-
37C3 Anspannungsmusik
-
Engel: Ok dann freue ich mich euch alle
sehr herzlich zu Hirne hacken der hackback
-
Edition begrüßen zu dürfen. Heute unsere
zwei Vortragenden Linus Neumann und Kai
-
Biermann, beides bekannte Gesichter hier.
Linus bekannt als IT security Consultant
-
und hatte das zweifelhafte Vergnügen schon
mit unterschiedlichsten Ransomware Gangs
-
verhandeln zu dürfen oder zu müssen. Kai
Biermann ist Investigativjournalist und
-
hat unter anderem Mitglieder der
Ransomware Gang Conti entdeckt aufgedeckt
-
und heute werden sie uns ein bisschen was
dazu erzählen wie man so spieltheoretisch
-
das Ganze verhandeln mit Ransomware
Hackern angehen kann und was da die
-
spannenden Strategien sind. Bitte ein ganz
herzliches Willkommen für Linus und Kai!
-
Applaus
-
Kai: Hallo Kongress eine Ehre hier zu
sein! Danke euch! Das ist der Linus, der wurde
-
schon kurz vorgestellt, der mag gern
reiten, schwimmen und hacken so viel zu
-
seinen Hobbys. Er wird öfters mal
angerufen wenn irgendwo eine Firma
-
gecybert wird und deswegen steht er hier.
Linus: Das ist der Kai, der hat keine
-
Hobbys die er öffentlich nennen möchte.
Lachen Und ruft gerne mal an wenn jemand
-
gecybert wird weil er im
Investigativressort von Zeit und Zeit
-
online arbeitet. Und wenn dieses Telefon
so bei mir klingelt ist eigentlich der
-
erste Satz immer so: Linus, du musst
sofort helfen, wir werden erpresst!
-
Gemurmel Und so als Einstieg möchte
ich mal einen Fall von vor gar nicht allzu
-
langer Zeit schildern, wo ein Hacker oder
eine Hackerin von einer eigenen Domain
-
eine E-Mail geschrieben hat.
"Ich wurde angeheuert um Ihre Webseite zu
-
hacken, ich habe Zugriff auf alle
Kundendaten und mein Kunde also der der
-
mich beauftragt hat zahlt zu wenig
deswegen können Sie jetzt Ihre Daten
-
zurückkaufen und ich sage in die
Schwachstelle."
-
wachsendes Lachen
-
Linus: Klang schon mal jetzt nicht so auf
Anhieb überzeugend ja? Und dann auch was
-
ich sehr schön finde du so unmittelbare
Selbstbeschuldigung: "Mir ist klar dass es
-
ihre Daten sind und ich der Kriminelle bin
der sich Zugang zu ihnen verschafft hat,
-
werden sie jetzt aber nicht emotional,
stellen Sie sich einfach nur mal den
-
Schaden vor wenn ich veröffentliche."
-
Lachen
-
Linus: Ja und ich habe ja schon gesagt das
war ein Erpresser ja und er hat dann seine
-
Forderung uns mitgeteilt: "ich will
2000€".
-
Lachen
-
L: Ja wir haben dann halt die SQL
Injection gefixt und ich sag mal so mit
-
ein bisschen mehr Forderung hätten wir i
wahrscheinlich auch ernst genommen, haben
-
uns dann aber entschieden vielleicht
erstmal nicht zu antworten, worauf hin er
-
sagte "Ich muss dem Kunden jetzt in 24
Stunden antworten und Sie müssen sich
-
jetzt entscheiden, das ist kein Blöff."
-
laute Lachen
-
Da haben wir erstmal ein Tee getrunken
-
lachen
-
und dann schrieb er wieder "ich gebe ihn
noch mal 24 Stunden
-
viele lachen
-
aber aber dann aber dann!"
L: Ja doch ist ein Blöff ja haben also
-
erstmal nichts gemacht und dann schrieb
er: "also ich gebe ihnen jetzt noch ein
-
letztes Mal 24 Stunden dann aber wirklich!
und dann wurden die Drohungen "sagt er,"
-
und sie haben können sich gar nicht
vorstellen, was jetzt noch alles passiert
-
und ja." So der Kunde wurde auch, was wenn
er noch irgendwas Anderes hat und wir so
-
na ja, wenn er noch irgendwas Anderes
könnte dann wird er wahrscheinlich nicht
-
2000€ fordern. Und wir haben uns aber
gewundert, was ist das denn für einer? Ja
-
also was ist das für ein Typ der so
richtig wohlformulierte lange E-Mails
-
schreibt ja? Und uns war irgendwie nicht
so klar, es war wohlformulierte Sprache,
-
ich sag jetzt nicht welche, aber sie war
schön formuliert und wir hatten zwei
-
Hypothesen. Die eine war dass ist irgend
so ein Abiturient der von zu Hause im
-
Kinderzimmer irgendwie meint er wäre jetzt
der große Hacker, weil das könnte erklären
-
dass er 2000€ für viel Geld hält lachen
oder ist Irgendjemand mit Chat GPT in
-
Indien oder so für den das potenziell auch
viel Geld wäre also haben wir uns überlegt
-
na ja lass uns doch mal rausfinden. Ja
haben uns entschieden wir antworten doch
-
mal und haben da gesagt:
L: Also pass auf du solltest deine Server
-
echt nicht in der EU hosten, weil
Gelächter die Polizeibehörden hier
-
arbeiten zusammen ja? Und diese Domain die
du da hast die solltest du echt nicht mit
-
der Kreditkarte zahlen.
-
Linus lacht, viele Lachen
-
Und wenn du dein SQL Map Angriffe versuch
das doch mal über TOR wenigstens statt von
-
deinem anderen vServer aus, ja? Kam
erstmal nichts. einige lachen und dann
-
hab ich gesagt:
L: Pass auf in 24 Stunden
-
sehr viele Lachen, Applaus
-
geht unser Bericht ans LKA die
Datenschutzmeldung haben wir ohnehin schon
-
gemacht, was soll schon noch kommen ja?
Haben wir ihm Angebot gemacht haben
-
gesagt:
L: Pass auf wenn du deine Daten löscht
-
bekommst du McDonald's Gutschein
-
viele lachen
-
über 100€ und dann kam eben so, "Eh, meine
offshore Server sind verschlüsselt! L: Wie
-
so ... was für Offshore Server? was für
Verschlüsselung?
-
"Ich will 2000€ sie haben 24 Stunden
einige lachen sonst ..."
-
L: War wieder die große Sorge, was macht
er denn jetzt noch ne haben wir gewartet
-
und dann kam dedos einzelne Gelächter
dann haben wir cloudflare dazwischen
-
geschaltet und dann waren wir fertig ja
-
lachen
-
weil wir haben natürlich aus zwei Gründen
hier nicht bezahlt: 1. die Forderung war
-
viel zu gering, das Geld wär viel zu
schnell weg gewesen und der wäre wieder
-
gekommen und hätte mehr gewollt und ja ist
auch nichts weiter passiert. Aber
-
natürlich sind nicht alle Diskussionen
oder alle solche Fälle wenn man mit einem
-
verwirten Einzeltäter zu tun hat so
glimpflig und so einfach.
-
Kai: Und vor all so lustig. Das hier ist
einer, das ist so ein Einzeltäter, der hat
-
mutmaßlich muss ich an dieser Stelle
sagen, weil er steht gerade erst vor
-
Gericht und ist noch nicht verurteilt und
er bestreitet die Tat obwohl es ziemlich
-
gute Indizien gibt, die ihr gleich sehen
werdet. Das ist so ein Einzeltäter der hat
-
in Finnland eine Firma erpresst wastamo
die Therapiezentren betreibt,
-
psychiatrische Therapiezentren und hat
sämtliche therapeutischen Unterlagen
-
gecybert kopiert. Der hat sich alle
Protokolle aus Therapiesitzungen alle
-
Diagnosen von vielen vielen finnischen
Menschen von deren Server geholt und hat
-
anschließend gesagt "ich will nicht 2000€
sondern 40 Bitcoin". Das waren damals ist
-
schon zwei Jahre her ca 180 000€ und die
Firma hat nicht reagiert. Die hat Tee
-
getrunken und daraufhin hat er den
Patienten und Patientinnen eine Mail
-
geschickt die Daten hat er ja und hat
gesagt ok, die Firma zahlt nicht dann will
-
ich von euch Geld 200€ in Bitcoin damit
eure Therapieunterlagen nicht im Netz
-
veröffentlicht werden. Wer macht denn
sowas? Hier ist so eine Selbstbeschreibung
-
von ihm könnt ihr mal lesen wenn ihr Zeit
habt. Ein lustiger junger Mann 25 ist er
-
inzwischen er glaubt er ist ein großer
Philanthrop und hat mit beim Umgang mit
-
Tieren schon viel übers Leben gelernt vor
allem hat er früh schon Ärger gemacht, der
-
hat mit 15 seine erste Verurteilung
kassiert, damals war er an Didos Attacken
-
beteiligt und an einem Hobby namens
swatting, ich weiß nicht ob schon mal
-
gehört habt. Das ist wenn man Leuten die
Polizei nach Hause schickt ohne Grund,
-
kann sehr ärgerlich sein. Zurück zum Fall,
der hat in Finnland für ziemliche
-
Aufregung gesorgt, das ist die damalige
finnische Innenministerin, die fand diesen
-
data breach ein ziemlich shocking Act und
die Formulierung ist interessant, weil es
-
mehr ein Fall von Data breach ist als ein
Fall von hacking, denn und jetzt kommen
-
wir zu einem 2. wichtigen Punkt in unserem
Talk. Die Betroffenen sind oft nicht so
-
ganz unschuldig an dem ganzen Problem. Der
Server auf dem alle Therapieunterlagen von
-
allen finnischen Patienten und
Patienttinlagen war erstens eine
-
selbstgebaute me SQL Datenbank die hingt
zweitens im Netz war drittens über Google
-
zu finden. Und nur durch ein
Standardsystem Admin Passwort geschützt.
