37C3 - Hirne hacken: Hackback Edition

Rollback to version 2

Not Synced

*37C3 Anspannungsmusik*
[Filler, please remove in amara]
Not Synced

Engel: Ok dann freue ich mich euch alle
sehr herzlich zu hirnehacken der hackback
Not Synced

Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai
Not Synced

Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant
Not Synced

und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs
Not Synced

verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und
Not Synced

hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt
Not Synced

und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch
Not Synced

das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die
Not Synced

spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!
Not Synced

*applaus*
[Filler, please remove in amara]
Not Synced

Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch das der Linus der wurde
Not Synced

schon kurz vorgestellt, der mag gern
reiten schwimmen und hacken so viel zu
Not Synced

seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma
Not Synced

gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine
Not Synced

Hobbys die er öffentlich nennen möchte.
*Lachen* Und ruft gerne mal an wenn jemand
Not Synced

gecybert wird weil er im
Investigativressort von Zeit und Zeit
Not Synced

online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der
Not Synced

erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!
Not Synced

*gemurmel* und und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu
Not Synced

langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain
Not Synced

eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu
Not Synced

hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der
Not Synced

mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten
Not Synced

zurückkaufen und ich sage in die
Schwachstelle."
Not Synced

*wachsendes Lachen*
[Filler, please remove in amara]
Not Synced

Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was
Not Synced

ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es
Not Synced

ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,
Not Synced

werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den
Not Synced

Schaden vor wenn ich veröffentliche."
[Filler, please remove in amara]
Not Synced

*Lachen*
[Filler, please remove in amara]
Not Synced

Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine
Not Synced

Forderung uns mitgeteilt: "ich will
2000€".
Not Synced

*Lachen*
[Filler, please remove in amara]
Not Synced

L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit
Not Synced

ein bisschen mehr Forderung hätten wir i
wahrscheinlich auch ernst genommen, haben
Not Synced

uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er
Not Synced

sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich
Not Synced

jetzt entscheiden, das ist kein Blöff."
[Filler, please remove in amara]
Not Synced

*laute Lachen*
[Filler, please remove in amara]
Not Synced

Da haben wir erstmal ein Tee getrunken
[Filler, please remove in amara]
Not Synced

*lachen*
[Filler, please remove in amara]
Not Synced

und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also
Not Synced

erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein
Not Synced

letztes Mal 24 Stunden dann aber wirklich!
und dann wurden die Drohungen "sagt er,"
Not Synced

und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert
Not Synced

und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so
Not Synced

na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht
Not Synced

2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für einer? Ja
Not Synced

also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails
Not Synced

schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,
Not Synced

ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei
Not Synced

Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im
Not Synced

Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären
Not Synced

dass er 2000€ für viel Geld hält *lachen*
oder ist Irgendjemand mit Chat GPT in
Not Synced

Indien oder so für den das potenziell auch
viel Geld wäre also haben wir uns überlegt
Not Synced

na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch
Not Synced

mal und haben da gesagt:
L: Also pass auf du solltest deine Server
Not Synced

echt nicht in der EU hosten, weil
*Gelächter* die Polizeibehörden hier
Not Synced

arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit
Not Synced

der Kreditkarte zahlen.
[Filler, please remove in amara]
Not Synced

*Linus lacht, viele Lachen*
[Filler, please remove in amara]
Not Synced

Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von
Not Synced

deinem anderen vServer aus, ja? Kam
erstmal nichts. *einige lachen* und dann
Not Synced

hab ich gesagt:
L: Pass auf in 24 Stunden
Not Synced

*sehr viele Lachen, Applaus*
[Filler, please remove in amara]
Not Synced

geht unser Bericht ans LKA die
Datenschutzmeldung haben wir ohnehin schon
Not Synced

gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben
Not Synced

gesagt:
L: Pass auf wenn du deine Daten löscht
Not Synced

bekommst du McDonald's Gutschein
[Filler, please remove in amara]
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt! L: Wie
Not Synced

so ... was für Offshore Server? was für
Verschlüsselung?
Not Synced

"Ich will 2000€ sie haben 24 Stunden
*einige lachen* sonst ..."
Not Synced

L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet
Not Synced

und dann kam dedos *einzelne Gelächter*
dann haben wir cloudflare dazwischen
Not Synced

geschaltet und dann waren wir fertig ja
[Filler, please remove in amara]
Not Synced

