< Return to Video

37C3 - Hirne hacken: Hackback Edition

  • 0:00 - 0:13
    37C3 Anspannungsmusik
  • 0:13 - 0:18
    Engel: Ok dann freue ich mich euch alle
    sehr herzlich zu Hirne hacken der hackback
  • 0:18 - 0:23
    Edition begrüßen zu dürfen. Heute unsere
    zwei Vortragenden Linus Neumann und Kai
  • 0:23 - 0:29
    Biermann, beides bekannte Gesichter hier.
    Linus bekannt als IT security Consultant
  • 0:29 - 0:34
    und hatte das zweifelhafte Vergnügen schon
    mit unterschiedlichsten Ransomware Gangs
  • 0:34 - 0:39
    verhandeln zu dürfen oder zu müssen. Kai
    Biermann ist Investigativjournalist und
  • 0:39 - 0:45
    hat unter anderem Mitglieder der
    Ransomware Gang Conti entdeckt aufgedeckt
  • 0:45 - 0:50
    und heute werden sie uns ein bisschen was
    dazu erzählen wie man so spieltheoretisch
  • 0:50 - 0:56
    das Ganze verhandeln mit Ransomware
    Hackern angehen kann und was da die
  • 0:56 - 1:00
    spannenden Strategien sind. Bitte ein ganz
    herzliches Willkommen für Linus und Kai!
  • 1:00 - 1:10
    Applaus
  • 1:10 - 1:15
    Kai: Hallo Kongress eine Ehre hier zu
    sein! Danke euch! Das ist der Linus, der wurde
  • 1:15 - 1:19
    schon kurz vorgestellt, der mag gern
    reiten, schwimmen und hacken so viel zu
  • 1:19 - 1:24
    seinen Hobbys. Er wird öfters mal
    angerufen wenn irgendwo eine Firma
  • 1:24 - 1:29
    gecybert wird und deswegen steht er hier.
    Linus: Das ist der Kai, der hat keine
  • 1:29 - 1:36
    Hobbys die er öffentlich nennen möchte.
    Lachen Und ruft gerne mal an wenn jemand
  • 1:36 - 1:41
    gecybert wird weil er im
    Investigativressort von Zeit und Zeit
  • 1:41 - 1:47
    online arbeitet. Und wenn dieses Telefon
    so bei mir klingelt ist eigentlich der
  • 1:47 - 1:52
    erste Satz immer so: Linus, du musst
    sofort helfen, wir werden erpresst!
  • 1:52 - 1:57
    Gemurmel Und so als Einstieg möchte
    ich mal einen Fall von vor gar nicht allzu
  • 1:57 - 2:03
    langer Zeit schildern, wo ein Hacker oder
    eine Hackerin von einer eigenen Domain
  • 2:03 - 2:08
    eine E-Mail geschrieben hat.
    "Ich wurde angeheuert um Ihre Webseite zu
  • 2:08 - 2:13
    hacken, ich habe Zugriff auf alle
    Kundendaten und mein Kunde also der der
  • 2:13 - 2:18
    mich beauftragt hat zahlt zu wenig
    deswegen können Sie jetzt Ihre Daten
  • 2:18 - 2:22
    zurückkaufen und ich sage in die
    Schwachstelle."
  • 2:22 - 2:25
    wachsendes Lachen
  • 2:25 - 2:29
    Linus: Klang schon mal jetzt nicht so auf
    Anhieb überzeugend ja? Und dann auch was
  • 2:29 - 2:34
    ich sehr schön finde du so unmittelbare
    Selbstbeschuldigung: "Mir ist klar dass es
  • 2:34 - 2:38
    ihre Daten sind und ich der Kriminelle bin
    der sich Zugang zu ihnen verschafft hat,
  • 2:38 - 2:42
    werden sie jetzt aber nicht emotional,
    stellen Sie sich einfach nur mal den
  • 2:42 - 2:44
    Schaden vor wenn ich veröffentliche."
  • 2:44 - 2:47
    Lachen
  • 2:47 - 2:52
    Linus: Ja und ich habe ja schon gesagt das
    war ein Erpresser ja und er hat dann seine
  • 2:52 - 2:56
    Forderung uns mitgeteilt: "ich will
    2000€".
  • 2:56 - 3:04
    LachenLinus lacht
  • 3:04 - 3:09
    L: Ja wir haben dann halt die SQL
    Injection gefixt und ich sag mal so mit
  • 3:09 - 3:14
    ein bisschen mehr Forderung hätten wir ihn
    wahrscheinlich auch ernst genommen, haben
  • 3:14 - 3:18
    uns dann aber entschieden vielleicht
    erstmal nicht zu antworten, worauf hin er
  • 3:18 - 3:22
    sagte "Ich muss dem Kunden jetzt in 24
    Stunden antworten und Sie müssen sich
  • 3:22 - 3:28
    jetzt entscheiden, das ist kein Blöff."
    laute Lachen
  • 3:28 - 3:32
    Da haben wir erstmals ein Tee getrunken.
    lachen
  • 3:32 - 3:37
    Und dann schrieb er wieder "ich gebe ihn
    noch mal 24 Stunden viele lachen
  • 3:37 - 3:44
    aber aber dann aber dann!"