-
gemurmel Auslieferungszustand sozusagen.
Wer macht sowas? Er das ist der CEO dieser
-
Firma Vastaamo der war ganz betroffen
darüber dass jemand seine Firma ruiniert
-
hat, die ist daraufhin nämlich pleite
gegangen und wird bis heute verklagt
-
dafür. Der ist nicht betroffen darüber
dass viele viele finnische Menschen
-
erpresst wurden sondern darüber dass eine
schöne Firma kaputt gegangen ist. Noch ein
-
Fakt zu den Patientendaten den ich sehr
interessant finde, sie waren nicht
-
anonymisiert und nicht verschlüsselt.
Sollte man nicht machen wenn man so heikle
-
Gesundheitsdaten hat und die Firma hat
auch Vorgaben des finnischen
-
Gesundheitssystems umgangen zur
Datensicherung. Aber zurück zu unserem
-
Täter weil also er will 40 Bitcoin was
tamamo zahlt nicht da haben wir ihn wieder
-
den kmit, daraufhin hat er eine schlaue
Idee, er will um seinen Druck zu erhöhen,
-
weil das ist für den Erpressern immer sehr
wichtig wie er auch eben schon gesehen
-
hat, er will den Druck erhöhen und sagt
ok, wenn ihr nicht zahlt dann liege ich
-
eben jeden Tag den ihr nicht zahlt liege
ich 100 Patientenakten. Das Problem dabei
-
war er hat es in ein finnischen imagebard
gemacht, ich hoffe ich spreche das richtig
-
aus, yilli lauter heißt es das Problem
dabei war er hat so ein paar Informationen
-
seines Servers von dem er ausgeleakt hat
mitgeleakt, gemurmel IP-Adressen und
-
solche Dinge. Worauf hin die Polizei
dieser Spur folgen konnte und relativ
-
schnell dahinter kam dass da so ein
Netzwerk von Servern existiert dass jemand
-
mit seiner Kreditkarte bezahlt hatte.
einzelne Applaus Wird noch schöner. *Kai
-
lächelt* Das war nicht der einzige Hinweis
auf ihn, den die Polizei fand also, was
-
zaht nicht ja sind keine netten Leute. Der
Mann reiste viel er war er tauchte unter.
-
Also die Polizei hatte schon seinen Namen,
sie ahnte wer es ist und suchte ihn in
-
Finnland und er ist abgehauen ins Ausland,
hat aber die nicht sehr schlaue Idee
-
gehabt darüber im Internet zu posten
-
Gelächter
-
ja er hat wieder auf diesem imagebort
JimmiLauter ein Foto gepostet wo er an der
-
französischen Küste es sich gut gehen
lässt und sich diesen blödsiniges Wasser
-
ins Gesicht sprüht. Und hat dieses Foto da
gepostet unter anderem von einem der
-
Server die im Zusammenhang mit der Tat
standen, auch nicht so clever und noch
-
viel lustiger dieses Foto war so gut dass
die Polizei einen Fingerabdruck nehmen
-
konnte.
-
Viele lachen, Applaus
-
Die finische Polizei wusste jetzt also wo
sie ihn suchen muss, in Frankreich.
-
Übrigens an dieser Stelle möchten wir
einen kurzen Gruß an Starbug schicken, der
-
hat nämlich 2014 in einem Vortrag genau
das prophezeit. Damals hat er von einem
-
Foto von Ursula von der Leihen, das in der
Bundespressekonferenz aufgenommen worden
-
war den Daumenabdruck extrahiert und
bewies dass das geht, danke Starbug! Die
-
finnische Polizei hat dir zugeschaut.
-
Applaus
-
Nachdem wir uns jetzt mit ein paar
Amateuren auseinandergesetzt haben die
-
eure Unternehmen ruinieren können oder
sich selbst oder beides wollen wir uns mal
-
kurz ein bisschen mit Profis
auseinandersetzen. Und für mich ist das
-
ein bisschen ärgerlich weil ich darüber in
vielen Vorträgen seit nun mehr 7 Jahren
-
rede ja? Und zwar Ransomware es ist
wirklich nichts Neues aber ich möchte kurz
-
eine kleine verkürze subjektive Geschichte
der Ransomware erzählen. Ungefähr 2016
-
ging es los mit locky, das war so eine
Ransomware fürs Privatkundengeschäft hat
-
irgendwie so local host sofort
verschlüsselt und irgendwas im Bereich von
-
paar 100 Euro verlangt ja? Es kam dann
später wannacry das war im Prinzip auch so
-
eine local host randsomeware aber
verbunden mit dem eternal blue Exploit hat
-
also im lokalen Netz nach SMB shares
gecheckt und die auch noch mal infiziert
-
ja. Also ging so ein bisschen weiter rein.
Irgendwann 2018 müsste riok damit
-
angefangen haben zu erkennen dass das
Backup der natürliche Feind der Ransomware
-
ist und hat sich darauf konzentriert in
Richtung ad compromise zu gehen also
-
komplette Active Directory zu übernehmen
und von dort aus in meisten Leute hängen
-
ja dummerweise ihren Backup Server ins
Active Directory, was die schlechteste
-
Idee ist die man haben kann, und dann
zerstören sie also erst die Backups und
-
rollen dann über eine Group Policy die
Ransomware auf allen Hosts aus ja das fing
-
so ungefähr 2018 an und 2019 fing es an
dass maze sich auch so ein bisschen mehr
-
auf fileshares spezifisch konzentriert hat
und auf das Modell der Double extortion.
-
Double extortion könnt ihr euch so
vorstellen dass man.. Ich erkläre es
-
gleich ne, weil ich möchte eigentlich noch
mal kurz darauf reingehen wie katastrophal
-
es ist dass wir 2023 noch darüber reden
ja? Seit 2019 mindestens ist das die
-
gleiche Masche, seit 2016 ist es ein
Geschäftsmodell und es sollte einfach so
-
sein wie in jedem IT security lifeecycle,
du hast eine Prävention wenn die
-
fehlschlägt hast du eine Detektion und
wenn die fehschlägt hast eine Recovery.
-
Die meisten Leute gehen davon aus, dass es
vielleicht nicht ganz so gut bei Ihnen
-
aussieht ne haben eine Prävention
vielleicht eine Detektion und die Recovery
-
eigentlich nicht ganz so gut. Aber wie es
wirklich in der Realität für sie aussieht
-
so... und wenn man das mal nicht grafisch
versinicht sondern so wie dann eine
-
Webseite aussieht, das wäre jetzt hier,
ich glaube Blackcat Alfi die die vor 2 D
-
Wochen hochgegangen sind dann sieht das
ungefähr so aus du hast eine Webseite
-
Forderung das ist ein Hidden Service und
da wird dir dann erklärt wie du Bitcoin
-
kaufen kannst habe ich in hier na hacken
schon ausführlich erklärt die Leute die
-
die Webseite sehen füren dann als nächstes
ungefähr zu dieser Situation R weil das
-
die einzige Möglichkeit ist an die Dateien
wieder ranzukommen. Wenn man das tut sieht
-
eine Seite ungefähr so aus wo es ein
bisschen Instruktionen gibt wie man die
-
Dateien wiederherstellt und außerdem sind
die Angreifer so nett sie versprechen den
-
kompletten Bericht wie sie reingekommen
sind und ich denke natürlich als Security
-
Konz, alles klar ein ordentlicher Bericht
ja cool so ein redam Bericht da bin ich
-
mal gespannt das ist er ja und eine
Standardantwort die kommt in dem Moment wo
-
die Bitcouins gezahlt sind erscheint die
im Chat ja so quasi in in der gleichen
-
Zeit das heißt die ist hardcodet in dieser
Webseite drin und das bedeutet diese Web
-
diese Angreifer sind absolute oneetrack
Ponys die haben es hier mit metapreta
-
gemacht ja ihr könnt euch ungefähr
vorstellen wie wenig idea du brauchst
-
damit man metapritter nicht erkennt ja und
diese Angreifer sind one Trick Ponys und
-
du bist ihr Opfer. Wir alle kennen diesen
klugen Satz übrigens kann man immer sagen,
-
kann man immer sagen, nur nicht beim
incident der kommt
-
Lachen, Applaus
-
also kommt nicht an, kommt nicht an. Ja
learn from my fail ja?