*lachen*
[Filler, please remove in amara]
Not Synced

weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war
Not Synced

viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder
Not Synced

gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber
Not Synced

natürlich sind nicht alle Diskussionen
oder alle solche Fälle wenn man mit einem
Not Synced

verwirten Einzeltäter zu tun hat so
glimpflig und so einfach.
Not Synced

Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat
Not Synced

mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor
Not Synced

Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich
Not Synced

gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat
Not Synced

in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,
Not Synced

psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen
Not Synced

gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen alle
Not Synced

Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat
Not Synced

anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals ist
Not Synced

schon zwei Jahre her ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee
Not Synced

getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail
Not Synced

geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will
Not Synced

ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz
Not Synced

veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung
Not Synced

von ihm könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er
Not Synced

inzwischen er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit
Not Synced

Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der
Not Synced

hat mit 15 seine erste Verurteilung
kassiert, damals war er an Didos Attacken
Not Synced

beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal
Not Synced

gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,
Not Synced

kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche
Not Synced

Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen
Not Synced

data breach ein ziemlich shocking Act und
die Formulierung ist interessant, weil es
Not Synced

mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen
Not Synced

wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so
Not Synced

ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von
Not Synced

allen finnischen Patienten und
Patienttinlagen war erstens eine
Not Synced

selbstgebaute me SQL Datenbank die hingt
zweitens im Netz war drittens über Google
Not Synced

zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.
Not Synced

*gemurmel* Auslieferungszustand sozusagen.
Wer macht sowas? Er das ist der CEO dieser
Not Synced

Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert
Not Synced

hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt
Not Synced

dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen
Not Synced

erpresst wurden sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein
Not Synced

Fakt zu den Patientendaten den ich sehr
interessant finde, sie waren nicht
Not Synced

anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle
Not Synced

Gesundheitsdaten hat und die Firma hat
auch Vorgaben des finnischen
Not Synced

Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem
Not Synced

Täter weil also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder
Not Synced

den kmit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,
Not Synced

weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen
Not Synced

hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt dann liege ich
Not Synced

eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei
Not Synced

war er hat es in ein finnischen imagebard
gemacht, ich hoffe ich spreche das richtig
Not Synced

aus, yilli lauter heißt es das Problem
dabei war er hat so ein paar Informationen
Not Synced

seines Servers von dem er ausgeleakt hat
mitgeleakt, *gemurmel* IP-Adressen und
Not Synced

solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ
Not Synced

schnell dahinter kam dass da so ein
Netzwerk von Servern existiert dass jemand
Not Synced

mit seiner Kreditkarte bezahlt hatte.
*einzelne Applaus* Wird noch schöner. *Kai
Not Synced

lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, was
Not Synced

zaht nicht ja sind keine netten Leute. Der
Mann reiste viel er war er tauchte unter.
Not Synced

Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in
Not Synced

Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee
Not Synced

gehabt darüber im Internet zu posten
[Filler, please remove in amara]
Not Synced

*Gelächter*
[Filler, please remove in amara]
Not Synced

ja er hat wieder auf diesem imagebort
JimmiLauter ein Foto gepostet wo er an der
Not Synced

französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser
Not Synced

ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der
Not Synced

Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch
Not Synced

viel lustiger dieses Foto war so gut dass
die Polizei einen Fingerabdruck nehmen
Not Synced

konnte.
[Filler, please remove in amara]
Not Synced

*Viele lachen, Applaus*
[Filler, please remove in amara]
Not Synced

Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.
Not Synced

Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der
Not Synced

hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem
Not Synced

Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden
Not Synced

war den Daumenabdruck extrahiert und
bewies dass das geht, danke Starbug! Die
Not Synced

finnische Polizei hat dir zugeschaut.
[Filler, please remove in amara]
Not Synced

*Applaus*
[Filler, please remove in amara]
Not Synced

Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die
Not Synced

eure Unternehmen ruinieren können oder
sich selbst oder beides wollen wir uns mal
Not Synced

kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das
Not Synced

ein bisschen ärgerlich weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren
Not Synced

rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz
Not Synced

eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016
Not Synced

ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat
Not Synced

irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von
Not Synced

paar 100 Euro verlangt ja? Es kam dann
später wannacry das war im Prinzip auch so
Not Synced

eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat
Not Synced

also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert
Not Synced

ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste riok damit
Not Synced

angefangen haben zu erkennen dass das
Backup der natürliche Feind der Ransomware
Not Synced

ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also
Not Synced

komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen
Not Synced

ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste
Not Synced

Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und
Not Synced

rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus ja das fing
Not Synced

so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr
Not Synced

auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.
Not Synced

Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es
Not Synced

gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal
Not Synced

es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die
Not Synced

gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so
Not Synced

sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die
Not Synced

fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.
Not Synced

Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen
Not Synced

aussieht ne haben eine Prävention
vielleicht eine Detektion und die Recovery
Not Synced

eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht
Not Synced

so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine
Not Synced

Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D
Not Synced

Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite
Not Synced

Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin
Not Synced

kaufen kannst habe ich in hier na hacken
schon ausführlich erklärt die Leute die
Not Synced

die Webseite sehen füren dann als nächstes
ungefähr zu dieser Situation R weil das
Not Synced

die einzige Möglichkeit ist an die Dateien
wieder ranzukommen. Wenn man das tut sieht
Not Synced

eine Seite ungefähr so aus wo es ein
bisschen Instruktionen gibt wie man die
Not Synced

