil Cop, auch da waren sie relativ eindeutig in ihrer Bezeichnung. Gelächter Die haben schätzungsweise, es sind immer Schätzungen von Ermittlern, deswegen wer weiß ob es stimmt und wie viel es wirklich war, die haben mit ihrem Banking Trojaner namens Zeus oder süß ca 70 Millionen Dollar erpresst indem sie Online Banking Informationen abgesaugt und dann ausgenutzt haben. Und ja die werden gesucht, ne? Also das FBI hätte sie gern, sie sitzen in Russland, werden da auch nicht wegfahren. Und sicher auch kein Urlaub wo anders machen als auf der Krim. Das Interessante ist, weswegen wir sie hier drin haben, sie sind wirklich so was wie die Großväter der Ransomware Modelle, die uns heute plagen. Also die Wirtschaft mehrheitlich. Sie haben RAS erfunden Ransomware As a Service also sie haben irgendwann aufgehört das Zeug selber einzusetzen, sie haben es vermietet verkauft. Hier sind sie noch mal ein bisschen größer nette junge Leute. Sie haben angefangen ihre kriminellen Fähigkeiten aufs Programmieren zu beschränken und anschließend in kriminellen Forum ihre Tools anzubieten, und wie sehen Leute aus die sowas dann weiter verkaufen? So Gelächter das ist Daniel Schukin, der wurde so noch nicht öffentlich genannt, der ist einer der Menschen die davon lebt diese Vermietung zu organisieren, höchstwahrscheinlich, muss ich an der Stelle sagen, er ist auch nicht verurteilt, hat auch Russland bis jahrelang nicht verlassen. Das da ist in Antalia, da glaubt er noch reisen zu können, da hat er diese Yacht gemietet mit Freunden zusammen. Wer ist dieser Mensch? Auch ein junger Russe, etwas begabt was die Technik angeht, lebt in Krasnodar, mag BMWs und Gucci und große Feste, zeigt sich gern mit seiner Frau und mit Freunden den er das Essen bezahlt, der hat Webseiten für Online Casinos und Crypto und anderen Schmuddelkram und der vermietet oder hat vermietet REvil, ein weiteres großes Ransomware, Familienmodell. Und er scheint nicht schlecht davon zu leben, hier ist er wieder, breites Lächeln. Das im Arm ist seine Frau, die tut hier nichts zur Sache, deswegen ist sie so ein bisschen ausgeblendet. Und leider wollte der nicht mit uns reden, ich weiß auch nicht warum, wir haben es versucht, also ich habe viele E-Mails geschrieben, die er nie beantwortet hat. Das Interessante an dieser Stelle, man beachte seine Uhr, falls Sie die erkennen könnt, hier ist sie größer. Das ist eine vangard encrypto also die Uhr allein kostet schon so 50 bis 70 000 € wenn man auf so hässliche Uhren steht, und statt der 12 ist da ein QR-Code eingraviert, damit wirbt die Firma dass man da seine Bitcoin Wallet eingravieren kann. Applaus, L, K und Alle lachen Die öffentliche die öffentliche das muss man sich auch erstmal leisten können. Genau, wir konnten sie leider nicht entschlüsseln, also ich habe es versucht aber wir konnten sie leider nicht lesen. Das FBI konnte es. Lachen, Applaus Das FBI hat gerade erst noch gar nicht so lange her 317000 von ihnen beschlagnahmt, ne also die Crypto sind genau in den Händen des FBI. Ich glaube übrigens FBI ist der größte Halter von Bitcoins überhaupt weltweit, oder? Viele lachen So er selbst wurde nicht gefasst aber junge Russen, die sich für unverwundbar halten, das ist ein wichtiger Aspekt dabei, weil sie entweder Behörden bestechen oder direkt in Verbindung stehen mit Behörden, die sind so relativ die bilden so eine relativ kleine Gruppe der Hinterleute dieser ganzen Ransomware Modelle, die sind aber nicht die große Masse, die sind wirklich Ausnahmen. Die die die eigentliche Arbeit machen, die sehen anders aus. Das hier ist eine Wohnung in einem relativ runtergekommenen Neubaublock in Harkiv in der Ukraine Straße ist 23 August, wen es interessiert. Den Namen nenne ich hier nicht, weil dieser Mensch nie verurteilt wurde und nicht mal angeklagt, der wurde laufen gelassen, ich erzähle gleich warum. Deswegen hier nur sein Name in dem Internet unterwegs war Jeep. Der erklärt sich auch gleich. Dieser Mann war für emotet unterwegs. Emotet ebenfalls eine riesige Ransomware Familie ja, die weltweit tausende Opfer verursacht hat. Das BKA nannte emotet einen der gefährlichsten Trojaner weltweit und BSI Chef Arne Schönbum ex BSI Chef Arne Schönbum, falls sich noch jemand an ihn erinnert, nannte es den König der Schadsoftware, aber und deswegen zeigen wir es hier auch emotet machte Fehler. Die haben einen Server in Brasilien offen gelassen, so dass dort Serverlocks rumlagen, die Ermittlungsbehörden finden konnten und dank dieser Serverlocks hangelten Sie sich durch die gesamte Infrastruktur