-
Lachen
-
Ich habe gerade gesagt wir sprechen über
double extortion, double extortion
-
funktioniert so: die Angreifer haben
gemerkt dass das Backup für sie ein
-
Problem ist und sagen Backup haben wir
auch. Und das werden wir jetzt
-
veröffentlichen, ja? Das heißt sie
erpressen dich einerseits oder sie
-
verlangen Lösegeld für deine Daten und
erpressen dich gleichzeitig mit der
-
Veröffentlichung, haben also jetzt zwei
Druckmittel gegen dich mit denen sie
-
versuchen Geld von dir zu bekommen. Und
das Ganze passiert jetzt seit vielen
-
vielen Jahren und irgendwie Kai schreibt
drüber, ich rede drüber, die Deutsche Bahn
-
hat schon mal auf ihren Anzeigetafeln
gehabt, ja? lachen Aber niemand kümmert
-
sich drum und wenn du die Zeitung
aufmachst ja was was wird diskutiert?
-
Cyberwar... Was wäre wie fürchterlich wäre
das Kai wenn der Cyberwar jetzt käme?
-
Kai: Der schrecklich oder?
L: Das wär doch total schlimm ja.
-
K: Ich mir wird langsam langweilig über
Rans zu schreiben ganz ehrlich weil es so
-
vorheragbar ist und wenn man sich nur
einen kurzen Moment vorstellen würde
-
überall in Deutschland würden maskierte
Menschen in große und kleine Firmen
-
reinrennen ja? Würden die Computer nehmen
und wieder rausrennen, was wäre in diesem
-
Land los? Also bei großen Firmen ja, Metro
und wenzo, Continental und wen so alles
-
erwischt hat da rennen 100 Leute rein ja
reißen alle Rechner aus der Wand und
-
verschwinden, was wäre in diesem Land los
wenn das jeden Tag dreimal passiert, ja?
-
Wir hätten den Kriegszustand den Cyberwar!
Keinen interessiert, weil es digital
-
passiert und das verstehe ich immer nicht.
L: Ich denke also der Cyberwar den sich
-
vor dem sich alle fürchten übrigens ein
absolut fürchterlicher Begriff, den ich
-
mir nicht zu eigen machen möchte, die
Schrecken des Krieges sind unvergleichbar
-
mit ein paar Schamützeln im Internet. Ja
das ist klar vorweg zu sagen aber wenn wir
-
uns davor fürchten digital angegriffen zu
werden, dann könnten wir wahrscheinlich im
-
Moment irgendwann mal zu der Ansicht
kommen, dass wir das falsche fürchten und
-
es jetzt schon schlimmer ist, als wir
fürchten und wir müssen die bittere
-
Erkenntnis sehen, dass wir längst dagegen
hätten etwas unternehmen können und wenn
-
irgendwann einmal der große Cyberwar
losgeht, werden die Angreifer auch nicht
-
anders vorgehen als die Angreifer die uns
heute schon Millionen und Milliarden
-
Schäden verursachen. Deswegen gibt es in
diesem Vortrag die einzig wichtige Folie,
-
die ich einmal kurz runterrattern möchte
bevor wir uns wieder den Angreifern widmen
-
und den schönen Verhandlungen mit ihnen.
Was ihr in einer solchen Situation
-
braucht, wenn ihr von Ransomware getroffen
seid, ist ein priorisiertes
-
wiederherstellungskonzept. Euer Problem
ist nicht dass alle Dateien weg sind, euer
-
Problem ist dass die Dateien von gestern
und von vor zwei Wochen weg sind. Das
-
langzeitarchiv ist gar nicht das Problem,
das Problem was diese Unternehmen haben
-
ist dass die Produktion oder der
Geschäftsbetrieb unmittelbar sofort
-
stillsteht und das kostet sehr viel Geld.
Was gibt's also für Best Practices für
-
eure Backups? Sie müssen unveränderbar
sein Write only Backups, ein NutzerIn darf
-
nicht in der Lage sein ihre eigenen
Backups zu löschen und es darf auch nicht
-
ein Admin oder eine Admina in der Lage
sein diese Backups zu löschen zumindest
-
nicht mit den Rechten im AD vergeben
werden. Es muss unabhängig sein auf einer
-
eigenen Infrastruktur, es muss isoliert
sein also komplett getrenntes identity
-
Access Management, keinesfalls im Active
Directory. Wer den Backup Server
-
administriert geht mit einer Tastatur und
einem Bildschirm in den Serverraum und
-
steckt die da dran. Keine remote
administration von dem Backup Server,
-
keine Verbindung in euer ad. Wir machen
natürlich versionierte Backups, damit wir
-
auch frühere Zustände wiederherstellen
können, wir machen verifizierte Backups.
-
Man könnte das ja einfach mal prüfen bevor
man es braucht, ja! Wie viel Geld könnte
-
man da sparen wenn man auch noch einen
Fehler entdeckt, wir überwachen das Backup
-
also ist ein Backup erfolgt und ist der
der Datenbestand auf dem fallserver
-
integer! Und vor allem machen wir unsere
Backups risikobasiert also die
-
Wiederherstellung des Geschäftsmodells
wird priorisiert. Die meisten Daten die
-
Ihr nicht bra.. Ihr Backup werdet ihr im
akuten Fall nicht brauchen, ja wenn ihr
-
mal jemanden seht der dann so ankommt
sagt, wir haben alles auf Tape und du
-
denkst okay weißt du wie lange das dauert
dieses Tape einzuspielen? lächelt Dann
-
verstehst du dass potentiell auch Leute
diese Zahlungen in Erwägung ziehen die
-
Backups haben. Also bitte bitte bitte das
sind alle Lehren die es hier zu ziehen
-
gibt und das das was wir gleich über
Verhandlungen berichten, das vergessst ich
-
am besten wieder ganz schnell, das war nur
um euch hierher zu locken, weil uns Leute
-
immer danach fragen, wie denn so eine
Verhandlung läuft.
-
einzelne Applaus
-
K: Ich entschuldige mich für diesen
Vortrag.
-
Applaus
-
K: Es war etwas lehrerhaft aber ich glaube
es musste sein. Kommen wir zurück zu den
-
lustigen Leuten. Wir sind ja durch eine
Verkettung unwahrscheinlicher Zufälle
-
beide Psychologen mal gewesen und haben
noch dazu dasselbe an delben Uni studiert,
-
wie wir später festgestellt haben,
deswegen interessieren uns natürlich die
-
psychologischen Effekte dahinter und auch
die Psyche der Täter, deswegen wollen wir
-
hier so ein paar vorstellen damit ihr eine
Vorstellung dafür kriegt, was sind das für
-
Leute eigentlich ja? Warum sind die
kriminell, was tun die so. Und wir fangen
-
mit einem sehr Prominenten und schillernen
Fall an, ihr seht da Maxim Jakubetz, das
-
ist ein junger Russe. Ich habe ihn hier
sowas wie der Pate genannt, weil er ist
-
eine Ausnahme, er ist ein sehr
klischeehafter krimineller Typ, wie ihr
-
gleich noch sehen werdet. Also nicht nur
ja das ist ein Lamborghini Huracan, den er
-
da fährt, das ist seiner das Klischee geht
noch viel weiter, wenn ihr das
-
Nummernschild betrachtet falls ihr
russisch könnt, da steht W o R nicht Bor,
-
sondern wor und wor übersetzt heißt Dieb
lächelt. Seine ganze Gang fuhr mit
-
diesen Nummernschildern rum.
-
einzelne Gelächter
-
Das konnte er problemlos tun, weil er hat
die Tochter eines FSB Offiziers geheiratet
-
und muss in Russland nicht viel fürchten.
Klischeehaft weil er so richtig Bling
-
Bling protzt mit seinem Reichtum und er
und seine Freunde sowas machen. Das ist
-
die Lomonosof Universität mitten in
Moskau, niemand stört sie dabei, wie
-
gesagt FSB Offizier. Polizei bestochen und
so weiter. Diese Gang, die sind sowas wie
-
die Großväter der Ransomware, die nannten
sich evil Corb, auch da waren sie relativ
-
eindeutig in ihrer Bezeichnung.
-
Gelächter
-
Die haben schätzungsweise, es sind immer
Schätzung von Ermittlern deswegen wer weiß
-
ob es stimmt und wie viel es wirklich war,
die haben mit ihrem Banking Trojaner
-
namens Zeus oder süß ca 70 Millionen
Dollar erpresst indem sie Online Banking
-
Informationen abgesaugt und dann
ausgenutzt haben. Und ja die werden
-
gesucht, ne? Also das FBI hätte sie gern,
sie sitzen in Russland, werden da auch
-
nicht wegfahren. Und sicher auch kein
Urlaub wo anders machen als auf der Krim.