Dateien wiederherstellt und außerdem sind
die Angreifer so nett sie versprechen den
Not Synced

kompletten Bericht wie sie reingekommen
sind und ich denke natürlich als Security
Not Synced

Konz, alles klar ein ordentlicher Bericht
ja cool so ein redam Bericht da bin ich
Not Synced

mal gespannt das ist er ja und eine
Standardantwort die kommt in dem Moment wo
Not Synced

die Bitcouins gezahlt sind erscheint die
im Chat ja so quasi in in der gleichen
Not Synced

Zeit das heißt die ist hardcodet in dieser
Webseite drin und das bedeutet diese Web
Not Synced

diese Angreifer sind absolute oneetrack
Ponys die haben es hier mit metapreta
Not Synced

gemacht ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst
Not Synced

damit man metapritter nicht erkennt ja und
diese Angreifer sind one Trick Ponys und
Not Synced

du bist ihr Opfer. Wir alle kennen diesen
klugen Satz übrigens kann man immer sagen,
Not Synced

kann man immer sagen, nur nicht beim
incident der kommt
Not Synced

*Lachen, Applaus*
[Filler, please remove in amara]
Not Synced

also kommt nicht an, kommt nicht an. Ja
learn from my fail ja?
Not Synced

*Lachen*
[Filler, please remove in amara]
Not Synced

Ich habe gerade gesagt wir sprechen über
double extortion, double extortion
Not Synced

funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein
Not Synced

Problem ist und sagen Backup haben wir
auch. Und das werden wir jetzt
Not Synced

veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie
Not Synced

verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der
Not Synced

Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie
Not Synced

versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen
Not Synced

vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn
Not Synced

hat schon mal auf ihren Anzeigetafeln
gehabt, ja? *lachen* Aber niemand kümmert
Not Synced

sich drum und wenn du die Zeitung
aufmachst ja was was wird diskutiert?
Not Synced

Cyberwar... Was wäre wie fürchterlich wäre
das Kai wenn der Cyberwar jetzt käme?
Not Synced

Kai: Der schrecklich oder?
L: Das wär doch total schlimm ja.
Not Synced

K: Ich mir wird langsam langweilig über
Rans zu schreiben ganz ehrlich weil es so
Not Synced

vorheragbar ist und wenn man sich nur
einen kurzen Moment vorstellen würde
Not Synced

überall in Deutschland würden maskierte
Menschen in große und kleine Firmen
Not Synced

reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem
Not Synced

Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles
Not Synced

erwischt hat da rennen 100 Leute rein ja
reißen alle Rechner aus der Wand und
Not Synced

verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?
Not Synced

Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital
Not Synced

passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar den sich
Not Synced

vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich
Not Synced

mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar
Not Synced

mit ein paar Schamützeln im Internet. Ja
das ist klar vorweg zu sagen aber wenn wir
Not Synced

uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im
Not Synced

Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und
Not Synced

es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere
Not Synced

Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn
Not Synced

irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht
Not Synced

anders vorgehen als die Angreifer die uns
heute schon Millionen und Milliarden
Not Synced

Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,
Not Synced

die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen
Not Synced

und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation
Not Synced

braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes
Not Synced

wiederherstellungskonzept. Euer Problem
ist nicht dass alle Dateien weg sind, euer
Not Synced

Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das
Not Synced

langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben
Not Synced

ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort
Not Synced

stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für
Not Synced

eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf
Not Synced

nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht
Not Synced

ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest
Not Synced

nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer
Not Synced

eigenen Infrastruktur, es muss isoliert
sein also komplett getrenntes identity
Not Synced

Access Management, keinesfalls im Active
Directory. Wer den Backup Server
Not Synced

administriert geht mit einer Tastatur und
einem Bildschirm in den Serverraum und
Not Synced

steckt die da dran. Keine remote
administration von dem Backup Server,
Not Synced

keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir
Not Synced

auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.
Not Synced

Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte
Not Synced

man da sparen wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup
Not Synced

also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver
Not Synced

integer! Und vor allem machen wir unsere
Backups risikobasiert also die
Not Synced

Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die
Not Synced

Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr
Not Synced

mal jemanden seht der dann so ankommt
sagt, wir haben alles auf Tape und du
Not Synced

denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? *lächelt* Dann
Not Synced

verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die
Not Synced

Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen
Not Synced

gibt und das das was wir gleich über
Verhandlungen berichten, das vergessst ich
Not Synced

am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute
Not Synced

immer danach fragen, wie denn so eine
Verhandlung läuft.
Not Synced

*einzelne Applaus*
[Filler, please remove in amara]
Not Synced

K: Ich entschuldige mich für diesen
Vortrag.
Not Synced

*Applaus*
[Filler, please remove in amara]
Not Synced

K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den
Not Synced

lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle
Not Synced

beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,
Not Synced

wie wir später festgestellt haben,
deswegen interessieren uns natürlich die
Not Synced

psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir
Not Synced

hier so ein paar vorstellen damit ihr eine
Vorstellung dafür kriegt, was sind das für
Not Synced

Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen
Not Synced

mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das
Not Synced

ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist
Not Synced

eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr
Not Synced

gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er
Not Synced

da fährt, das ist seiner das Klischee geht
noch viel weiter, wenn ihr das
Not Synced

Nummernschild betrachtet falls ihr
russisch könnt, da steht W o R nicht Bor,
Not Synced

sondern wor und wor übersetzt heißt Dieb
*lächelt*. Seine ganze Gang fuhr mit
Not Synced

diesen Nummernschildern rum.
[Filler, please remove in amara]
Not Synced

*einzelne Gelächter*
[Filler, please remove in amara]
Not Synced

Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet
Not Synced

und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling
Not Synced

Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist
Not Synced

die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie
Not Synced

gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie
Not Synced

die Großväter der Ransomware, die nannten
sich evil Corb, auch da waren sie relativ
Not Synced

eindeutig in ihrer Bezeichnung.
[Filler, please remove in amara]
Not Synced

*Gelächter*
[Filler, please remove in amara]
Not Synced

Die haben schätzungsweise, es sind immer
Schätzung von Ermittlern deswegen wer weiß
Not Synced

ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner
Not Synced

namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking
Not Synced

Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden
Not Synced

gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch
Not Synced

nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.
Not Synced

Das Interessante ist weswegen wir sie hier
drin haben, sie sind wirklich sowas wie
Not Synced

die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft
Not Synced

mehrheitlich. Sie haben RAS erfunden
Ransomware SS Service also sie haben
Not Synced

irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet
Not Synced

verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie
Not Synced

haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu
Not Synced

beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,
Not Synced

und wie sehen Leute aus die sowas dann
weiter verkaufen? So
Not Synced

*Gelächter*
[Filler, please remove in amara]
Not Synced

das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer
Not Synced

der Menschen die davon lebt diese
Vermietung zu organisieren,
Not Synced

höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht
Not Synced

verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in
Not Synced

Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit
Not Synced

Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was
Not Synced

die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich
Not Synced

gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten
Not Synced

für Online Casinos und Krypto und anderen
Schmuddelkram und der vermietet oder hat
Not Synced

vermietet REvil, ein weiteres großes
Ransomware, Familienmodell und er scheint
Not Synced

nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist
Not Synced

seine Frau, die tut hier nichts zur Sache
deswegen ist sie so ein bisschen
Not Synced

ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,
Not Synced

wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie
Not Synced

beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,
Not Synced

falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also
Not Synced

die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren
Not Synced

steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass
Not Synced

man da seine Bitcoin Wallet eingravieren
kann.
Not Synced

*Applaus*
[Filler, please remove in amara]
Not Synced

Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.
Not Synced

Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht
Not Synced

aber wir konnten sie leider nicht lesen.
Das FBI konnte es.
Not Synced

*Applaus*
[Filler, please remove in amara]
Not Synced

Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ih beschlagnahmt, ne
Not Synced

also die Krypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der
Not Synced

größte Halter von Bitcoins überhaupt
weltweit, oder?
Not Synced

*Viele lachen*
[Filler, please remove in amara]
Not Synced

So er selbst wurde nicht gefasst aber
junge Russen die sich für unverwundbar
Not Synced

halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden
Not Synced

bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die
Not Synced

bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware
Not Synced

Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die
Not Synced

die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine
Not Synced

Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine
Not Synced

Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht weil dieser
Not Synced

Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich
Not Synced

erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war
Not Synced

Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet
Not Synced

ebenfalls eine riesige Ransomware Familie
ja die weltweit tausende Opfer verursacht
Not Synced

hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI
Not Synced

Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn
Not Synced

erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen
Not Synced

wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen
Not Synced

gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden
Not Synced

konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte
Not Synced

Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser
Not Synced

Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese
Not Synced

Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei
Not Synced

bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von
Not Synced

emotet zusammen hier.
L: Sieht aus wie bei mir.
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