dieser Gruppe und kamen zumindest nach Angaben des BKA zu dieser Wohnung, dort laufen alle Fäden zusammen und deswegen gab's da 2021 diese Wohnungsdurchsuchung, polizia steht da auf der Jacke, also die ukrainische Polizei bricht da gerade ein, BKA Beamte waren dabei, ja also da liefen alle Fäden von emotet zusammen hier. L: Sieht aus wie bei mir. viele lachen K: Okay du hast auch Flohmarkt zeug? lächelt K: Das ist der Schreibtisch dieses Mannes und das die Wohnung eines damals 47 Jahre alten Ukrainers, seines Zeichens Systemadministrator für Linux und der wartet Server für kleine Firmen. Und er tut das für kleines Geld. Und der hat mit uns geredet, der war sehr nett und sagte also das auf diesen Backends gefährliche trojaner waren, ich wusste es nicht, er hat sich nicht dafür interessiert wahrscheinlich. Er hat 12 Server von emotet gewartet und nahm dafür $40 pro Server und Monat $480. Ich finde es interessant, weil auch so gigantische Erpressungsmodelle ja, wir reden über gigantische Erpessungsmodelle die weltweit funktionieren, basieren auf solcher Infrastruktur. Nach Auskunft der Polizei die da in der Wohnung war, da sieht man sie noch mal, war ein Großteil davon vom Flohmarkt, Jahre alt. Übrigens könnt ihr Kyrillisch lesen? Da steht Department KeeberPolitsii, finde ich toll, falls irgendjemand hiermer so Aufkleber macht, ich hätte gern ein paar davon. Gelächter L: Kommen wir zurück zu einer anderen Ransomware Gang, ich habe ja gesagt, dass ich öfter mal die Freude habe mich mit denen auseinandersetzen zu dürfen, hauptsächlich deshalb weil Leute denken ich könnte ihn Bitcoin organisieren, ich habe keine Ahnung wie auf die Idee kommen aber irgendwie klappt's dann auch. So sieht dann so eine Ransom Note aus, die liegt auf deinem Desktop und angegeben wird halt ein Tor hinden Service und in diesem Fall ein Login und wenn man da drauf klickt kommt halt so ein Chat, ja ist etwas andere Gang jetzt in diesem Fall, mal Screenshot von blackbuster rausgesucht und die sagen also sie wollen Geld haben. Und jetzt beginnt der Moment für den sich so viele Leute interessieren, ich werde also immer nach Vorträgen gefragt, dass ich genau das mal beschreiben soll und wie ich gerade schon sagte ich beschreibe das nicht ohne vorher zu sagen, wie man sich davor schützen kann. Weil das ist die Situation in der man wirklich nicht sein möchte, ja. Der Chat geht natürlich ein bisschen länger, ich habe mich jetzt mal so inhaltlich grob zusammengefasst. Wir veröffentlichen in 10 Tagen, wir haben einen Decrypter, wir wollen in diesem Beispiel 100 Millionen, ja. Hab jetzt einfach mal 100 genommen, damit ihr ungefähr die Relationen sieht, die die Verhandlung betreffen. Und man sagt natürlich erstmals, Junge, Beweis du doch bitte erstmal dass du die Dateien hast ja, also vorher stellt man sich erstmal so ein bisschen doof, es ist auf jeden Fall klug irgendwie so ein paar doofe Sachen zu fragen ne, was ist BTC irgendwie sowas um den irgendwie zu vermitteln, dass man relativ dumm ist, ja? Man sagt dann so, ok, aber Beweis doch mal bitte dass Du die Dateien hast, dann sagen die kein Thema, hier ist die Liste ja und dann kriegt man so ein Output von tree oder find oder was auch immer ja? Und dann sagen sie such dir drei Dateien aus, die schicken wir dir ja, das heißt sie geben dir die komplette Liste, du kannst dir drei aussuchen, die kriegst du zurück und damit beweisen sie dass du dass sie diese dass Sie alle Dateien haben ne. Hier ist deine x Doc X Y xlsx und zxe, das Gute ist die die Liste der Dateien kriegst du für umme ja und die brauchst du um den Schaden abzuschätzen, der beispielsweise bei einer Veröffentlichung droht, potenziell aber z.B auch für die dsgvo Meldung also diese die Liste an Dateien gibt's kostenlos und in vielen Fällen selbst, wenn man gar keine Absicht hat zu bezahlen, lohnt es sich die sich zu organisieren ja? Kostenlose Leistung, die man hier kriegt. viele lachen Und dann sagt man sowas wie du weißt du, wir stellen gerade von Tapes wieder her das dauert zwar ein bisschen, aber eigentlich sind wir hier guter Dinge. Dann sagen die, stell dir mal vor wenn wir das alles veröffentlichen und man sagt so ja eigentlich ist da jetzt nichts großartig kritisches dabei! Wir verkaufen das an die Konkurrenz! Auch immer ein sehr spannender Fall, ja, wenn man diese Gespräche führt ja und die Betroffen Unternehmen sagen, oh mein Gott die verkauft das an die Konkurrenz, oh mein Gott die Verkauf das an die Konkurrenz, wenn man sagt ok, pass auf, ich mache euch ein Angebot, ich gebe euch die Daten