-
Das Interessante ist weswegen wir sie hier
drin haben, sie sind wirklich sowas wie
-
die Großväter der Ransomware Modelle, die
uns heute plagen. Also die Wirtschaft
-
mehrheitlich. Sie haben RAS erfunden
Ransomware SS Service also sie haben
-
irgendwann aufgehört das Zeug selber
einzusetzen, sie haben es vermietet
-
verkauft. Hier sind sie noch mal ein
bisschen größer nette junge Leute. Sie
-
haben angefangen ihre kriminellen
Fähigkeiten aufs Programmieren zu
-
beschränken und anschließend in
kriminellen Forum ihre Tools anzubieten,
-
und wie sehen Leute aus die sowas dann
weiter verkaufen? So
-
Gelächter
-
das ist Daniel Schukin, der wurde so noch
nicht öffentlich genannt, der ist einer
-
der Menschen die davon lebt diese
Vermietung zu organisieren,
-
höchstwahrscheinlich, muss ich an der
Stelle sagen, er ist auch nicht
-
verurteilt, hat auch Russland bis
jahrelang nicht verlassen. Das da ist in
-
Antalia, da glaubt er noch reisen zu
können, da hat er diese Yacht gemietet mit
-
Freunden zusammen. Wer ist dieser Mensch?
Auch ein junger Russe, etwas begabt was
-
die Technik angeht, lebt in Krasnodar, mag
BMWs und Gucci und große Feste, zeigt sich
-
gern mit seiner Frau und mit Freunden den
er das Essen bezahlt, der hat Webseiten
-
für Online Casinos und Krypto und anderen
Schmuddelkram und der vermietet oder hat
-
vermietet REvil, ein weiteres großes
Ransomware, Familienmodell und er scheint
-
nicht schlecht davon zu leben, hier ist er
wieder, breites Lächeln. Das im Arm ist
-
seine Frau, die tut hier nichts zur Sache
deswegen ist sie so ein bisschen
-
ausgeblendet. Und leider wollte der nicht
mit uns reden, ich weiß auch nicht warum,
-
wir haben es versucht, also ich habe viele
E-Mails geschrieben, die er nie
-
beantwortet hat. Das Interessante an
dieser Stelle, man beachte seine Uhr,
-
falls Sie die erkennen könnt, hier ist sie
größer. Das ist eine vangard encrypto also
-
die Uhr allein kostet schon so 50 bis 70
000 € wenn man auf so hässliche Uhren
-
steht, und statt der 12 ist da ein QR-Code
eingraviert, damit wirbt die Firma dass
-
man da seine Bitcoin Wallet eingravieren
kann.
-
Applaus
-
Die öffentliche die öffentliche das muss
man sich auch erstmal leisten können.
-
Genau, wir konnten sie leider nicht
entschlüsseln, also ich habe es versucht
-
aber wir konnten sie leider nicht lesen.
Das FBI konnte es.
-
Applaus
-
Das FBI hat gerade erst noch gar nicht so
lange her 317000 von ih beschlagnahmt, ne
-
also die Krypto sind genau in den Händen
des FBI. Ich glaube übrigens FBI ist der
-
größte Halter von Bitcoins überhaupt
weltweit, oder?
-
Viele lachen
-
So er selbst wurde nicht gefasst aber
junge Russen die sich für unverwundbar
-
halten, das ist ein wichtiger Aspekt
dabei, weil sie entweder Behörden
-
bestechen oder direkt in Verbindung stehen
mit Behörden, die sind so relativ die
-
bilden so eine relativ kleine Gruppe der
Hinterleute dieser ganzen Ransomware
-
Modelle, die sind aber nicht die große
Masse, die sind wirklich Ausnahmen. Die
-
die die eigentliche Arbeit machen, die
sehen anders aus. Das hier ist eine
-
Wohnung in einem relativ runtergekommenen
Neubaublock in Harkiv in der Ukraine
-
Straße ist 23 August, wen es interessiert.
Den Namen nenne ich hier nicht weil dieser
-
Mensch nie verurteilt wurde und nicht mal
angeklagt, der wurde laufen gelassen, ich
-
erzähle gleich warum. Deswegen hier nur
sein Name in dem Internet unterwegs war
-
Jeep. Der erklärt sich auch gleich. Dieser
Mann war für emotet unterwegs. Emotet
-
ebenfalls eine riesige Ransomware Familie
ja die weltweit tausende Opfer verursacht
-
hat. Das BKA nannte emotet einen der
gefährlichsten Trojaner weltweit und BSI
-
Chef Arne Schönbum ex BSI Chef Arne
Schönbum, falls sich noch jemand an ihn
-
erinnert, nannte es den König der
Schadsoftware, aber und deswegen zeigen
-
wir es hier auch emotet machte Fehler. Die
haben einen Server in Brasilien offen
-
gelassen, so dass dort Serverlocks
rumlagen, die Ermittlungsbehörden finden
-
konnten und dank dieser Serverlocks
hangelten Sie sich durch die gesamte
-
Infrastruktur dieser Gruppe und kamen
zumindest nach Angaben des BKA zu dieser
-
Wohnung, dort laufen alle Fäden zusammen
und deswegen gab's da 2021 diese
-
Wohnungsdurchsuchung, polizia steht da auf
der Jacke, also die ukrainische Polizei
-
bricht da gerade ein, BKA Beamte waren
dabei, ja also da liefen alle Fäden von
-
emotet zusammen hier.
L: Sieht aus wie bei mir.
-
viele lachen
-
K: Okay du hast auch Flohmarktzeug?
-
lächelt
-
K: Das ist der Schreibtisch dieses Mannes
und das die Wohnung eines damals 47 Jahre
-
alten Ukrainers, seines Zeichens
Systemadministrator für Linux und der
-
wartet Server für kleine Firmen. Und er
tut das für kleines Geld. Und der hat mit
-
uns geredet, der war sehr nett und sagte
also das auf diesen Backends gefährliche
-
trojaner waren, ich wusste es nicht, er
hat sich nicht dafür interessiert
-
wahrscheinlich. Er hat 12 Server von
emotet gewartet und nahm dafür $40 pro
-
Server und Monat $480. Ich finde es
interessant, weil auch so gigantische
-
Erpressungsmodelle ja, wir reden über
gigantische Erpessungsmodelle die weltweit
-
funktionieren, basieren auf solcher
Infrastruktur. Nach Auskunft der Polizei
-
die da in der Wohnung war, da sieht man
sie noch mal, war ein Großteil davon vom
-
Flohmarkt, Jahre alt. Übrigens könnt ihr
Kyrillisch lesen? Da steht Department
-
KeeberPolitsii, finde ich toll, falls
irgendjemand hiermer so Aufkleber macht,
-
ich hät gern ein paar davon.
-
Gelächter
-
L: Kommen wir zurück zu einer anderen
Ransomware Gang, ich habe ja gesagt dass
-
ich öfter mal die Freude habe mich mit
denen auseinandersetzen zu dürfen,
-
hauptsächlich deshalb weil Leute denken
ich könnte ihn Bitcoin organisieren, ich
-
habe keine Ahnung wie auf die Idee kommen
aber irgendwie klappt's dann auch. So
-
sieht dann so eine Ransom Note aus, die
liegt auf deinem Desktop und angegeben
-
wird halt ein Tor hinden Service und in
diesem Fall ein Login und wenn man da
-
drauf klickt kommt halt so ein Chat, ja
ist etwas andere Gang jetzt in diesem
-
Fall, mal Screenshot von blackbuster
rausgesucht und die sagen also sie wollen
-
Geld haben. Und jetzt beginnt der Moment
für den sich so viele Leute interessieren,
-
ich werde also immer nach Vorträgen
gefragt, dass ich genau das mal
-
beschreiben soll und wie ich gerade schon
sagte ich beschreibe das nicht ohne vorher
-
zu sagen, wie man sich davor schützen
kann. Weil das ist die Situation in der
-
man wirklich nicht sein möchte, ja. Der
Chat geht natürlich ein bisschen länger,
-
ich habe mich jetzt mal so inhaltlich grob
zusammengefasst. Wir veröffentlichen in 10
-
Tagen, wir haben einen Decrypter, wir
wollen in diesem Beispiel 100 Millionen,
-
ja. Hab jetzt einfach mal 100 genommen,
damit ihr ungefähr die Relationen sieht,
-
die die Verhandlung betreffen. Und man
sagt natürlich erstmal junge Beweis du
-
doch bitte erstmal dass du die Dateien
hast ja, also vorher stellt man sich
-
erstmal so ein bisschen doof, es ist auf
jeden Fall klug irgendwie so ein paar doof
-
Sachen zu fragen ne, was ist BTC irgendwie
sowas um den irgendwie zu vermitteln, dass
-
man relativ dumm ist, ja? Man sagt dann
so, ok, aber Beweis doch mal bitte dass Du
-
die Dateien hast, dann sagen die kein
Thema, hier ist die Liste ja und dann
-
kriegt man so ein Output von tree oder
find oder was auch immer ja? Und dann
-
sagen sie such dir drei Dateien aus, die
schicken wir dir ja, das heißt sie geben
-
dir die komplette Liste, du kannst dir
drei aussuchen, die kriegst du zurück und
-
damit beweisen sie dass du dass sie diese
dass Sie alle Dateien haben ne. Hier ist
-
deine x Doc X Y xlsx und zxe, das Gute ist
die die Liste der Dateien kriegst du für
-
umme ja und die brauchst du um den Schaden
abzuschätzen, der beispielsweise bei einer
-
Veröffentlichung droht, potenziell aber
z.B auch für die dsgvo Meldung also diese
-
die Liste an Dateien gibt's kostenlos und
in vielen Fällen selbst, wenn man gar
-
keine Absicht hat zu bezahlen, lohnt es
sich die sich zu organisieren ja?