    L: Ja doch ist ein Blöff ja haben also
  • 3:44 - 3:49
    erstmal nichts gemacht und dann schrieb
    er: "also ich gebe ihnen jetzt noch ein
  • 3:49 - 3:53
    letztes Mal 24 Stunden dann aber wirklich!
    Und dann wurden die Drohungen "sagt er,"
  • 3:53 - 3:58
    und sie haben können sich gar nicht
    vorstellen, was jetzt noch alles passiert
  • 3:58 - 4:02
    und ja." So der Kunde wurde auch, was wenn
    er noch irgendwas Anderes hat und wir so
  • 4:02 - 4:06
    na ja, wenn er noch irgendwas Anderes
    könnte dann wird er wahrscheinlich nicht
  • 4:06 - 4:14
    2000€ fordern. Und wir haben uns aber
    gewundert, was ist das denn für Einer? Ja?
  • 4:14 - 4:19
    Also was ist das für ein Typ der so
    richtig wohlformulierte lange E-Mails
  • 4:19 - 4:24
    schreibt ja? Und uns war irgendwie nicht
    so klar, es war wohlformulierte Sprache,
  • 4:24 - 4:28
    ich sag jetzt nicht welche, aber sie war
    schön formuliert und wir hatten zwei
  • 4:28 - 4:33
    Hypothesen. Die eine war dass ist irgend
    so ein Abiturient der von zu Hause im
  • 4:33 - 4:37
    Kinderzimmer irgendwie meint er wäre jetzt
    der große Hacker, weil das könnte erklären
  • 4:37 - 4:42
    dass er 2000€ für viel Geld hält lachen
    oder ist Irgendjemand mit Chat GPT in
  • 4:42 - 4:46
    Indien oder so für den das potenziell auch
    viel Geld wäre. Also haben wir uns überlegt
  • 4:46 - 4:50
    na ja lass uns doch mal rausfinden. Ja
    haben uns entschieden wir antworten doch
  • 4:50 - 4:54
    mal und haben da gesagt:
    L: Also pass auf du solltest deine Server
  • 4:54 - 4:58
    echt nicht in der EU hosten, weil
    Gelächter die Polizeibehörden hier
  • 4:58 - 5:04
    arbeiten zusammen ja? Und diese Domain die
    du da hast die solltest du echt nicht mit
  • 5:04 - 5:09
    der Kreditkarte zahlen.
    Linus lacht, viele Lachen
  • 5:09 - 5:14
    Und wenn du dein SQL Map Angriffe versuch
    das doch mal über TOR wenigstens statt von
  • 5:14 - 5:20
    deinem anderen VServer aus, ja? Kam
    erstmals nichts. einige lachen und dann
  • 5:20 - 5:24
    hab ich gesagt:
    L: Pass auf in 24 Stunden
  • 5:24 - 5:29
    sehr viele Lachen, Applaus
  • 5:29 - 5:34
    geht unser Bericht ans LKA. Die
    Datenschutzmeldung haben wir ohnehin schon
  • 5:34 - 5:38
    gemacht, was soll schon noch kommen ja?
    Haben wir ihm Angebot gemacht haben
  • 5:38 - 5:41
    gesagt:
    L: Pass auf wenn du deine Daten löscht
  • 5:41 - 5:44
    bekommst du McDonald's Gutschein
    viele lachen
  • 5:44 - 5:54
    über 100€ und dann kam eben so, "Eh, meine
    offshore Server sind verschlüsselt!" L: Wie
  • 5:54 - 5:59
    so ... was für Offshore Server? was für
    Verschlüsselung?
  • 6:00 - 6:08
    "Ich will 2000€ sie haben 24 Stunden,
    sonst..." einige lachen
  • 6:08 - 6:12
    L: War wieder die große Sorge, was macht
    er denn jetzt noch ne haben wir gewartet
  • 6:12 - 6:17
    und dann kam dedos einzelne Gelächter
    dann haben wir cloudflare dazwischen
  • 6:17 - 6:21
    geschaltet und dann waren wir fertig ja
    lachen
  • 6:21 - 6:25
    weil wir haben natürlich aus zwei Gründen
    hier nicht bezahlt: 1. die Forderung war
  • 6:25 - 6:28
    viel zu gering, das Geld wär viel zu
    schnell weg gewesen und der wäre wieder
  • 6:28 - 6:33
    gekommen und hätte mehr gewollt und ja ist
    auch nichts weiter passiert. Aber
  • 6:33 - 6:38
    natürlich sind nicht alle Diskussionen
    oder alle solche Fälle, wenn man mit einem
  • 6:38 - 6:42
    verwirrten Einzeltäter zu tun hat, so
    glimpflich und so einfach.