von der Konkurenz. Das werden wir nie machen! Ja okay aber eure Konkurrenz haltet ihr für so verkommen dass Sie von irgendwelchen Gangstern für Bitcoin eure Daten kaufen gelächter? Also sagt man, kannst du gern probieren wir gehen eigentlich nicht davon aus dass sie dir da sonderlich viel Geld für geben ja? Außerdem muss man tatsächlich sehr traurigerweise sagen die Veröffentlichung bringt meist einen sehr geringen Schaden für dich selber. Weiß auch der Gründer und CE von Motel One, Dieter Müller der sich nachdem dem Motel One gebreached wurde und alle Kundendaten ins Internet gegangen sind, geweigert hat mit den Leuten zu verhandeln und eventuell diesen Schaden von den Kunden abzuwenden ja? Der Mann hat geringe Ansprüche an sich selbst und hohe Ansprüche an den Staat, denn an der gesamten Misere ja dass alle Motel One Kunden jetzt mit übernachtungsdaten und allem im Internet stehen, ist natürlich der Staat schuld, denn der Staat hat noch keinen Weg gefunden seiner staatlichen Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen digitalen Angriffen zu schützen. Einzelne Applaus Kann natürlich jetzt auch nicht seine Schuld sein. Wie ich habe schon gesagt, der Mann hat geringe Ansprüche an sich selbst, hohe Ansprüche an den Staat, Coronazeiten waren irgendwo im Bereich 100 Millionen Coronahilfen, die der eingestrichen hat, dadurch hat Motel One am Ende seine Geschäftsergebnisse signifikant verbessern können und er hat noch ein paar Interviews gegeben, dass das eine Frechheit wäre und zu wenig. Gelächter Aber tatsächlich mal ne, man muss tatsächlich sagen Motel One hat de facto keinen Schaden dadurch, dass diese Daten veröffentlicht wurden. Irgendwann ich glaube es war man sieht es im Bild 2021 wurde extensure gebridged von Lockbit und das vll natürlich sehr interessant, also haben wir auf dem Lockbit Block so den Countdown geguckt und so ne und dann wurden irgendwann die Daten von extenser veröffentlichicht da hat man sich ja dann doch mal für interessiert, das war aber total so ein einzeldownload ja, du konntest jede Datei einzeln das war total unsortiert umständlich zeitaufwendig ja und die wurden auch immer wieder offline genommen und dann wurde die Deadline verlängert wann die released werden und irgendwie sind sie jetzt nicht mehr zu finden. Ich denke warum die Angreifer so und nicht anders veröffentlichen ist ganz klar, in dem Moment wo sie vollständig veröffentlichen, haben Sie Ihr Kind mit dem Bade ausgegossen, es wird niemand mehr bezahlen, wenn sie aber so scheibchenweise veröffentlichen, können sie potenziell noch weiter erpressen und dich doch überzeugen denen etwas Geld zu geben. Denn für sie ist das ja eine Alles oder Nichts Situation und diese Dateien zu veröffentlichen, dann haben sie halt statt irgendwie potenziell Millionen einfach nur ein mahnendes Beispiel für den nächsten und ein Fall wo ich wieder erzählen kann eigentlich kein Schaden entstanden. Wir haben auch darüber gesprochen das nennt man dann also die Angreifer wollen Druck erhöhen ja, sie machen inzwischen auch mal die Meldung an an die Behörden für dich ja, auch da natürlich einfach um den Druck zu erhöhen, weil Druck ist alles was die haben, oder sie belästigen die Leute die nicht zahlen ja, rufen dann z.B dort an oder lassen dort anrufen oder erpressen eben die Kunden um den rufschaden irgendwie zu maximieren. Also die Gruppen arbeiten daran diesen Rufschaden zu vergrößern. Ja in unserem Beispiel sagen wir mal wir würden jetzt irgendwie in Richtung einer Zahlung uns orientieren, dann sagen wir Bruder, wie sollen wir dir überhaupt vertrauen? Und dann sagt er mein Freund wir sind die cyberswan Gruppe, google uns wir haben fünf Sterne auf yelp! viele lachen und es ist es ist natürlich wirklich wichtig für diese Mechanik der Verhandlung zu wissen, die müssen auch ihren Ruf schützen. Wenn die euch betrügen, dann wird das ja bekannt und dann zahlt ihnen niemand mehr. Das heißt Vertrauen ist für die eine entscheidende Sache ja? Außerdem haben die auch den ganzen Rest des Internets noch vor sich, dass sie jetzt ein zweites Mal dich erpressen ist eher unwahrscheinlich. Aber dann sagst du sowas wie ja boah das mit den Tapes kennt sie ja dauert ey pass auf wir zahlen dir 25 Dann kommen wir wollen 100 und du hast noch 7 Tage danach wird es teurer und dann denkst das ist natürlich jetzt auch wieder dieses Druck ne wir wollen mehr Geld später und dann sagst du ja pass auf Alter in 7 Tagen sind wir fertig, du kannst mir hier maximal 50 Millionen sparen, das muss aber auch irgendwie businesscase für