-
Kostenlose Leistung die man hier kriegt.
-
viele lachen
-
Und dann sagt man sowas wie du weißt du,
wir stellen gerade von Tapes wieder her
-
das dauert zwar ein bisschen, aber
eigentlich sind wir hier guter Dinge. Dann
-
sagen die, stell dir mal vor wenn wir das
alles veröffentlichen und man sagt so ja
-
eigentlich ist da jetzt nichts großartig
kritisches dabei! Wir verkaufen das an die
-
Konkurrenz! Auch immer ein sehr spannender
Fall, ja, wenn man diese Gespräche führt
-
ja und die Betroffen Unternehmen sagen, oh
mein Gott die verkauft das an die
-
Konkurrenz, oh mein Gott die Verkauf das
an die Konkurrenz, wenn man sagt ok, pass
-
auf, ich mache euch ein Angebot, ich gebe
euch die Daten von der Konkurenz. Das
-
werden wir nie machen! Ja okay aber eure
Konkurrenz haltet ihr für so verkommen
-
dass Sie von irgendwelchen Gangstern für
Bitcoin eure Daten kaufen gelächter?
-
Also sagt man, kannst du gern probieren
wir gehen eigentlich nicht davon aus dass
-
sie dir da sonderlich viel Geld für geben
ja? Außerdem muss man tatsächlich sehr
-
traurigerweise sagen die Veröffentlichung
bringt meist einen sehr geringen Schaden
-
für dich selber weiß auch der Gründer und
CE von Motel One, Dieter Müller der sich
-
nachdem dem Motel One gebreached wurde und
alle Kundendaten ins Internet gegangen
-
sind, geweigert hat mit den Leuten zu
verhandeln und eventuell diesen Schaden
-
von den Kunden abzuwenden ja? Der Mann hat
geringe Ansprüche an sich selbst und hohe
-
Ansprüche an den Staat, denn an der
gesamten Misere ja dass alle Motel One
-
Kunden jetzt mit übernachtungsdaten und
allem im Internet stehen, ist natürlich
-
der Staat schuld, denn der Staat hat noch
keinen Weg gefunden seiner staatlichen
-
Hoheitsaufgabe gerecht zu werden und seine
Bürger und Unternehmen vor kriminellen
-
digitalen Angriffen zu schützen.
-
Einzelne Applaus
-
Kann natürlich jetzt auch nicht seine
Schuld sein. Wie ich habe schon gesagt,
-
der Mann hat geringe Ansprüche an sich
selbst, hohe Ansprüche an den Staat,
-
Coronazeiten waren irgendwo im Bereich 100
Millionen Coronahilfen die der
-
eingestrichen hat, dadurch hat Motel One
am Ende seine Geschäftsergebnisse
-
signifikant verbessern können und er hat
noch ein paar Interviews gegeben dass das
-
eine Frechheit wäre und zu wenig.
-
Gelächter
-
Aber tatsächlich mal ne, man muss
tatsächlich sagen Motel One hat de facto
-
keinen Schaden dadurch, dass diese Daten
veröffentlicht wurden. Irgendwann ich
-
glaube es war man sieht es im Bild 2021
wurde extensure gebrided von lockbit und
-
das F ich natürlich sehr interessant also
haben wir auf dem loogbit Block so den
-
Countdown geguckt und so ne und dann
wurden irwann die Daten von extenser
-
veröffentlichicht da hat man sich ja dann
doch mal für interessiert, das war aber
-
total so ein einzeldownload ja, du
konntest jede Datei einzeln das war total
-
unsortiert umständlich zeitaufwendig ja
und die wurden auch immer wieder offline
-
genommen und dann wurde die Deadline
verlängert wann die released werden und
-
irgendwie sind sie jetzt nicht mehr zu
finden. Ich denke warum die Angreifer so
-
und nicht anders veröffentlichen ist ganz
klar, in dem Moment wo sie vollständig
-
veröffentlichen, haben Sie Ihr Kind mit
dem Bade ausgegossen, es wird niemand mehr
-
bezahlen, wenn sie aber so scheibchenweise
veröffentlichen, können sie potenziell
-
noch weiter erpressen und dich doch
überzeugen denen etwas Geld zu geben. Denn
-
für sie ist das ja eine Alles oder Nichts
Situation und diese Dateien zu
-
veröffentlichen, dann haben sie halt statt
irgendwie potenziell Millionen einfach nur
-
ein mahnendes Beispiel für den nächsten
und ein Fall wo ich wieder erzählen kann
-
eigentlich kein Schaden entstanden. Wir
haben auch darüber gesprochen das nennt
-
man dann also die Angreifer wollen Druck
erhöhen ja, sie machen inzwischen auch mal
-
die Meldung an an die Behörden für dich
ja, auch da natürlich einfach um den Druck
-
zu erhöhen, weil Druck ist alles was die
haben, oder sie belästigen die Leute die
-
nicht zahlen ja, rufen dann z.B dort an
oder lassen dort anrufen oder erpressen
-
eben die Kunden um den rufschaden
irgendwie zu maximieren. Also die Gruppen
-
arbeiten daran diesen Rufschaden zu
vergrößern. Ja in unserem Beispiel sagen
-
wir mal wir würden jetzt irgendwie in
Richtung einer Zahlung uns orientieren,
-
dann sagen wir Bruder, wie sollen wir dir
überhaupt vertrauen? Und dann sagt er mein
-
Freund wir sind die cyberswan Gruppe,
google uns wir haben fünf Sterne auf yelp!
-
viele lachen und es ist es ist natürlich
wirklich wichtig für diese Mechanik der
-
Verhandlung zu wissen, die müssen auch
ihren Ruf schützen. Wenn die euch
-
betrügen, dann wird das ja bekannt und
dann zahlt ihnen niemand mehr. Das heißt
-
Vertrauen ist für die eine entscheidende
Sache ja? Außerdem haben die auch den
-
ganzen Rest des Internets noch vor sich,
dass sie jetzt ein zweites Mal dich
-
erpressen ist eher unwahrscheinlich. Aber
dann sagst du sowas wie ja boah das mit
-
den Tapes kennt sie ja dauert ey pass auf
wir zahlen dir 25 Dann kommen wir wollen
-
100 und du hast noch 7 Tage danach wird es
teurer und dann denkst das ist natürlich
-
jetzt auch wieder dieses Druck ne wir
wollen mehr Geld später und dann sagst du
-
ja pass auf Alter in 7 Tagen sind wir
fertig, du kannst mir hier maximal 50
-
Millionen sparen, das muss aber auch
irgendwie businesscase für mich sein ich
-
zahle dir 40 ja? Dann sagen die wir wollen
70, das unser letztes Angebot, es gilt nur
-
24 Stunden und dann sagst du sowas wie, ey
Junge, je länger das hier dauert, umso
-
weniger ist deine Dienstleistung für mich
Wert, ich stell ja hier gerade von Tapes
-
wieder her. Und das ist der entscheidende
Punkt in diesen Verhandlung für die
-
Angreifer geht es um alles oder nichts,
also die stehen vor einer Situation dass
-
sie entweder von dir Geld bekommen oder
gar nichts und dann haben Sie noch die
-
Kosten dass sie deine Daten
veröffentlichen müssen und genau da musst
-
du diesem Druck wiederstehen, der
zeitliche Druck wird von denen nur deshalb
-
angebracht weil sie also weil sie wissen
je länger Du nicht zahlst desto
-
unwahrscheinlicher zahlst du. Insofern ist
das durchaus sinnvoll in einer solchen
-
Situation , wenn du die Zeit hast, auch
tatsächlich auf Zeit zu spielen, weil die
-
Wissen je länger der Spaß hier geht umso
unwahrscheinlicher zahlst du. Na gut dann
-
kommt irwi sowas ja 60 Millionen weil du
es bist letzte Preis ja? Und dann sagst
-
du, das ist der Moment den die Kunden
meistens nicht wollen, ja? Dann sagst mal
-
ok tut mir leid ich erkläre die Behandlung
für gescheitert, hätte hier eine Win-Win
-
Situation werden können aber na ja
vielleicht beim nächsten Mal.