  • 6:42 - 6:49
    Kai: Und vor all so lustig. Das hier ist
    einer, das ist so ein Einzeltäter, der hat
  • 6:49 - 6:52
    mutmaßlich muss ich an dieser Stelle
    sagen, weil er steht gerade erst vor
  • 6:52 - 6:56
    Gericht und ist noch nicht verurteilt und
    er bestreitet die Tat obwohl es ziemlich
  • 6:56 - 7:00
    gute Indizien gibt, die ihr gleich sehen
    werdet. Das ist so ein Einzeltäter der hat
  • 7:00 - 7:06
    in Finnland eine Firma erpresst wastamo
    die Therapiezentren betreibt,
  • 7:06 - 7:13
    psychiatrische Therapiezentren und hat
    sämtliche therapeutischen Unterlagen
  • 7:13 - 7:20
    gecybert kopiert. Der hat sich alle
    Protokolle aus Therapiesitzungen, alle
  • 7:20 - 7:24
    Diagnosen von vielen vielen finnischen
    Menschen von deren Server geholt und hat
  • 7:24 - 7:32
    anschließend gesagt "ich will nicht 2000€
    sondern 40 Bitcoin". Das waren damals, ist
  • 7:32 - 7:39
    schon zwei Jahre her, ca 180 000€ und die
    Firma hat nicht reagiert. Die hat Tee
  • 7:39 - 7:46
    getrunken und daraufhin hat er den
    Patienten und Patientinnen eine Mail
  • 7:46 - 7:51
    geschickt die Daten hat er ja und hat
    gesagt ok, die Firma zahlt nicht dann will
  • 7:51 - 7:57
    ich von euch Geld 200€ in Bitcoin damit
    eure Therapieunterlagen nicht im Netz
  • 7:57 - 8:03
    veröffentlicht werden. Wer macht denn
    sowas? Hier ist so eine Selbstbeschreibung
  • 8:03 - 8:07
    von ihm, könnt ihr mal lesen wenn ihr Zeit
    habt. Ein lustiger junger Mann 25 ist er
  • 8:07 - 8:15
    inzwischen, er glaubt er ist ein großer
    Philanthrop und hat mit beim Umgang mit
  • 8:15 - 8:19
    Tieren schon viel übers Leben gelernt vor
    allem hat er früh schon Ärger gemacht, der
  • 8:19 - 8:23
    hat mit 15 seine erste Verurteilung
    kassiert, damals war er an Ddos Attacken
  • 8:23 - 8:26
    beteiligt und an einem Hobby namens
    swatting, ich weiß nicht ob schon mal
  • 8:26 - 8:30
    gehört habt. Das ist wenn man Leuten die
    Polizei nach Hause schickt ohne Grund,
  • 8:30 - 8:36
    kann sehr ärgerlich sein. Zurück zum Fall,
    der hat in Finnland für ziemliche
  • 8:36 - 8:40
    Aufregung gesorgt, das ist die damalige
    finnische Innenministerin, die fand diesen
  • 8:40 - 8:44
    data breach ein ziemlich shocking Act. Und
    die Formulierung ist interessant, weil es
  • 8:44 - 8:49
    mehr ein Fall von Data breach ist als ein
    Fall von hacking, denn und jetzt kommen
  • 8:49 - 8:53
    wir zu einem 2. wichtigen Punkt in unserem
    Talk. Die Betroffenen sind oft nicht so
  • 8:53 - 8:59
    ganz unschuldig an dem ganzen Problem. Der
    Server auf dem alle Therapieunterlagen von
  • 8:59 - 9:03
    allen finnischen Patienten und
    Patientin lagen war erstens eine
  • 9:03 - 9:08
    selbstgebaute mySQL Datenbank die hingt
    zweitens im Netz war drittens über Google
  • 9:08 - 9:12
    zu finden. Und nur durch ein
    Standardsystem Admin Passwort geschützt.
  • 9:12 - 9:23
    Gemurmel Auslieferungszustand sozusagen.
    Wer macht so was? Er, das ist der CEO dieser
  • 9:23 - 9:27
    Firma Vastaamo der war ganz betroffen
    darüber dass jemand seine Firma ruiniert
  • 9:27 - 9:31
    hat, die ist daraufhin nämlich pleite
    gegangen und wird bis heute verklagt
  • 9:31 - 9:35
    dafür. Der ist nicht betroffen darüber
    dass viele viele finnische Menschen
  • 9:35 - 9:41
    erpresst wurden, sondern darüber dass eine
    schöne Firma kaputt gegangen ist. Noch ein
  • 9:41 - 9:44
    Fakt zu den Patientendaten, den ich sehr
    interessant finde, sie waren nicht
  • 9:44 - 9:51
    anonymisiert und nicht verschlüsselt.