mich sein ich zahle dir 40 ja? Dann sagen die wir wollen 70, das unser letztes Angebot, es gilt nur 24 Stunden und dann sagst du sowas wie, ey Junge, je länger das hier dauert, umso weniger ist deine Dienstleistung für mich Wert, ich stell ja hier gerade von Tapes wieder her. Und das ist der entscheidende Punkt in diesen Verhandlung für die Angreifer geht es um alles oder nichts, also die stehen vor einer Situation dass sie entweder von dir Geld bekommen oder gar nichts und dann haben Sie noch die Kosten dass sie deine Daten veröffentlichen müssen und genau da musst du diesem Druck wiederstehen, der zeitliche Druck wird von denen nur deshalb angebracht weil sie also weil sie wissen je länger Du nicht zahlst desto unwahrscheinlicher zahlst du. Insofern ist das durchaus sinnvoll in einer solchen Situation , wenn du die Zeit hast, auch tatsächlich auf Zeit zu spielen, weil die Wissen je länger der Spaß hier geht umso unwahrscheinlicher zahlst du. Na gut dann kommt irwi sowas ja 60 Millionen weil du es bist letzte Preis ja? Und dann sagst du, das ist der Moment den die Kunden meistens nicht wollen, ja? Dann sagst mal ok tut mir leid ich erkläre die Behandlung für gescheitert, hätte hier eine Win-Win Situation werden können aber na ja vielleicht beim nächsten Mal. viele lachen Und dann kommt, ok lass mich mal mit dem Boss reden. viele lachen Du verhandelst jetzt mit dem Level One Customer Support! Und der hat klare Grenzen und erst wenn der mit jemand anders reden muss über den Deal den er dir machen kann, merkst du dass du vielleicht langsam in einen Bereich kommst der vielleicht für dich auch interessant ist ja? Natürlich kann auch das ein Spiel sein aber in diesem Fall werdet ihr gleich sehen war es nicht, es gibt einen Boss. Dann kommt eben sowas her: ok 50% allerletzte Preis ja und dann sagst du sowas eh, woher weiß ich dass du die Datei überhaupt wieder herstellen kannst? Ja auch das erst ganz am Ende machen, weil das ja ein Interesse überhaupt signalisiert also die Prüfung, dass Sie Dateien wiederherstellen können jede Ransomware Gang bietet dafür an, schick mir zwei Dateien mein Freund, entschlüssel ich dir, kriegst du zurück, schickst Du ja hier ist A encrypted und B encrypted und dann schickt er dir die entschlüsselten Dateien zurück. Das ist ein sehr wichtiger Schritt den man keinesfalls vergessen darf! Du musst dich vergewissern, dass dein Freund die Dienstleistung auch wirklich erbringen kann, sonst riskierst du mit diesen Leuten hier zu tun zu haben. Das war wannacry ihr erinnert euch die ganze Ransomware hat in der Welt nur drei Bitcoin Adressen angegeben und als ich die doppelten Screenshots gesehen habe mit dem gleichen Bitcoin Wallet war mir auch sofort klar, die werden die Zahlung nicht zuordnen können, hier besteht keine Absicht der Wiederherstellung. Und war ja auch bei Wannacry nicht so also wichtig sicherstellen und erst spät sicherstellen weil damit signalisierst du überhaupt Interesse an der ernsthaftes Interesse an der Wiederherstellung. Und dann kommen die klugen Leute und sagen hey vorsicht wenn du zahlst, dann hacken sie dich direkt wieder. Und das ist aber Quatsch, übrigens hier das ist also auf dem Sixpack steht Mythos auf dem nächsten Sixpack steht Realität aber dol i kann nicht so gut schreiben wie ich. Die Realität ist lächeln der Rest des Internets wartet auf Sie die haben überhaupt gar keinen Grund noch mal dich zu hacken, die geben auch übrigens Garantien dass diese Ransomware Gang dich nicht noch mal hackt. Es gibt aber genug Andere also früher oder später musst du dich schützen und ich kenne mehrere Fälle in den die CEOs oder der Vorstand, oder sonst was nach der Zahlung gesagt hat, jetzt haben wir es hinter uns lehnt euch zurück, fahrt die Systeme wieder hoch, alles rein ins ad und den MySQL Server in die Cloud und gebt ihm und kurze Zeit darauf war das Geschrei groß, ja? Also ihr kommt sowieso nicht drum herum euch besser zu schützen am besten macht ihr das bevor ihr den Case habt, aber egal ob du zahlst oder nicht die Anderen werden kommen, ja? Du hältst dir eine von 100 Gangs vom Leib und dummerweise machen die nicht so eine Garantie wie Schutzgeld, dass sie sagen pass auf wenn die anderen Gangs kommen dann prügeln wir die raus oder so. lachen Na ja, dann sagen Sie hier ist unser unsere Bitcoin Wallet ja die nehmen üblicherweise eine frische brauchen sie auch damit sie erkennen dass die Zahlung von dir ist. Du nimmst üblicherweise eine frische und schickst mal ein satoschi rüber, ja? Achtung, das ist interessanter Moment weil dann