-
viele lachen
-
Und dann kommt, ok lass mich mal mit dem
Boss reden.
-
viele lachen
-
Du verhandelst jetzt mit dem Level One
Customer Support! Und der hat klare
-
Grenzen und erst wenn der mit jemand
anders reden muss über den Deal den er dir
-
machen kann, merkst du dass du vielleicht
langsam in einen Bereich kommst der
-
vielleicht für dich auch interessant ist
ja? Natürlich kann auch das ein Spiel sein
-
aber in diesem Fall werdet ihr gleich
sehen war es nicht, es gibt einen Boss.
-
Dann kommt eben sowas her: ok 50%
allerletzte Preis ja und dann sagst du
-
sowas eh, woher weiß ich dass du die Datei
überhaupt wieder herstellen kannst? Ja
-
auch das erst ganz am Ende machen, weil
das ja ein Interesse überhaupt
-
signalisiert also die Prüfung, dass Sie
Dateien wiederherstellen können jede
-
Ransomware Gang bietet dafür an, schick
mir zwei Dateien mein Freund, entschlüssel
-
ich dir, kriegst du zurück, schickst Du ja
hier ist A encrypted und B encrypted und
-
dann schickt er dir die entschlüsselten
Dateien zurück. Das ist ein sehr wichtiger
-
Schritt den man keinesfalls vergessen
darf! Du musst dich vergewissern, dass
-
dein Freund die Dienstleistung auch
wirklich erbringen kann, sonst riskierst
-
du mit diesen Leuten hier zu tun zu haben.
Das war wannacry ihr erinnert euch die
-
ganze Ransomware hat in der Welt nur drei
Bitcoin Adressen angegeben und als ich die
-
doppelten Screenshots gesehen habe mit dem
gleichen Bitcoin Wallet war mir auch
-
sofort klar, die werden die Zahlung nicht
zuordnen können, hier besteht keine
-
Absicht der Wiederherstellung. Und war ja
auch bei Wannacry nicht so also wichtig
-
sicherstellen und erst spät sicherstellen
weil damit signalisierst du überhaupt
-
Interesse an der ernsthaftes Interesse an
der Wiederherstellung. Und dann kommen die
-
klugen Leute und sagen hey vorsicht wenn
du zahlst, dann hacken sie dich direkt
-
wieder. Und das ist aber Quatsch, übrigens
hier das ist also auf dem Sixpack steht
-
Mythos auf dem nächsten Sixpack steht
Realität aber dol i kann nicht so gut
-
schreiben wie ich. Die Realität ist
-
lächeln
-
der Rest des Internets wartet auf Sie die
haben überhaupt gar keinen Grund noch mal
-
dich zu hacken, die geben auch übrigens
Garantien dass diese Ransomware Gang dich
-
nicht noch mal hackt. Es gibt aber genug
Andere also früher oder später musst du
-
dich schützen und ich kenne mehrere Fälle
in den die CEOs oder der Vorstand, oder
-
sonst was nach der Zahlung gesagt hat,
jetzt haben wir es hinter uns lehnt euch
-
zurück, fahrt die Systeme wieder hoch,
alles rein ins ad und den MySQL Server in
-
die Cloud und gebt ihm und kurze Zeit
darauf war das Geschrei groß, ja? Also ihr
-
kommt sowieso nicht drum herum euch besser
zu schützen am besten macht ihr das bevor
-
ihr den Case habt, aber egal ob du zahlst
oder nicht die Anderen werden kommen, ja?
-
Du hältst dir eine von 100 Gangs vom Leib
und dummerweise machen die nicht so eine
-
Garantie wie Schutzgeld, dass sie sagen
pass auf wenn die anderen Gangs kommen
-
dann prügeln wir die raus oder so.
-
lachen
-
Na ja, dann sagen Sie hier ist unser
unsere Bitcoin Wallet ja die nehmen
-
üblicherweise eine frische brauchen sie
auch damit sie erkennen dass die Zahlung
-
von dir ist. Du nimmst üblicherweise eine
frische und schickst mal ein satoschi
-
rüber, ja? Achtung, das ist interessanter
Moment weil dann sehen die wie viel Geld
-
auf deinem Wallet liegt. Ja in dem Moment
beweist du dass du über ein über eine
-
Summe verfügst. Es kann also durchaus auch
interessant sein an der Stelle vielleicht
-
doch nur 40 da liegen zu haben statt der
50 und zu sagen hey Scheiße, Freitagabend,
-
du weißt wie das ist, neh, ich habe jetzt
echt nicht
-
viele lachen
-
Dann sagen sie, ist angekommen und dann
schickst du den Rest und jetzt kommt sehr
-
ein sehr wichtiger Hinweis, bezahle nur
wenn du ein Business Case hast. Du hast
-
meistens keinen, das Einzige was hier eine
Rolle spielt ist, dass deine
-
Wiederherstellung potentiell schneller
geht. Alle sonstigen Folgekosten die
-
Systemeherten, die Systeme desinfizieren,
Dinge maximal neu aufbauen, eine komplette
-
Renovierung deiner Infrastruktur, die
Kosten hast Du ohnehin, die hast du auch
-
jetzt schon vor dir, weil du es e machen
musst entweder bevor du gebreacht wurdest
-
oder danach. Das heißt du musst diesen
Case wirklich sehr genau durchrechnen
-
bevor du in Erwägung ziehst eine solche
Zahlung vorzunehmen. Wenn du es dann
-
gemacht hast, kommt sowas wie Yow, wir
haben deine Dateien gelöscht, hier ist das
-
deleition Lock, also das Output von rm-RF.
Das sieht dann so aus, und Linus lächelt
-
ich meine die haben sogar ihre local
language auf Russisch eingestellt, ja?
-
also man sieht hier unten die Translation
für gelöscht und Verzeichnis gelöscht also
-
ein Output von rm-RF. Und dann sagen sie
yoh, wir bereiten jetzt dein Decrypter
-
vor.
-
einzelne gelächter
-
Und man denkt so, bei den anderen geht das
eigentlich immer relativ schnell. *Linus
-
lächelt* So nach einer Stunde fragt man
mal nach und dann kommt, eh ich kann den
-
Typen nicht erreichen, hab mal kurz gedult
bitte und dann kann das manchmal ein
-
bisschen dauern und dann kommt hey, hier
ist der Decrypter, sorry der Typ war
-
draußen einen saufen, Ja?
-
video läufzt, alle lachen
-
Und an dieser Stelle zeigt sich, du
würdest dem Level One Support auch keinen
-
Schlüssel geben der Millionen wert ist,
weil dann machen sie side Deals ja? Dann
-
verkaufen die den Schlüssel über ihre
eigene Konten. Klüger hat das LV gemacht,
-
blackcat be denen war das so, die haben
quasi also auf Ihrem Server war das
-
Bitcoin Wallet direkt angegeben und hat
das immer gepollt, ja? Und das heißt auch
-
die Veröffentlichung von den decryption
Tools und deinem Pentestbericht erfolgte
-
automatisch, so haben die den Key von den
von ihren Verhandlern weggehalten. Bei
-
dieser Gang die ich hier im Beispiel hatte
war es eben so, dass sie manuelle
-
Interaktion oder oder direkte Interaktion
mit ihrem Chef brauchten und die hatten
-
halt echt nicht dessen die Nummer, nah?
Die können halt auch nur mit dem über
-
diesen Chat kommunizieren, aber ich bin
ehrlich die Stunden bis wir den Decrypter
-
hatten waren etwas weniger entspannt, auch
wenn ich mir relativ sicher war, dass sie
-
die Zahlung machen würden. Und Kai kann
noch mal ein bisschen was darüber reden,
-
wie es dann auf der anderen Seite
aussieht.
-
Kai: Wir machen noch mal ein kleinen
Exkurs zu den Leuten, die auf der anderen
-
Seite sitzen. Das interessante an diesen
Modellen ist, wir kommen auch gleich noch
-
zum Level 1 Support. Das interessante an
diesen Modellen ist dass sehr viel
-
outgesourced ist, wie in der Wirtschaft
auch an sogenannte Affiliates, da ist
-
Einer. Das sind Menschen die sozusagen auf
eigene Rechnung für irgendeine Ransomware
-
Familie arbeiten und ihre Beute teilen,
die Deals sind meist 75% für diese
-
Menschen, 25% oder 20% für die Gäng
dahinter, die Vermieter den wir vorhin
-
gesehen haben. Das hier ist Sebastian
Vahoung, ein Kanadier inzwischen
-
verurteilt. Der hat für Networker
gearbeitet, wieder eine sehr große Familie
-
und war der eifrigste Affiliate von
Networker. Der hat dutzende Angriffe
-
gefahren und allein er hat 1400 Bitcoin
eingesammelt mit diesen Erpressung, damals
-
27 Millionen Dollar. Jetzt fragt man sich,
wer ist so ein Mensch, ja? Dem ging es gar
-
nicht so schlecht, das war sein Häuschen
schon vorher, der wohnte da. In der Nähe
-
von Ottawa war nettes kleines Häuschen,
sieht ganz gemütlich aus, der war
-
Computertechniker Universität Ottawa, aber
der war so der Typ Kleinkrimineller der
-
irgendwie so ein bisschen mehr will vom
Leben als das was ihm sein dayjob bietet.