K: Okay du hast auch Flohmarktzeug?
[Filler, please remove in amara]
Not Synced

*lächelt*
[Filler, please remove in amara]
Not Synced

K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre
Not Synced

alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der
Not Synced

wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit
Not Synced

uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche
Not Synced

trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert
Not Synced

wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro
Not Synced

Server und Monat $480. Ich finde es
interessant, weil auch so gigantische
Not Synced

Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit
Not Synced

funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei
Not Synced

die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom
Not Synced

Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department
Not Synced

KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,
Not Synced

ich hät gern ein paar davon.
[Filler, please remove in amara]
Not Synced

*Gelächter*
[Filler, please remove in amara]
Not Synced

L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt dass
Not Synced

ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,
Not Synced

hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich
Not Synced

habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So
Not Synced

sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben
Not Synced

wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da
Not Synced

drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem
Not Synced

Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen
Not Synced

Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,
Not Synced

ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal
Not Synced

beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher
Not Synced

zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der
Not Synced

man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,
Not Synced

ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10
Not Synced

Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,
Not Synced

ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,
Not Synced

die die Verhandlung betreffen. Und man
sagt natürlich erstmal junge Beweis du
Not Synced

doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich
Not Synced

erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doof
Not Synced

Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass
Not Synced

man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du
Not Synced

die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann
Not Synced

kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann
Not Synced

sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben
Not Synced

dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und
Not Synced

damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist
Not Synced

deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für
Not Synced

umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer
Not Synced

Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese
Not Synced

die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar
Not Synced

keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?
Not Synced

Kostenlose Leistung die man hier kriegt.
[Filler, please remove in amara]
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her
Not Synced

das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann
Not Synced

sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja
Not Synced

eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die
Not Synced

Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt
Not Synced

ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die
Not Synced

Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass
Not Synced

auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das
Not Synced

werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen
Not Synced

dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen *gelächter*?
Not Synced

Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass
Not Synced

sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr
Not Synced

traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden
Not Synced

für dich selber weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich
Not Synced

nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen
Not Synced

sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden
Not Synced

von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe
Not Synced

Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One
Not Synced

Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich
Not Synced

der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen
Not Synced

Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen
Not Synced

digitalen Angriffen zu schützen.
[Filler, please remove in amara]
Not Synced

*Einzelne Applaus*
[Filler, please remove in amara]
Not Synced

Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,
Not Synced

der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,
Not Synced

Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen die der
Not Synced

eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse
Not Synced

signifikant verbessern können und er hat
noch ein paar Interviews gegeben dass das
Not Synced

eine Frechheit wäre und zu wenig.
[Filler, please remove in amara]
Not Synced

*Gelächter*
[Filler, please remove in amara]
Not Synced

Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto
Not Synced

keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich
Not Synced

glaube es war man sieht es im Bild 2021
wurde extensure gebrided von lockbit und
Not Synced

das F ich natürlich sehr interessant also
haben wir auf dem loogbit Block so den
Not Synced

Countdown geguckt und so ne und dann
wurden irwann die Daten von extenser
Not Synced

veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber
Not Synced

total so ein einzeldownload ja, du
konntest jede Datei einzeln das war total
Not Synced

unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline
Not Synced

genommen und dann wurde die Deadline
verlängert wann die released werden und
Not Synced

irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so
Not Synced

und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig
Not Synced

veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird niemand mehr
Not Synced

bezahlen, wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell
Not Synced

noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn
Not Synced

für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu
Not Synced

veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur
Not Synced

ein mahnendes Beispiel für den nächsten
und ein Fall wo ich wieder erzählen kann
Not Synced

eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen das nennt
Not Synced

man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal
Not Synced

die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck
Not Synced

zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die
Not Synced

nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen
Not Synced

eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen
Not Synced

arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen
Not Synced

wir mal wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,
Not Synced

dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er mein
Not Synced

Freund wir sind die cyberswan Gruppe,
google uns wir haben fünf Sterne auf yelp!
Not Synced

*viele lachen* und es ist es ist natürlich
wirklich wichtig für diese Mechanik der
Not Synced

Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch
Not Synced

betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt
Not Synced

Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den
Not Synced

ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich
Not Synced

erpressen ist eher unwahrscheinlich. Aber
dann sagst du sowas wie ja boah das mit
Not Synced

den Tapes kennt sie ja dauert ey pass auf
wir zahlen dir 25 Dann kommen wir wollen
Not Synced

100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich
Not Synced

jetzt auch wieder dieses Druck ne wir
wollen mehr Geld später und dann sagst du
Not Synced

ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50
Not Synced

Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich
Not Synced

zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur
Not Synced

24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso
Not Synced

weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes
Not Synced

wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die
Not Synced

Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass
Not Synced

sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die
Not Synced

Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst
Not Synced

du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb
Not Synced

angebracht weil sie also weil sie wissen
je länger Du nicht zahlst desto
Not Synced

unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen
Not Synced

Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die
Not Synced

Wissen je länger der Spaß hier geht umso
unwahrscheinlicher zahlst du. Na gut dann
Not Synced

kommt irwi sowas ja 60 Millionen weil du
es bist letzte Preis ja? Und dann sagst
Not Synced

du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal
Not Synced

ok tut mir leid ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win
Not Synced

Situation werden können aber na ja
vielleicht beim nächsten Mal.
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

Und dann kommt, ok lass mich mal mit dem
Boss reden.
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare
Not Synced

Grenzen und erst wenn der mit jemand
anders reden muss über den Deal den er dir
Not Synced

machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der
Not Synced

vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein
Not Synced

aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.
Not Synced

Dann kommt eben sowas her: ok 50%
allerletzte Preis ja und dann sagst du
Not Synced

sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja
Not Synced

auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt
Not Synced

signalisiert also die Prüfung, dass Sie
Dateien wiederherstellen können jede
Not Synced

Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel
Not Synced

ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und
Not Synced

dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger
Not Synced

Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass
Not Synced

dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst
Not Synced

du mit diesen Leuten hier zu tun zu haben.
Das war wannacry ihr erinnert euch die
Not Synced

ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und als ich die
Not Synced

doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet war mir auch
Not Synced

sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine
Not Synced

Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so also wichtig
Not Synced

sicherstellen und erst spät sicherstellen
weil damit signalisierst du überhaupt
Not Synced

Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die
Not Synced

klugen Leute und sagen hey vorsicht wenn
du zahlst, dann hacken sie dich direkt
Not Synced

wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht
Not Synced

Mythos auf dem nächsten Sixpack steht
Realität aber dol i kann nicht so gut
Not Synced

schreiben wie ich. Die Realität ist
[Filler, please remove in amara]
Not Synced

*lächeln*
[Filler, please remove in amara]
Not Synced

der Rest des Internets wartet auf Sie die
haben überhaupt gar keinen Grund noch mal
Not Synced

dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich
Not Synced

nicht noch mal hackt. Es gibt aber genug
Andere also früher oder später musst du
Not Synced

dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder
Not Synced

sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch
Not Synced

zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in
Not Synced

die Cloud und gebt ihm und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr
Not Synced

kommt sowieso nicht drum herum euch besser
zu schützen am besten macht ihr das bevor
Not Synced

ihr den Case habt, aber egal ob du zahlst
oder nicht die Anderen werden kommen, ja?
Not Synced

Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine
Not Synced

Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen
Not Synced

dann prügeln wir die raus oder so.
[Filler, please remove in amara]
Not Synced

*lachen*
[Filler, please remove in amara]
Not Synced

Na ja, dann sagen Sie hier ist unser
unsere Bitcoin Wallet ja die nehmen
Not Synced

üblicherweise eine frische brauchen sie
auch damit sie erkennen dass die Zahlung
Not Synced

von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi
Not Synced

rüber, ja? Achtung, das ist interessanter
Moment weil dann sehen die wie viel Geld
Not Synced

auf deinem Wallet liegt. Ja in dem Moment
beweist du dass du über ein über eine
Not Synced

Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht
Not Synced

doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,
Not Synced

du weißt wie das ist, neh, ich habe jetzt
echt nicht
Not Synced

*viele lachen*
[Filler, please remove in amara]
Not Synced

Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr
Not Synced

ein sehr wichtiger Hinweis, bezahle nur
wenn du ein Business Case hast. Du hast
Not Synced

meistens keinen, das Einzige was hier eine
Rolle spielt ist, dass deine
Not Synced

Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten die
Not Synced

Systemeherten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette
Not Synced

Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch
Not Synced

jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest
Not Synced

oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen
Not Synced

bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann
Not Synced

gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das
Not Synced

deleition Lock, also das Output von rm-RF.
Das sieht dann so aus, und *Linus lächelt*
Not Synced

ich meine die haben sogar ihre local
language auf Russisch eingestellt, ja?
Not Synced

also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also
Not Synced

ein Output von rm-RF. Und dann sagen sie
yoh, wir bereiten jetzt dein Decrypter
Not Synced

vor.
[Filler, please remove in amara]
Not Synced

*einzelne gelächter*
[Filler, please remove in amara]
Not Synced

Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus
Not Synced

lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den
Not Synced

Typen nicht erreichen, hab mal kurz gedult
bitte und dann kann das manchmal ein
Not Synced

bisschen dauern und dann kommt hey, hier
ist der Decrypter, sorry der Typ war
Not Synced