sehen die wie viel Geld auf deinem Wallet liegt. Ja in dem Moment beweist du dass du über ein über eine Summe verfügst. Es kann also durchaus auch interessant sein an der Stelle vielleicht doch nur 40 da liegen zu haben statt der 50 und zu sagen hey Scheiße, Freitagabend, du weißt wie das ist, neh, ich habe jetzt echt nicht viele lachen Dann sagen sie, ist angekommen und dann schickst du den Rest und jetzt kommt sehr ein sehr wichtiger Hinweis, bezahle nur wenn du ein Business Case hast. Du hast meistens keinen, das Einzige was hier eine Rolle spielt ist, dass deine Wiederherstellung potentiell schneller geht. Alle sonstigen Folgekosten die Systemeherten, die Systeme desinfizieren, Dinge maximal neu aufbauen, eine komplette Renovierung deiner Infrastruktur, die Kosten hast Du ohnehin, die hast du auch jetzt schon vor dir, weil du es e machen musst entweder bevor du gebreacht wurdest oder danach. Das heißt du musst diesen Case wirklich sehr genau durchrechnen bevor du in Erwägung ziehst eine solche Zahlung vorzunehmen. Wenn du es dann gemacht hast, kommt sowas wie Yow, wir haben deine Dateien gelöscht, hier ist das deleition Lock, also das Output von rm-RF. Das sieht dann so aus, und Linus lächelt ich meine die haben sogar ihre local language auf Russisch eingestellt, ja? also man sieht hier unten die Translation für gelöscht und Verzeichnis gelöscht also ein Output von rm-RF. Und dann sagen sie yoh, wir bereiten jetzt dein Decrypter vor. einzelne gelächter Und man denkt so, bei den anderen geht das eigentlich immer relativ schnell. *Linus lächelt* So nach einer Stunde fragt man mal nach und dann kommt, eh ich kann den Typen nicht erreichen, hab mal kurz gedult bitte und dann kann das manchmal ein bisschen dauern und dann kommt hey, hier ist der Decrypter, sorry der Typ war draußen einen saufen, Ja? video läufzt, alle lachen Und an dieser Stelle zeigt sich, du würdest dem Level One Support auch keinen Schlüssel geben der Millionen wert ist, weil dann machen sie side Deals ja? Dann verkaufen die den Schlüssel über ihre eigene Konten. Klüger hat das LV gemacht, blackcat be denen war das so, die haben quasi also auf Ihrem Server war das Bitcoin Wallet direkt angegeben und hat das immer gepollt, ja? Und das heißt auch die Veröffentlichung von den decryption Tools und deinem Pentestbericht erfolgte automatisch, so haben die den Key von den von ihren Verhandlern weggehalten. Bei dieser Gang die ich hier im Beispiel hatte war es eben so, dass sie manuelle Interaktion oder oder direkte Interaktion mit ihrem Chef brauchten und die hatten halt echt nicht dessen die Nummer, nah? Die können halt auch nur mit dem über diesen Chat kommunizieren, aber ich bin ehrlich die Stunden bis wir den Decrypter hatten waren etwas weniger entspannt, auch wenn ich mir relativ sicher war, dass sie die Zahlung machen würden. Und Kai kann noch mal ein bisschen was darüber reden, wie es dann auf der anderen Seite aussieht. Kai: Wir machen noch mal ein kleinen Exkurs zu den Leuten, die auf der anderen Seite sitzen. Das interessante an diesen Modellen ist, wir kommen auch gleich noch zum Level 1 Support. Das interessante an diesen Modellen ist dass sehr viel outgesourced ist, wie in der Wirtschaft auch an sogenannte Affiliates, da ist Einer. Das sind Menschen die sozusagen auf eigene Rechnung für irgendeine Ransomware Familie arbeiten und ihre Beute teilen, die Deals sind meist 75% für diese Menschen, 25% oder 20% für die Gäng dahinter, die Vermieter den wir vorhin gesehen haben. Das hier ist Sebastian Vahoung, ein Kanadier inzwischen verurteilt. Der hat für Networker gearbeitet, wieder eine sehr große Familie und war der eifrigste Affiliate von Networker. Der hat dutzende Angriffe gefahren und allein er hat 1400 Bitcoin eingesammelt mit diesen Erpressung, damals 27 Millionen Dollar. Jetzt fragt man sich, wer ist so ein Mensch, ja? Dem ging es gar nicht so schlecht, das war sein Häuschen schon vorher, der wohnte da. In der Nähe von Ottawa war nettes kleines Häuschen, sieht ganz gemütlich aus, der war Computertechniker Universität Ottawa, aber der war so der Typ Kleinkrimineller der irgendwie so ein bisschen mehr will vom Leben als das was ihm sein dayjob bietet. Der ist auch schon mal mit Drogendelikten aufgefallen, hat 123 kg Marijana vertickt viele Lachen Kleinkram. Und ja das war dann beim Verhör, da war er nicht mehr so... Ich fand den Fall sehr interessant, ich habe ihn ein bisschen zugeguckt man konnte durch dan Corona konnte man der Gerichtsverhandlung im Internet folgen, wenn man so ein Link