-
Der ist auch schon mal mit Drogendelikten
aufgefallen, hat 123 kg Marijana vertickt
-
viele Lachen
-
Kleinkram. Und ja das war dann beim
Verhör, da war er nicht mehr so... Ich
-
fand den Fall sehr interessant, ich habe
ihn ein bisschen zugeguckt man konnte
-
durch dan Corona konnte man der
Gerichtsverhandlung im Internet folgen,
-
wenn man so ein Link sich geholt hat von
den Behörden dort und ein stiller
-
freundlicher nicht blöder Mensch wie
gesagt, ich glaube er wollte ein bisschen
-
mehr vom Leben, das wird er jetzt nicht
mehr kriegen. Und er ist auch deswegen ist
-
er hier in der Sammlung ein Beispiel dafür
dass die Täter Fehler machen. Auch das
-
finde ich wichtig, die sind nicht
unfehlbar. In dem Fall hier war das FBI in
-
der Lage, wieder das FBI, die sind sehr
aktiv seit einigen Jahren. Die Stufen
-
Ransomware auf der Höhe von Terror ein in
was ihre Ermittlung angeht inzwischen, nur
-
so zur Wichtigkeit, das FBI hat den Server
geknackt auf dem die Networker Leute mit
-
ihren Affiliates geredet haben, neh die
müssen ja reden miteinander, ich war hier,
-
ich war da und diese Affiliates die müssen
belegen dass sie irgendwo eingebrochen
-
sind, dazu laden Sie Screenshots hoch der
kopierten Daten, und in einem dieser
-
Screenshots waren Metadaten Screenshot
2.png enthielt Metadaten und in Metadaten
-
stand Sebastian Vahoun. Passiert den
besten von uns. Außerdem nutzte er für die
-
Kommunikation mit diesem Server zwar eine
anonyme E-Mailadresse, war aber zu faul
-
die auch anonym abzurufen, sondern sendete
sich die E-Mails weiter an seine private
-
Mailadresse
-
viele Lachen.
-
Über die auch seine amazon Bestellung
liefen, so dass das FBI sofort auch seiner
-
Adresse hatte.
-
einzelnes Lachen
-
Passiert im besten. Ja also die müssen
miteinander reden, ganz kurz, die brauchen
-
irgendeine Infrastruktur um zu
kommunizieren und das meist der Ort wo sie
-
angegriffen werden von Ermittlern.
Übrigens Sebastian Vahoug sitzt jetzt für
-
20 Jahre in den USA, danach dann noch drei
Jahre Bewährung und ich glaube dann muss
-
er noch die Freiheitsstrafe absetzen, die
er in Kanada noch egal länger. So, also
-
diese Leute bilden Banden, die Sourcen
aus, die sind relativ organisiert und es
-
sind ganz normale Menschen, ja, keine
Götter, keine Superhacker. Das sind
-
normale Menschen die Fehler machen. Und
diese Arbeitsteilung dieser Band geht
-
sogar noch viel weiter, hier seht ihr die
unterste Ebene, hier seht ihr den Level 1
-
Support. Das ist Alla Witte, eine, ich
bedauere sie fast, inzwischen. Eine Frau,
-
die in der Sowjetunion geboren wurde, sie
hat dort mal Programmiererin für
-
Funktechnik gelernt, sie ist inzwischen 57
Jahre alt, hat ein bisschen Pech gehabt im
-
Leben, verwitwet, hat mit Scientology zu
tun egal. Jedenfalls sie schlug sich so
-
durch mit dem Programmieren von Websites,
lebte in Surinam zu dem Zeitpunkt und
-
programmierte auch für kleine Unternehmen
so ein bisschen HTML und solche Dinge und
-
dann bekam sie ein Jobangebot 2017 von
einer russischen Softwarefirma, so sagt
-
sie es. Ja mit der konnten wir auch reden.
Dann gab's so ein Einstellungstest online,
-
da musste sie so ein paar technische
Fragen beantworten, den hat sie bestanden
-
und dann hat man ihren Job angeboten, hat
gesagt, pass auf 800 € im Monat kannst du
-
von uns haben und dafür machst du hier so
Entwicklertätigkeiten. Kam ein kleines
-
Team mit neuen Leuten und die kannten sich
alle nur über Java. Und ihr Job war es
-
dann, und da fingen sie dann doch an
drüber nachzudenken, ob das das richtige
-
ist, sowas zu programmieren, nämlich
Webseiten mit der Benutzeroberfläche auf
-
der dann steht "ihr Computer ist
infiziert". Kai lächelt Entschuldigung
-
das wieder eine von dolies Erfindung, aber
ich fand sie sehr hübsch. Und die
-
Softwarefma, für die sie dort gearbeitet
hat war Conti, eine der größten und
-
organisiertesten Ransomware Banden die die
Welt bislang gesehen hat , oder die größte
-
und organisierteste, und ja Alla Witte war
wie gesagt relativ unbedarft am Anfang,
-
das glaube ich ihr sogar, weil bei Jabber
hat sie sich noch angemeldet mit ihrem
-
echten Namen Alla Witte, also den Jabber
Server wo die Gang miteinander
-
kommunizierte und der dann später geliegt
wurde durch ein ROG Mitglied dieser Bande,
-
so dass ihr Name relativ schnell klar war
deswegen, war sie auch die erste die
-
Probleme bekam. Also sie war in Surinam
und eines Tages stand die Polizei von
-
Surinam vor ihrer Tür und sagte, sorry wir
nehmen Sie jetzt mit, ihr Visum ist
-
abgelaufen und ihre Computer und so
sammeln wir auch alles ein und wir
-
schicken sie zurück nach Lettland, wo sie
herkam. Sie sind hier nicht mehr
-
erwünscht, ja. Der Flug landete dann
seltsamerweise in Miami zwischen, da stand
-
dann wieder das FBI und nahm sie mit in
ein Gefängnis nach Ohio und da blieb sie
-
relativ lange, weil das FBI glaubte okay
wir haben hier sozusagen die Hacker Queen,
-
die kann uns was über Konti erzählen, das
war vor dem leack. Nah, das FBI hat sie
-
vorer gefunden und hoffte, sie kann ihn
viel verraten, aber sie kannte echt nur
-
die neun Leute aus ihrem Team, das waren
alles kleine freischaffende
-
Softwareentwickler, System Admins , die
sich ein bisschen was dazu verdienen
-
wollten. Sie konnte ihnen nicht viel
sagen, deswegen saß sie zwei Jahre dort im
-
Knast ohne Prozess. Und es passiert
einfach nichts, in der Zwischenzeit kam
-
der Konti Leack und alle Welter erfuhr
über diese Gang. Inzwischen ist sie
-
freigelassen worden aus den USA, ist
wieder zurück jetzt wieder in Lettland in
-
Riga. Die meisten Vorwürfe wurden fallen
gelassen, außer einer Verabredung zum
-
Computerbetrug, aber das also es reichtte
nicht um sie weiter festzuhalten, wie
-
gesagt sie lebt in Riga, sie tut mir
wirklich etwas leid. Inzwischen geht sie
-
putzen. Das ist, ihr seht hier so die
Struktur, von Konti das ist die unterste
-
Ebene dieser wirklich organisierten Gang
und wir reden hier über die die Profis der
-
Branche. Die hatten alles, die hatten
Chefs, die sich darum kümmerten Büros
-
anzumieten in denen die Leute wirklich von
8 bis 5 gearbeitet haben, ja, die kamen
-
da. Die wurden über Foren angeheuert und
für day Jobs und die waren wie eine Firma
-
organisiert. Ich zeige euch gleich noch
zwei Mitglieder davon aus dem
-
Führungsebene. Bis heute sind nicht alle
identifiziert, vor Allen nicht der Kopf
-
der Bande Stern, der ist nur unter diesem
Händel bekannt, ich soweit ich weiß weiß
-
bis heute niemand wer das ist, das ist ein
Zeichen dafür dass es schon auch sehr
-
fähige kriminelle in diesem Bereich gibt
aber es sind Wenige. Und wenn ihr so wie
-
Linus mit diesen Leuten zu tun habt, habt
ihr nicht mit diesen Leuten zu tun
-
niemals, also die machen sich die Finger
da nicht mehr mit schmutzig, sondern es
-
ist wie gesagt der Level 1 Support, aber
es ist auch ein Beispiel, ja diese Banden
-
machen Fehler, aber ja Sie können auch gar
nicht so schlecht sein, wenn man Pech hat.