    Sollte man nicht machen wenn man so heikle
  • 9:51 - 9:56
    Gesundheitsdaten hat. Und die Firma hat
    auch Vorgaben des finnischen
  • 9:56 - 10:02
    Gesundheitssystems umgangen zur
    Datensicherung. Aber zurück zu unserem
  • 10:02 - 10:10
    Täter weil... Also er will 40 Bitcoin was
    tamamo zahlt nicht da haben wir ihn wieder
  • 10:10 - 10:16
    den kermit, daraufhin hat er eine schlaue
    Idee, er will um seinen Druck zu erhöhen,
  • 10:16 - 10:19
    weil das ist für den Erpressern immer sehr
    wichtig wie er auch eben schon gesehen
  • 10:19 - 10:24
    hat, er will den Druck erhöhen und sagt
    ok, wenn ihr nicht zahlt, dann liege ich
  • 10:24 - 10:31
    eben jeden Tag den ihr nicht zahlt liege
    ich 100 Patientenakten. Das Problem dabei
  • 10:31 - 10:35
    war, er hat es in ein finnischen imageboard
    gemacht, ich hoffe ich spreche das richtig
  • 10:35 - 10:40
    aus, yillilauter heißt es, das Problem
    dabei war, er hat so ein paar Informationen
  • 10:40 - 10:45
    seines Servers von dem er ausgeleakt hat
    mitgeleakt, K lacht, Gemurmel IP-Adressen und
  • 10:45 - 10:49
    solche Dinge. Worauf hin die Polizei
    dieser Spur folgen konnte und relativ
  • 10:49 - 10:53
    schnell dahinter kam dass da so ein
    Netzwerk von Servern existiert, dass Jemand
  • 10:53 - 11:02
    mit seiner Kreditkarte bezahlt hatte.
    einzelne Applaus Wird noch schöner. *Kai
  • 11:02 - 11:06
    lächelt* Das war nicht der einzige Hinweis
    auf ihn, den die Polizei fand also, wastamo
  • 11:06 - 11:17
    zaht nicht ja sind keine netten Leute. Der
    Mann reiste viel, er war er tauchte unter.
  • 11:17 - 11:21
    Also die Polizei hatte schon seinen Namen,
    sie ahnte wer es ist und suchte ihn in
  • 11:21 - 11:26
    Finnland und er ist abgehauen ins Ausland,
    hat aber die nicht sehr schlaue Idee
  • 11:26 - 11:28
    gehabt darüber im Internet zu posten.
  • 11:28 - 11:28
    Gelächter
  • 11:28 - 11:33
    Ja er hat wieder auf diesem imageboard
    JimmiLauter ein Foto gepostet wo er an der
  • 11:33 - 11:38
    französischen Küste es sich gut gehen
    lässt und sich diesen blödsiniges Wasser
  • 11:38 - 11:47
    ins Gesicht sprüht. Und hat dieses Foto da
    gepostet unter anderem von einem der
  • 11:47 - 11:51
    Server die im Zusammenhang mit der Tat
    standen, auch nicht so clever und noch
  • 11:51 - 11:56
    viel lustiger, dieses Foto war so gut, dass
    die Polizei einen Fingerabdruck nehmen
  • 11:56 - 12:06
    konnte.
    Viele lachen, Applaus
  • 12:06 - 12:11
    Die finische Polizei wusste jetzt also wo
    sie ihn suchen muss, in Frankreich.
  • 12:11 - 12:16
    Übrigens an dieser Stelle möchten wir
    einen kurzen Gruß an Starbug schicken, der
  • 12:16 - 12:22
    hat nämlich 2014 in einem Vortrag genau
    das prophezeit. Damals hat er von einem
  • 12:22 - 12:26
    Foto von Ursula von der Leihen, das in der
    Bundespressekonferenz aufgenommen worden
  • 12:26 - 12:32
    war den Daumenabdruck extrahiert und
    bewiesen dass das geht, danke Starbug! Die
  • 12:32 - 12:41
    finnische Polizei hat dir zugeschaut.
    Applaus
  • 12:41 - 12:45
    Nachdem wir uns jetzt mit ein paar
    Amateuren auseinandergesetzt haben die
  • 12:45 - 12:51
    eure Unternehmen ruinieren können oder
    sich selbst oder beides, wollen wir uns mal
  • 12:51 - 12:54
    kurz ein bisschen mit Profis
    auseinandersetzen. Und für mich ist das
  • 12:54 - 13:00
    ein bisschen ärgerlich, weil ich darüber in
    vielen Vorträgen seit nun mehr 7 Jahren
  • 13:00 - 13:05
    rede ja? Und zwar Ransomware es ist
    wirklich nichts Neues aber ich möchte kurz
  • 13:05 - 13:10
    eine kleine verkürze subjektive Geschichte
    der Ransomware erzählen. Ungefähr 2016
  • 13:10 - 13:15
    ging es los mit locky, das war so eine
    Ransomware fürs Privatkundengeschäft hat
  • 13:15 - 13:19
    irgendwie so local host sofort
    verschlüsselt und irgendwas im Bereich von
  • 13:19 - 13:24
    paar 100 Euro verlangt ja? Es kam dann
    später wannacry, das war im Prinzip auch so
  • 13:24 - 13:29
    eine local host randsomeware aber
    verbunden mit dem eternal blue Exploit hat
  • 13:29 - 13:34
    also im lokalen Netz nach SMB shares
    gecheckt und die auch noch mal infiziert
  • 13:34 - 13:39
    ja. Also ging so ein bisschen weiter rein.