sich geholt hat von den Behörden dort und ein stiller freundlicher nicht blöder Mensch wie gesagt, ich glaube er wollte ein bisschen mehr vom Leben, das wird er jetzt nicht mehr kriegen. Und er ist auch deswegen ist er hier in der Sammlung ein Beispiel dafür dass die Täter Fehler machen. Auch das finde ich wichtig, die sind nicht unfehlbar. In dem Fall hier war das FBI in der Lage, wieder das FBI, die sind sehr aktiv seit einigen Jahren. Die Stufen Ransomware auf der Höhe von Terror ein in was ihre Ermittlung angeht inzwischen, nur so zur Wichtigkeit, das FBI hat den Server geknackt auf dem die Networker Leute mit ihren Affiliates geredet haben, neh die müssen ja reden miteinander, ich war hier, ich war da und diese Affiliates die müssen belegen dass sie irgendwo eingebrochen sind, dazu laden Sie Screenshots hoch der kopierten Daten, und in einem dieser Screenshots waren Metadaten Screenshot 2.png enthielt Metadaten und in Metadaten stand Sebastian Vahoun. Passiert den besten von uns. Außerdem nutzte er für die Kommunikation mit diesem Server zwar eine anonyme E-Mailadresse, war aber zu faul die auch anonym abzurufen, sondern sendete sich die E-Mails weiter an seine private Mailadresse viele Lachen. Über die auch seine amazon Bestellung liefen, so dass das FBI sofort auch seiner Adresse hatte. einzelnes Lachen Passiert im besten. Ja also die müssen miteinander reden, ganz kurz, die brauchen irgendeine Infrastruktur um zu kommunizieren und das meist der Ort wo sie angegriffen werden von Ermittlern. Übrigens Sebastian Vahoug sitzt jetzt für 20 Jahre in den USA, danach dann noch drei Jahre Bewährung und ich glaube dann muss er noch die Freiheitsstrafe absetzen, die er in Kanada noch egal länger. So, also diese Leute bilden Banden, die Sourcen aus, die sind relativ organisiert und es sind ganz normale Menschen, ja, keine Götter, keine Superhacker. Das sind normale Menschen die Fehler machen. Und diese Arbeitsteilung dieser Band geht sogar noch viel weiter, hier seht ihr die unterste Ebene, hier seht ihr den Level 1 Support. Das ist Alla Witte, eine, ich bedauere sie fast, inzwischen. Eine Frau, die in der Sowjetunion geboren wurde, sie hat dort mal Programmiererin für Funktechnik gelernt, sie ist inzwischen 57 Jahre alt, hat ein bisschen Pech gehabt im Leben, verwitwet, hat mit Scientology zu tun egal. Jedenfalls sie schlug sich so durch mit dem Programmieren von Websites, lebte in Surinam zu dem Zeitpunkt und programmierte auch für kleine Unternehmen so ein bisschen HTML und solche Dinge und dann bekam sie ein Jobangebot 2017 von einer russischen Softwarefirma, so sagt sie es. Ja mit der konnten wir auch reden. Dann gab's so ein Einstellungstest online, da musste sie so ein paar technische Fragen beantworten, den hat sie bestanden und dann hat man ihren Job angeboten, hat gesagt, pass auf 800 € im Monat kannst du von uns haben und dafür machst du hier so Entwicklertätigkeiten. Kam ein kleines Team mit neuen Leuten und die kannten sich alle nur über Java. Und ihr Job war es dann, und da fingen sie dann doch an drüber nachzudenken, ob das das richtige ist, sowas zu programmieren, nämlich Webseiten mit der Benutzeroberfläche auf der dann steht "ihr Computer ist infiziert". Kai lächelt Entschuldigung das wieder eine von dolies Erfindung, aber ich fand sie sehr hübsch. Und die Softwarefma, für die sie dort gearbeitet hat war Conti, eine der größten und organisiertesten Ransomware Banden die die Welt bislang gesehen hat , oder die größte und organisierteste, und ja Alla Witte war wie gesagt relativ unbedarft am Anfang, das glaube ich ihr sogar, weil bei Jabber hat sie sich noch angemeldet mit ihrem echten Namen Alla Witte, also den Jabber Server wo die Gang miteinander kommunizierte und der dann später geliegt wurde durch ein ROG Mitglied dieser Bande, so dass ihr Name relativ schnell klar war deswegen, war sie auch die erste die Probleme bekam. Also sie war in Surinam und eines Tages stand die Polizei von Surinam vor ihrer Tür und sagte, sorry wir nehmen Sie jetzt mit, ihr Visum ist abgelaufen und ihre Computer und so sammeln wir auch alles ein und wir schicken sie zurück nach Lettland, wo sie herkam. Sie sind hier nicht mehr erwünscht, ja. Der Flug landete dann seltsamerweise in Miami zwischen, da stand dann wieder das FBI und nahm sie mit in ein Gefängnis nach Ohio und da blieb sie relativ lange, weil das FBI glaubte okay wir haben hier sozusagen die Hacker Queen, die kann uns was über Konti erzählen, das war vor dem leack. Nah, das FBI hat sie vorer gefunden und hoffte, sie