draußen einen saufen, Ja?
[Filler, please remove in amara]
Not Synced

*video läufzt, alle lachen*
[Filler, please remove in amara]
Not Synced

Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen
Not Synced

Schlüssel geben der Millionen wert ist,
weil dann machen sie side Deals ja? Dann
Not Synced

verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,
Not Synced

blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das
Not Synced

Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch
Not Synced

die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte
Not Synced

automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei
Not Synced

dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle
Not Synced

Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten
Not Synced

halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über
Not Synced

diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter
Not Synced

hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie
Not Synced

die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,
Not Synced

wie es dann auf der anderen Seite
aussieht.
Not Synced

Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen
Not Synced

Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch
Not Synced

zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel
Not Synced

outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist
Not Synced

Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware
Not Synced

Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese
Not Synced

Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin
Not Synced

gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen
Not Synced

verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie
Not Synced

und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe
Not Synced

gefahren und allein er hat 1400 Bitcoin
eingesammelt mit diesen Erpressung, damals
Not Synced

27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar
Not Synced

nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe
Not Synced

von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war
Not Synced

Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der
Not Synced

irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.
Not Synced

Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt
Not Synced

*viele Lachen*
[Filler, please remove in amara]
Not Synced

Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich
Not Synced

fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte
Not Synced

durch dan Corona konnte man der
Gerichtsverhandlung im Internet folgen,
Not Synced

wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller
Not Synced

freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen
Not Synced

mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist
Not Synced

er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das
Not Synced

finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in
Not Synced

der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen
Not Synced

Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur
Not Synced

so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit
Not Synced

ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,
Not Synced

ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen
Not Synced

sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser
Not Synced

Screenshots waren Metadaten Screenshot
2.png enthielt Metadaten und in Metadaten
Not Synced

stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die
Not Synced

Kommunikation mit diesem Server zwar eine
anonyme E-Mailadresse, war aber zu faul
Not Synced

die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private
Not Synced

Mailadresse
[Filler, please remove in amara]
Not Synced

*viele Lachen*.
[Filler, please remove in amara]
Not Synced

Über die auch seine amazon Bestellung
liefen, so dass das FBI sofort auch seiner
Not Synced

Adresse hatte.
[Filler, please remove in amara]
Not Synced

*einzelnes Lachen*
[Filler, please remove in amara]
Not Synced

Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen
Not Synced

irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort wo sie
Not Synced

angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für
Not Synced

20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss
Not Synced

er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also
Not Synced

diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es
Not Synced

sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind
Not Synced

normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht
Not Synced

sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1
Not Synced

Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,
Not Synced

die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für
Not Synced

Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im
Not Synced

Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so
Not Synced

durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und
Not Synced

programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und
Not Synced

dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt
Not Synced

sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,
Not Synced

da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden
Not Synced

und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du
Not Synced

von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines
Not Synced

Team mit neuen Leuten und die kannten sich
alle nur über Java. Und ihr Job war es
Not Synced

dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige
Not Synced

ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf
Not Synced

der dann steht "ihr Computer ist
infiziert". *Kai lächelt* Entschuldigung
Not Synced

das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die
Not Synced

Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und
Not Synced

organisiertesten Ransomware Banden die die
Welt bislang gesehen hat , oder die größte
Not Synced

und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,
Not Synced

das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem
Not Synced

echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander
Not Synced

kommunizierte und der dann später geliegt
wurde durch ein ROG Mitglied dieser Bande,
Not Synced

so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die
Not Synced

Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von
Not Synced

Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist
Not Synced

abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir
Not Synced

schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr
Not Synced

erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand
Not Synced

dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio und da blieb sie
Not Synced

relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,
Not Synced

die kann uns was über Konti erzählen, das
war vor dem leack. Nah, das FBI hat sie
Not Synced

vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur
Not Synced

die neun Leute aus ihrem Team, das waren
alles kleine freischaffende
Not Synced

Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen
Not Synced

wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im
Not Synced

Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam
Not Synced

der Konti Leack und alle Welter erfuhr
über diese Gang. Inzwischen ist sie
Not Synced

freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in
Not Synced

Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum
Not Synced

Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie
Not Synced

gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie
Not Synced

putzen. Das ist, ihr seht hier so die
Struktur, von Konti das ist die unterste
Not Synced

Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der
Not Synced

Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros
Not Synced

anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen
Not Synced

da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma
Not Synced

organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem
Not Synced

Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf
Not Synced

der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß
Not Synced

bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr
Not Synced

fähige kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie
Not Synced

Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun
Not Synced

niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es
Not Synced

ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden
Not Synced

machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.
Not Synced

Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar
Not Synced

Softwarefmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich
Not Synced

noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig
Not Synced

dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,
Not Synced

sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR
Not Synced

Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.
Not Synced

K: Der baut auch den Kryptolocker, also
die Daten verschlüsselt, also sein Team.
Not Synced

Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von
Not Synced

Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das
Not Synced

Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines Komisischen
Not Synced

Gurus. Letztlich ein ganz normaler Mensch.
[Filler, please remove in amara]
Not Synced

*viele Lachen*
[Filler, please remove in amara]
Not Synced

ist in Abwesenheit angeklagt in den USA,
weil er Teil von Konti sein soll. Hier ist
Not Synced

noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei
Not Synced

Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt
Not Synced

sich selber reverse engineer und mail
Analyst und scheint schon länger in der
Not Synced

Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen
Not Synced

Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und
Not Synced

finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch
Not Synced

remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu
Not Synced

einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,
Not Synced

zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch
Not Synced

interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team
Not Synced

war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte
Not Synced

Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem
Not Synced

Wasser geblasen wurde, und für Konti hat
er Leute angeworben und geführt als
Not Synced

Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines
Not Synced

Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht
Not Synced

man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen
Not Synced

für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld
Not Synced

und es heißt dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen
Not Synced

interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also
Not Synced

Konti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das
Not Synced

hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich
Not Synced

selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die
Not Synced

Lehren daraus halten.
[Filler, please remove in amara]
Not Synced

*Linus lacht*
[Filler, please remove in amara]
Not Synced

L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann
Not Synced

verhältnismäßig entspannt ja? Also wenn
man überlegt dass Konti war mal, blackhead
Not Synced

wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im
Not Synced

im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr
Not Synced

das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die
Not Synced

Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich
Not Synced

vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld
Not Synced

übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort
Not Synced

verteilt wird auf viele tausend einzelne
wallets, also findet so ein
Not Synced

Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von
Not Synced

Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff
Not Synced

mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein dass
Not Synced

es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie
Not Synced

sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein
Not Synced

Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen
Not Synced

keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt
Not Synced

dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.
Not Synced

Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich
Not Synced

schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben
Not Synced

halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein
Not Synced

kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt
Not Synced

hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst
Not Synced

du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,
Not Synced

also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den
Not Synced

dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden
Not Synced

die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer
Not Synced

verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen
Not Synced

Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,
Not Synced

dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu
Not Synced

drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die
Not Synced

Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach
Not Synced

moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine
Not Synced

Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld
Not Synced

nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also
Not Synced

mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach
Not Synced

den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.
Not Synced

Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst
Not Synced

euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die
Not Synced

brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du
Not Synced

zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst
Not Synced

dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du
Not Synced

den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du
Not Synced

über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben
Not Synced

findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr
Not Synced

Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du
Not Synced

ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema
Not Synced

unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat
Not Synced

den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als
Not Synced

kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter
Not Synced

veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,
Not Synced

sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir
Not Synced

beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des
Not Synced

decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit
Not Synced

hierirner Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt
Not Synced

zum Thema hoffentlich alles gesagt sein,
vielen Dank.
Not Synced

*Applaus*
[Filler, please remove in amara]
Not Synced

*Musik*
[Filler, please remove in amara]
Not Synced

K: Danke!
Herald: Wunderbar, super ja vielen Dank an
Not Synced

Linus und Kai.
[Filler, please remove in amara]
Not Synced

*37c3 Nachspannmusik*
[Filler, please remove in amara]

Title:: 37C3 - Hirne hacken: Hackback Edition
Description:: more » « less
Video Language:: German
Duration:: 01:01:40

	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition
	alcuna edited German subtitles for 37C3 - Hirne hacken: Hackback Edition

Show all

German subtitles

Incomplete

Revisions Compare revisions

Revision 14 Edited

alcuna
Revision 13 Edited

alcuna
Revision 12 Edited

alcuna
Revision 11 Edited

alcuna
Revision 10 Edited

alcuna
Revision 9 Edited

alcuna
Revision 8 Edited

alcuna
Revision 7 Edited

alcuna
Revision 6 Edited

alcuna
Revision 5 Edited

alcuna
Revision 4 Edited

C3Subtitles
Revision 3 Uploaded

C3Subtitles
Revision 2 Uploaded

C3Subtitles
Revision 1 API

C3Subtitles

	Revision Number	Author	Created
	14	alcuna
	13	alcuna
	12	alcuna
	11	alcuna
	10	alcuna
	9	alcuna
	8	alcuna
	7	alcuna
	6	alcuna
	5	alcuna
	4	C3Subtitles
	3	C3Subtitles
	2	C3Subtitles
	1	C3Subtitles

37C3 - Hirne hacken: Hackback Edition

Revisions Compare revisions

Our website uses cookies

Operating cookies (Required)