    Irgendwann 2018 müsste ryuk damit
  • 13:39 - 13:44
    angefangen haben zu erkennen, dass das
    Backup der natürliche Feind der Ransomware
  • 13:44 - 13:50
    ist und hat sich darauf konzentriert in
    Richtung ad compromise zu gehen also
  • 13:50 - 13:53
    komplette Active Directory zu übernehmen
    und von dort aus in meisten Leute hängen
  • 13:53 - 13:57
    ja dummerweise ihren Backup Server ins
    Active Directory, was die schlechteste
  • 13:57 - 14:02
    Idee ist die man haben kann, und dann
    zerstören sie also erst die Backups und
  • 14:02 - 14:06
    rollen dann über eine Group Policy die
    Ransomware auf allen Hosts aus. Ja das fing
  • 14:06 - 14:16
    so ungefähr 2018 an und 2019 fing es an
    dass maze sich auch so ein bisschen mehr
  • 14:16 - 14:21
    auf fileshares spezifisch konzentriert hat
    und auf das Modell der Double extortion.
  • 14:21 - 14:24
    Double extortion könnt ihr euch so
    vorstellen dass man.. Ich erkläre es
  • 14:24 - 14:30
    gleich ne, weil ich möchte eigentlich noch
    mal kurz darauf reingehen wie katastrophal
  • 14:30 - 14:35
    es ist dass wir 2023 noch darüber reden
    ja? Seit 2019 mindestens ist das die
  • 14:35 - 14:39
    gleiche Masche, seit 2016 ist es ein
    Geschäftsmodell und es sollte einfach so
  • 14:39 - 14:43
    sein wie in jedem IT security lifeecycle,
    du hast eine Prävention wenn die
  • 14:43 - 14:47
    fehlschlägt hast du eine Detektion und
    wenn die fehschlägt hast eine Recovery.
  • 14:47 - 14:50
    Die meisten Leute gehen davon aus, dass es
    vielleicht nicht ganz so gut bei Ihnen
  • 14:50 - 14:54
    aussieht ne, haben eine Prävention
    vielleicht eine Detektion und die Recovery
  • 14:54 - 14:59
    eigentlich nicht ganz so gut. Aber wie es
    wirklich in der Realität für sie aussieht
  • 14:59 - 15:03
    so... und wenn man das mal nicht grafisch
    versinicht sondern so wie dann eine
  • 15:03 - 15:08
    Webseite aussieht, das wäre jetzt hier,
    ich glaube Blackcat Alfi die die vor 2 D
  • 15:08 - 15:13
    Wochen hochgegangen sind dann sieht das
    ungefähr so aus du hast eine Webseite
  • 15:13 - 15:17
    Forderung das ist ein Hidden Service und
    da wird dir dann erklärt wie du Bitcoin
  • 15:17 - 15:21
    kaufen kannst. Habe ich in Hirne hacken
    schon ausführlich erklärt. die Leute die
  • 15:21 - 15:26
    die Webseite sehen führen dann als
    nächstes ungefähr zu dieser Situation:
  • 15:26 - 15:29
    "Have you tried paing the ransome"?