kann ihn viel verraten, aber sie kannte echt nur die neun Leute aus ihrem Team, das waren alles kleine freischaffende Softwareentwickler, System Admins , die sich ein bisschen was dazu verdienen wollten. Sie konnte ihnen nicht viel sagen, deswegen saß sie zwei Jahre dort im Knast ohne Prozess. Und es passiert einfach nichts, in der Zwischenzeit kam der Konti Leack und alle Welter erfuhr über diese Gang. Inzwischen ist sie freigelassen worden aus den USA, ist wieder zurück jetzt wieder in Lettland in Riga. Die meisten Vorwürfe wurden fallen gelassen, außer einer Verabredung zum Computerbetrug, aber das also es reichtte nicht um sie weiter festzuhalten, wie gesagt sie lebt in Riga, sie tut mir wirklich etwas leid. Inzwischen geht sie putzen. Das ist, ihr seht hier so die Struktur, von Konti das ist die unterste Ebene dieser wirklich organisierten Gang und wir reden hier über die die Profis der Branche. Die hatten alles, die hatten Chefs, die sich darum kümmerten Büros anzumieten in denen die Leute wirklich von 8 bis 5 gearbeitet haben, ja, die kamen da. Die wurden über Foren angeheuert und für day Jobs und die waren wie eine Firma organisiert. Ich zeige euch gleich noch zwei Mitglieder davon aus dem Führungsebene. Bis heute sind nicht alle identifiziert, vor Allen nicht der Kopf der Bande Stern, der ist nur unter diesem Händel bekannt, ich soweit ich weiß weiß bis heute niemand wer das ist, das ist ein Zeichen dafür dass es schon auch sehr fähige kriminelle in diesem Bereich gibt aber es sind Wenige. Und wenn ihr so wie Linus mit diesen Leuten zu tun habt, habt ihr nicht mit diesen Leuten zu tun niemals, also die machen sich die Finger da nicht mehr mit schmutzig, sondern es ist wie gesagt der Level 1 Support, aber es ist auch ein Beispiel, ja diese Banden machen Fehler, aber ja Sie können auch gar nicht so schlecht sein, wenn man Pech hat. Noch ein paar Gesichter, hier ist einer der Manager Maxim Galochkin, hat ein paar Softwarefmen, ist pleite gegangen, kommt aus Abakan in Russland, lebt da glaube ich noch immer, soweit zum seine Social Media Profile das hergeben. Der war zuständig dafür, dass also die haben alle Virencanner, die es auf dem Markt gab, sich so besorgt und er musste testen ob ihre Schadsoftware da durchgeht idR Evasion heißt das habe ich mir sagen... L: idR Evasion, ja. K: Der baut auch den Kryptolocker, also die Daten verschlüsselt, also sein Team. Er war Teamleiter und Manager, ja Maxim wandert gern, der hält nichts von Covidimpfung, ist ein großer Putin Fan und Verteidiger des Ukrainekrieges oder das Kriegs des Angriffs auf gegen die Ukraine und Anhänger irgendeines Komisischen Gurus. Letztlich ein ganz normaler Mensch. viele Lachen ist in Abwesenheit angeklagt in den USA, weil er Teil von Konti sein soll. Hier ist noch einer eine Ebene tiefer ein Teamleiter Oleg Kugarov aus Tolyati bei Samara, 50 Jahre alt. Ich finde den interessant, den man, weil also er nennt sich selber reverse engineer und mail Analyst und scheint schon länger in der Branche zu sein, also länger als Andere, viele Andere kommen wirklich aus legalen Bereichen und suchen verzweifelt einen Job. Viele können auch kein Englisch und finden in englischsprachigen Industrien da ja keinen Job, also man könnte ja auch remote arbeiten und finden kein Job, sie können halt nur russisch und gehen dann zu einer russischen Softwarefirma. Ja Oleg verkauft z.B Zero days im Darknet, zumindest habe ich so ein paar Hinweise darauf gefunden und, was ich auch interessant finde, der hat sich schon 2014 bei hacking Team beworben. Hacking Team war hier beim Kongress schon ein zwei mal Thema. Das war eine recht berüchtigte Firma die Späsoftware herstellte und von Finineas Fischer aufgebohrt und aus dem Wasser geblasen wurde, und für Konti hat er Leute angeworben und geführt als Teamleiter ja. Er grillt gern, er hat ein shibaainu, Namen Simba, ein kleines Häuschen, man sieht ih da in seiner Straße. Wie ernst diese Gangs sind, sieht man unter anderem daran, dass die USA bereits sind 10 Millionen Dollar zu zahlen für Hinweise, auf die noch nicht bekannten Mitglieder. Das ist schon ein Haufen Geld und es heißt dass diese Branche bis heute, die ganze Welt in Atem hält und kaum einen interessiert es. Und wie gesagt ich finde das immer noch seltsam. Noch dazu also Konti hat sich nicht hat sich selber zerlegt, neh. Das war nicht Ermittler, das hat nicht geholfen Alla Witte da einzusperren, sondern die haben sich selber ruiniert. Und ja Linus wird jetzt noch mal einen kurzen Vortrag über die Lehren daraus halten. Linus