-
Noch ein paar Gesichter, hier ist einer
der Manager Maxim Galochkin, hat ein paar
-
Softwarefmen, ist pleite gegangen, kommt
aus Abakan in Russland, lebt da glaube ich
-
noch immer, soweit zum seine Social Media
Profile das hergeben. Der war zuständig
-
dafür, dass also die haben alle
Virencanner, die es auf dem Markt gab,
-
sich so besorgt und er musste testen ob
ihre Schadsoftware da durchgeht idR
-
Evasion heißt das habe ich mir sagen...
L: idR Evasion, ja.
-
K: Der baut auch den Kryptolocker, also
die Daten verschlüsselt, also sein Team.
-
Er war Teamleiter und Manager, ja Maxim
wandert gern, der hält nichts von
-
Covidimpfung, ist ein großer Putin Fan und
Verteidiger des Ukrainekrieges oder das
-
Kriegs des Angriffs auf gegen die Ukraine
und Anhänger irgendeines Komisischen
-
Gurus. Letztlich ein ganz normaler Mensch.
-
viele Lachen
-
ist in Abwesenheit angeklagt in den USA,
weil er Teil von Konti sein soll. Hier ist
-
noch einer eine Ebene tiefer ein
Teamleiter Oleg Kugarov aus Tolyati bei
-
Samara, 50 Jahre alt. Ich finde den
interessant, den man, weil also er nennt
-
sich selber reverse engineer und mail
Analyst und scheint schon länger in der
-
Branche zu sein, also länger als Andere,
viele Andere kommen wirklich aus legalen
-
Bereichen und suchen verzweifelt einen
Job. Viele können auch kein Englisch und
-
finden in englischsprachigen Industrien da
ja keinen Job, also man könnte ja auch
-
remote arbeiten und finden kein Job, sie
können halt nur russisch und gehen dann zu
-
einer russischen Softwarefirma. Ja Oleg
verkauft z.B Zero days im Darknet,
-
zumindest habe ich so ein paar Hinweise
darauf gefunden und, was ich auch
-
interessant finde, der hat sich schon 2014
bei hacking Team beworben. Hacking Team
-
war hier beim Kongress schon ein zwei mal
Thema. Das war eine recht berüchtigte
-
Firma die Späsoftware herstellte und von
Finineas Fischer aufgebohrt und aus dem
-
Wasser geblasen wurde, und für Konti hat
er Leute angeworben und geführt als
-
Teamleiter ja. Er grillt gern, er hat ein
shibaainu, Namen Simba, ein kleines
-
Häuschen, man sieht ih da in seiner
Straße. Wie ernst diese Gangs sind, sieht
-
man unter anderem daran, dass die USA
bereits sind 10 Millionen Dollar zu zahlen
-
für Hinweise, auf die noch nicht bekannten
Mitglieder. Das ist schon ein Haufen Geld
-
und es heißt dass diese Branche bis heute,
die ganze Welt in Atem hält und kaum einen
-
interessiert es. Und wie gesagt ich finde
das immer noch seltsam. Noch dazu also
-
Konti hat sich nicht hat sich selber
zerlegt, neh. Das war nicht Ermittler, das
-
hat nicht geholfen Alla Witte da
einzusperren, sondern die haben sich
-
selber ruiniert. Und ja Linus wird jetzt
noch mal einen kurzen Vortrag über die
-
Lehren daraus halten.
-
Linus lacht
-
L: Also was ich noch mal sehr wichtig
finde, ist, ihr seht die leben dann
-
verhältnismäßig entspannt ja? Also wenn
man überlegt dass Konti war mal, blackhead
-
wurden irgendwie so um die also
üblicherweise werden immer so Einnahmen im
-
im 100 Millionen Bereich kriegen die hin
bis sie bis sie hochgehen ja. So ungefähr
-
das ist so die Region, wenn man sich das
anschaut. Und so viel Geld scheinen die
-
Leute an der Spitze ja auch nicht zu
haben, ich denke Kriminalität lohnt sich
-
vor allem wegen der Nebenkosten nicht, ja?
Also du hast, wenn du wenn dieses Geld
-
übergeht auf das auf das Wallet geht,
dauert wenige Minuten bis es von dort
-
verteilt wird auf viele tausend einzelne
wallets, also findet so ein
-
Geldwäschevorgang statt. Früher gerne von
Tornado Cash gemacht, heute vermutlich von
-
Anderen, weil der Betreiber von Tornado
Cash ja im Knast sitzt und keine Zugriff
-
mehr auf seine Systeme hat. Die müssen
sich in ihrer Interaktion sicher sein dass
-
es Menschen gibt die lieber 10 Millionen
haben können, wenn sie verraten wer Sie
-
sind, und das führt dazu, dass du auch
echt extrem, sag ich mal dein
-
Freundeskreis wird sehr teuer, ja, weil du
sicherstellen musst, dass jeder von denen
-
keinen Grund findet sich die 10 Millionen
zu holen. Also es ist eigentlich insgesamt
-
dann doch glaube ich kein Lebensstil der
sich empfiehlt, das nur noch mal am Rande.
-
Kommen wir zum Fazit. Wir wissen, wie die
Angreifer vorgehen und wie man sich
-
schützt von Conti. Wir haben es nicht in
dem Leak, die haben ein Manual die haben
-
halt Probleme gehabt Nachwuchs zu finden,
haben sie ein Buch geschrieben so ein
-
kleines PDF, wie man jetzt musst du da
klicken und dann musst Du hier ne Blatt
-
hauen und dann guckst du da und dann
kürzester Weg zum Domänenadmin, da musst
-
du das machen, da musst Du hier Mimicuts
und das ist alles drin, ja? Die Angreifer,
-
also du brauchst sowieso ein
Wiederherstellungskonzept, solange wir den
-
dieses diesen Sumpf nicht trocken legen,
dass wir gezwungen sind zu zahlen, werden
-
die das weiter tun, da hilft auch kein
Verbot der Zahlungen. Die Angreifer
-
verlieren aber auch alles, wenn Du nicht
zahlst. Also wenn du in der unglücklichen
-
Situation bist, in der du niemals sein
willst, stell ihn glaubhaft in Aussicht,
-
dass sie gar nichts bekommen, das ist der
einzige Weg den Preis nach unten zu
-
drücken. Sie wollen Druck erzeugen, beuge
dich dem Druck nicht und nehm ihn die
-
Druckmittel. Also wann immer die sagen,
hier Tage und so weiter, sagst du einfach
-
moment mal, neh, also mach mal ein
bisschen länger, also ehrlich gesagt keine
-
Ahnung, also auf Zeit zu spielen, macht
bei Ihnen den Druck, dass sie das Geld
-
nicht bekommen. Sie müssen einen Ruf
pflegen. Dich zu betrügen schidet ihn also
-
mehr, als es ihnen selbst nützt, ja? Also
es wäre für die, ist es günstiger einfach
-
den nächsten zu hacken und ihr Glück da zu
probieren, als dich noch mal zu hacken.
-
Das heißt aber nicht, dass es Andere nicht
tun. Ja also bitte bitte bitte, ihr müsst
-
euch so oder so schützen! Die Liste der
extrahierten Dateien gibt's kostenlos, die
-
brauchst du für die DSGVO Meldung, schadet
nicht sich die abzuholen. Auch wenn du
-
zahlst, hast du hohe Folgekosten, du musst
dich sowieso noch schützen und du du musst
-
dich auch vergewissern, dass du wirklich
ein Business Case hast. Meistens hast du
-
den nicht, deswegen drücken die ja so bei
der Zeit, weil sie wissen, je länger du
-
über die Situation nachdenkst, umso mehr
Möglichkeiten dich da selber rauszuheben
-
findest du und umso besser geht's dir und
so wahrscheinlicher ist es, dass sie ihr
-
Geld nicht kriegen. Die Angreifer sind
nicht unfehlbar und trotzdem brauchst du
-
ein Wiederherstellungskonzept, so oder so
und zwar jetzt. Übrigens zum Thema
-
unfehlbar, hat mein Kollege Tobias heute
ne gestern einen Vortrag gehalten, der hat
-
den Titel unlocked recovering Files taken
hostage by Ransomware, weil wir als
-
kleiner Nebenaktivität unserer Aktivitäten
in diesem Bereich noch ein Decrypter
-
veröffentlichen. Dieser Talk ist Teil
einer Reihe, sie begann mit Hirnehaken,
-
sie ging weiter mit Disclosure Hack und
hackback von Kantorkel Dominik und mir
-
beim Camp. Sie hatte einen Höhepunkt
gestern mit Unlocked! dem Release des
-
decrypters für blackbuster von Tobias und
sie findet hoffentlich hier Ende mit
-
hierirner Hacken hackback Edition von Kai
Biermann und mir, weil damit sollte jetzt
-
zum Thema hoffentlich alles gesagt sein,
vielen Dank.
-
Applaus
-
Musik
-
K: Danke!
Herald: Wunderbar, super ja vielen Dank an
-
Linus und Kai.
-
37c3 Nachspannmusik
-
Untertitel von vielen vielen Freiwilligen und dem
C3Subtitles Team erstellt. Mach mit und hilf uns!