    Weil das die einzige Möglichkeit
  • 15:29 - 15:33
    ist an die Dateien wieder
    ran zukommen. Wenn man das tut, sieht
  • 15:33 - 15:39
    eine Seite ungefähr so aus, wo es ein
    bisschen Instruktionen gibt wie man die
  • 15:39 - 15:45
    Dateien wiederherstellt und außerdem sind
    die Angreifer so nett, sie versprechen den
  • 15:45 - 15:49
    kompletten Bericht, wie sie reingekommen
    sind und ich denke natürlich als Security
  • 15:49 - 15:53
    Konz, alles klar ein ordentlicher Bericht
    ja cool so ein redteam Bericht da bin ich
  • 15:53 - 15:58
    mal gespannt. Das ist er ja und eine
    Standardantwort, die kommt in dem Moment wo
  • 15:58 - 16:02
    die Bitcoins gezahlt sind, erscheint die
    im Chat ja so quasi in in der gleichen
  • 16:02 - 16:06
    Zeit. Das heißt die ist hard codet in dieser
    Webseite drin und das bedeutet diese Web
  • 16:06 - 16:10
    diese Angreifer sind absolute onetrack
    Ponys die haben es hier mit meterpreter
  • 16:10 - 16:15
    gemacht, ja ihr könnt euch ungefähr
    vorstellen wie wenig idea du brauchst,
  • 16:15 - 16:21
    damit man meterpreter nicht erkennt ja und
    diese Angreifer sind onetrack Ponys und
  • 16:21 - 16:26
    du bist ihr Opfer. Wir alle kennen diesen
    klugen Satz, übrigens kann man immer sagen,
  • 16:26 - 16:30
    kann man immer sagen, nur nicht beim
    incident. Der kommt
  • 16:30 - 16:36
    Lachen, Applaus
  • 16:36 - 16:49
    also kommt nicht an, kommt nicht an. Ja
    learn from my fail ja? Lachen
  • 16:49 - 16:52
    Ich habe gerade gesagt wir sprechen über
    double extortion, double extortion
  • 16:52 - 16:56
    funktioniert so: die Angreifer haben
    gemerkt dass das Backup für sie ein
  • 16:56 - 17:00
    Problem ist und sagen Backup haben wir
    auch. L lacht Und das werden wir jetzt
  • 17:00 - 17:04
    veröffentlichen, ja? Das heißt sie
    erpressen dich einerseits oder sie
  • 17:04 - 17:09
    verlangen Lösegeld für deine Daten und
    erpressen dich gleichzeitig mit der
  • 17:09 - 17:13
    Veröffentlichung, haben also jetzt zwei
    Druckmittel gegen dich mit denen sie
  • 17:13 - 17:18
    versuchen Geld von dir zu bekommen. Und
    das Ganze passiert jetzt seit vielen
  • 17:18 - 17:24
    vielen Jahren und irgendwie Kai schreibt
    drüber, ich rede drüber, die Deutsche Bahn
  • 17:24 - 17:29
    hat schon mal auf ihren Anzeigetafeln
    gehabt, ja? lachen Aber niemand kümmert
  • 17:29 - 17:34
    sich drum und wenn du die Zeitung
    aufmachst ja, was was wird diskutiert?
  • 17:34 - 17:40
    Cyberwar... Was wäre wie fürchterlich wäre
    das Kai, wenn der Cyberwar jetzt käme?
  • 17:40 - 17:43
    Kai: Ja schrecklich oder?
    L: Das wäre doch total schlimm ja.
  • 17:43 - 17:48
    K: Ich mir wird langsam langweilig über
    Ransomeware zu schreiben ganz ehrlich weil es so
  • 17:48 - 17:53
    vorhersagbar ist. Und wenn man sich nur
    einen kurzen Moment vorstellen würde
  • 17:53 - 17:57
    überall in Deutschland würden maskierte
    Menschen in große und kleine Firmen
  • 17:57 - 18:03
    reinrennen ja? Würden die Computer nehmen
    und wieder rausrennen, was wäre in diesem
  • 18:03 - 18:09
    Land los? Also bei großen Firmen ja, Metro
    und wenzo, Continental und wen so alles
  • 18:09 - 18:12
    erwischt hat da rennen 100 Leute rein ja,
    reißen alle Rechner aus der Wand und
  • 18:12 - 18:16
    verschwinden, was wäre in diesem Land los
    wenn das jeden Tag dreimal passiert, ja?
  • 18:16 - 18:20
    Wir hätten den Kriegszustand den Cyberwar!
    Keinen interessiert, weil es digital
  • 18:20 - 18:25
    passiert und das verstehe ich immer nicht.
    L: Ich denke also der Cyberwar, den sich
  • 18:25 - 18:29
    vor dem sich alle fürchten übrigens ein
    absolut fürchterlicher Begriff, den ich
  • 18:29 - 18:32
    mir nicht zu eigen machen möchte, die
    Schrecken des Krieges sind unvergleichbar
  • 18:32 - 18:36
    mit ein paar Scharmützeln im Internet. Ja
    das ist klar vorweg zu sagen, aber wenn wir
  • 18:36 - 18:40
    uns davor fürchten digital angegriffen zu
    werden, dann könnten wir wahrscheinlich im
  • 18:40 - 18:44
    Moment irgendwann mal zu der Ansicht
    kommen, dass wir das falsche fürchten und
  • 18:44 - 18:48
    es jetzt schon schlimmer ist, als wir
    fürchten und wir müssen die bittere
  • 18:48 - 18:52
    Erkenntnis sehen, dass wir längst dagegen
    hätten etwas unternehmen können und wenn
  • 18:52 - 18:56
    irgendwann einmal der große Cyberwar
    losgeht, werden die Angreifer auch nicht
  • 18:56 - 19:01
    anders vorgehen als die Angreifer, die uns
    heute schon Millionen und Milliarden
  • 19:01 - 19:06
    Schäden verursachen. Deswegen gibt es in
    diesem Vortrag die einzig wichtige Folie,
  • 19:06 - 19:11
    die ich einmal kurz runterrattern möchte
    bevor wir uns wieder den Angreifern widmen
  • 19:11 - 19:15
    und den schönen Verhandlungen mit ihnen.