lacht L: Also was ich noch mal sehr wichtig finde, ist, ihr seht die leben dann verhältnismäßig entspannt ja? Also wenn man überlegt dass Konti war mal, blackhead wurden irgendwie so um die also üblicherweise werden immer so Einnahmen im im 100 Millionen Bereich kriegen die hin bis sie bis sie hochgehen ja. So ungefähr das ist so die Region, wenn man sich das anschaut. Und so viel Geld scheinen die Leute an der Spitze ja auch nicht zu haben, ich denke Kriminalität lohnt sich vor allem wegen der Nebenkosten nicht, ja? Also du hast, wenn du wenn dieses Geld übergeht auf das auf das Wallet geht, dauert wenige Minuten bis es von dort verteilt wird auf viele tausend einzelne wallets, also findet so ein Geldwäschevorgang statt. Früher gerne von Tornado Cash gemacht, heute vermutlich von Anderen, weil der Betreiber von Tornado Cash ja im Knast sitzt und keine Zugriff mehr auf seine Systeme hat. Die müssen sich in ihrer Interaktion sicher sein dass es Menschen gibt die lieber 10 Millionen haben können, wenn sie verraten wer Sie sind, und das führt dazu, dass du auch echt extrem, sag ich mal dein Freundeskreis wird sehr teuer, ja, weil du sicherstellen musst, dass jeder von denen keinen Grund findet sich die 10 Millionen zu holen. Also es ist eigentlich insgesamt dann doch glaube ich kein Lebensstil der sich empfiehlt, das nur noch mal am Rande. Kommen wir zum Fazit. Wir wissen, wie die Angreifer vorgehen und wie man sich schützt von Conti. Wir haben es nicht in dem Leak, die haben ein Manual die haben halt Probleme gehabt Nachwuchs zu finden, haben sie ein Buch geschrieben so ein kleines PDF, wie man jetzt musst du da klicken und dann musst Du hier ne Blatt hauen und dann guckst du da und dann kürzester Weg zum Domänenadmin, da musst du das machen, da musst Du hier Mimicuts und das ist alles drin, ja? Die Angreifer, also du brauchst sowieso ein Wiederherstellungskonzept, solange wir den dieses diesen Sumpf nicht trocken legen, dass wir gezwungen sind zu zahlen, werden die das weiter tun, da hilft auch kein Verbot der Zahlungen. Die Angreifer verlieren aber auch alles, wenn Du nicht zahlst. Also wenn du in der unglücklichen Situation bist, in der du niemals sein willst, stell ihn glaubhaft in Aussicht, dass sie gar nichts bekommen, das ist der einzige Weg den Preis nach unten zu drücken. Sie wollen Druck erzeugen, beuge dich dem Druck nicht und nehm ihn die Druckmittel. Also wann immer die sagen, hier Tage und so weiter, sagst du einfach moment mal, neh, also mach mal ein bisschen länger, also ehrlich gesagt keine Ahnung, also auf Zeit zu spielen, macht bei Ihnen den Druck, dass sie das Geld nicht bekommen. Sie müssen einen Ruf pflegen. Dich zu betrügen schidet ihn also mehr, als es ihnen selbst nützt, ja? Also es wäre für die, ist es günstiger einfach den nächsten zu hacken und ihr Glück da zu probieren, als dich noch mal zu hacken. Das heißt aber nicht, dass es Andere nicht tun. Ja also bitte bitte bitte, ihr müsst euch so oder so schützen! Die Liste der extrahierten Dateien gibt's kostenlos, die brauchst du für die DSGVO Meldung, schadet nicht sich die abzuholen. Auch wenn du zahlst, hast du hohe Folgekosten, du musst dich sowieso noch schützen und du du musst dich auch vergewissern, dass du wirklich ein Business Case hast. Meistens hast du den nicht, deswegen drücken die ja so bei der Zeit, weil sie wissen, je länger du über die Situation nachdenkst, umso mehr Möglichkeiten dich da selber rauszuheben findest du und umso besser geht's dir und so wahrscheinlicher ist es, dass sie ihr Geld nicht kriegen. Die Angreifer sind nicht unfehlbar und trotzdem brauchst du ein Wiederherstellungskonzept, so oder so und zwar jetzt. Übrigens zum Thema unfehlbar, hat mein Kollege Tobias heute ne gestern einen Vortrag gehalten, der hat den Titel unlocked recovering Files taken hostage by Ransomware, weil wir als kleiner Nebenaktivität unserer Aktivitäten in diesem Bereich noch ein Decrypter veröffentlichen. Dieser Talk ist Teil einer Reihe, sie begann mit Hirnehaken, sie ging weiter mit Disclosure Hack und hackback von Kantorkel Dominik und mir beim Camp. Sie hatte einen Höhepunkt gestern mit Unlocked! dem Release des decrypters für blackbuster von Tobias und sie findet hoffentlich hier Ende mit hierirner Hacken hackback Edition von Kai Biermann und mir, weil damit sollte jetzt zum Thema hoffentlich alles gesagt sein, vielen Dank. Applaus Musik K: Danke! Herald: Wunderbar, super ja vielen Dank an Linus und Kai. 37c3 Nachspannmusik Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!