    Was ihr in einer solchen Situation
  • 19:15 - 19:19
    braucht, wenn ihr von Ransomware getroffen
    seid, ist ein priorisiertes
  • 19:19 - 19:23
    Wiederherstellungskonzept. Euer Problem
    ist nicht, dass alle Dateien weg sind, euer
  • 19:23 - 19:27
    Problem ist dass die Dateien von gestern
    und von vor zwei Wochen weg sind. Das
  • 19:27 - 19:31
    langzeitarchiv ist gar nicht das Problem,
    das Problem was diese Unternehmen haben
  • 19:31 - 19:35
    ist dass die Produktion oder der
    Geschäftsbetrieb unmittelbar sofort
  • 19:35 - 19:40
    stillsteht und das kostet sehr viel Geld.
    Was gibt's also für Best Practices für
  • 19:40 - 19:44
    eure Backups? Sie müssen unveränderbar
    sein Write only Backups, ein NutzerIn darf
  • 19:44 - 19:48
    nicht in der Lage sein ihre eigenen
    Backups zu löschen und es darf auch nicht
  • 19:48 - 19:52
    ein Admin oder eine Admina in der Lage
    sein diese Backups zu löschen zumindest
  • 19:52 - 19:57
    nicht mit den Rechten im AD vergeben
    werden. Es muss unabhängig sein auf einer
  • 19:57 - 20:01
    eigenen Infrastruktur, es muss isoliert
    sein, also komplett getrenntes identity
  • 20:01 - 20:06
    Access Management, keinesfalls im Active
    Directory. Wer den Backup Server
  • 20:06 - 20:11
    administriert, geht mit einer Tastatur und
    einem Bildschirm in den Serverraum und
  • 20:11 - 20:14
    steckt die da dran. Keine remote
    administration von dem Backup Server,
  • 20:14 - 20:19
    keine Verbindung in euer ad. Wir machen
    natürlich versionierte Backups, damit wir
  • 20:19 - 20:22
    auch frühere Zustände wiederherstellen
    können, wir machen verifizierte Backups.
  • 20:22 - 20:27
    Man könnte das ja einfach mal prüfen bevor
    man es braucht, ja! Wie viel Geld könnte
  • 20:27 - 20:32
    man da sparen, wenn man auch noch einen
    Fehler entdeckt, wir überwachen das Backup
  • 20:32 - 20:36
    also ist ein Backup erfolgt und ist der
    der Datenbestand auf dem fallserver
  • 20:36 - 20:40
    integer! Und vor allem machen wir unsere
    Backups risikobasiert also die
  • 20:40 - 20:45
    Wiederherstellung des Geschäftsmodells
    wird priorisiert. Die meisten Daten die
  • 20:45 - 20:50
    Ihr nicht bra.. Ihr Backup werdet ihr im
    akuten Fall nicht brauchen, ja wenn ihr
  • 20:50 - 20:53
    mal jemanden seht, der dann so ankommt
    sagt, wir haben alles auf Tape und du
  • 20:53 - 20:57
    denkst okay weißt du wie lange das dauert
    dieses Tape einzuspielen? lächelt Dann
  • 20:57 - 21:04
    verstehst du dass potentiell auch Leute
    diese Zahlungen in Erwägung ziehen die
  • 21:04 - 21:09
    Backups haben. Also bitte bitte bitte das
    sind alle Lehren die es hier zu ziehen
  • 21:09 - 21:12
    gibt, und das das was wir gleich über
    Verhandlungen berichten, das vergesst ich
  • 21:12 - 21:16
    am besten wieder ganz schnell, das war nur
    um euch hierher zu locken, weil uns Leute
  • 21:16 - 21:19
    immer danach fragen, wie denn so eine
    Verhandlung läuft. einzelne Applaus
  • 21:19 - 21:28
    K: Ich entschuldige mich für diesen
    Vortrag. Applaus
  • 21:28 - 21:32
    K: Es war etwas lehrerhaft aber ich glaube
    es musste sein. Kommen wir zurück zu den
  • 21:32 - 21:36
    lustigen Leuten. Wir sind ja durch eine
    Verkettung unwahrscheinlicher Zufälle
  • 21:36 - 21:41
    beide Psychologen mal gewesen und haben
    noch dazu dasselbe an delben Uni studiert,
  • 21:41 - 21:44
    wie wir später festgestellt haben,
    deswegen interessieren uns natürlich die
  • 21:44 - 21:48
    psychologischen Effekte dahinter und auch
    die Psyche der Täter, deswegen wollen wir
  • 21:48 - 21:52
    hier so ein paar vorstellen, damit ihr eine
    Vorstellung dafür kriegt, was sind das für
  • 21:52 - 21:56
    Leute eigentlich ja? Warum sind die
    kriminell, was tun die so. Und wir fangen
  • 21:56 - 22:03
    mit einem sehr Prominenten und schillernen
    Fall an, ihr seht da Maxim Jakubetz, das
  • 22:03 - 22:08
    ist ein junger Russe. Ich habe ihn hier
    sowas wie der Pate genannt, weil er ist
  • 22:08 - 22:11
    eine Ausnahme, er ist ein sehr
    klischeehafter krimineller Typ, wie ihr
  • 22:11 - 22:16
    gleich noch sehen werdet. Also nicht nur
    ja das ist ein Lamborghini Huracan, den er
  • 22:16 - 22:20
    da fährt, das ist seiner. Das Klischee geht
    noch viel weiter, wenn ihr das
  • 22:20 - 22:25
    Nummernschild betrachtet, falls ihr
    russisch könnt, da steht W o R nicht Bor,
  • 22:25 - 22:31
    sondern wor und wor übersetzt heißt Dieb
    lächelt. Seine ganze Gang fuhr mit
  • 22:31 - 22:34
    diesen Nummernschildern rum.
    einzelne Gelächter
  • 22:34 - 22:39
    Das konnte er problemlos tun, weil er hat
    die Tochter eines FSB Offiziers geheiratet
  • 22:39 - 22:46
    und muss in Russland nicht viel fürchten.
    Klischeehaft weil er so richtig Bling
  • 22:46 - 22:53
    Bling protzt mit seinem Reichtum und er
    und seine Freunde sowas machen. Das ist
  • 22:53 - 22:58
    die Lomonosof Universität mitten in
    Moskau, niemand stört sie dabei, wie
  • 22:58 - 23:03
    gesagt FSB Offizier. Polizei bestochen und
    so weiter. Diese Gang, die sind sowas wie
  • 23:03 - 23:07
    die Großväter der Ransomware, die nannten
    sich evil Cop, auch da waren sie relativ
  • 23:07 - 23:12
    eindeutig in ihrer Bezeichnung.
    Gelächter
  • 23:12 - 23:15
    Die haben schätzungsweise, es sind immer
    Schätzungen von Ermittlern, deswegen wer weiß
  • 23:15 - 23:19
    ob es stimmt und wie viel es wirklich war,
    die haben mit ihrem Banking Trojaner
  • 23:19 - 23:25
    namens Zeus oder süß ca 70 Millionen
    Dollar erpresst indem sie Online Banking
  • 23:25 - 23:30
    Informationen abgesaugt und dann
    ausgenutzt haben. Und ja die werden
  • 23:30 - 23:36
    gesucht, ne? Also das FBI hätte sie gern,
    sie sitzen in Russland, werden da auch
  • 23:36 - 23:41
    nicht wegfahren. Und sicher auch kein
    Urlaub wo anders machen als auf der Krim.
  • 23:41 - 23:46
    Das Interessante ist, weswegen wir sie hier
    drin haben, sie sind wirklich so was wie
  • 23:46 - 23:51
    die Großväter der Ransomware Modelle, die
    uns heute plagen. Also die Wirtschaft
  • 23:51 - 23:56
    mehrheitlich. Sie haben RAS erfunden
    Ransomware As a Service also sie haben
  • 23:56 - 24:00
    irgendwann aufgehört das Zeug selber
    einzusetzen, sie haben es vermietet
  • 24:00 - 24:06
    verkauft. Hier sind sie noch mal ein
    bisschen größer nette junge Leute. Sie
  • 24:06 - 24:10
    haben angefangen ihre kriminellen
    Fähigkeiten aufs Programmieren zu
  • 24:10 - 24:14
    beschränken und anschließend in
    kriminellen Forum ihre Tools anzubieten,
  • 24:14 - 24:18
    und wie sehen Leute aus die sowas dann
    weiter verkaufen? So
  • 24:18 - 24:21
    Gelächter
  • 24:21 - 24:28
    das ist Daniel Schukin, der wurde so noch
    nicht öffentlich genannt, der ist einer
  • 24:28 - 24:31
    der Menschen die davon lebt diese
    Vermietung zu organisieren,
  • 24:31 - 24:35
    höchstwahrscheinlich, muss ich an der
    Stelle sagen, er ist auch nicht
  • 24:35 - 24:38
    verurteilt, hat auch Russland bis
    jahrelang nicht verlassen. Das da ist in
  • 24:38 - 24:42
    Antalia, da glaubt er noch reisen zu
    können, da hat er diese Yacht gemietet mit
  • 24:42 - 24:49
    Freunden zusammen. Wer ist dieser Mensch?
    Auch ein junger Russe, etwas begabt was
  • 24:49 - 24:54
    die Technik angeht, lebt in Krasnodar, mag
    BMWs und Gucci und große Feste, zeigt sich
  • 24:54 - 25:00
    gern mit seiner Frau und mit Freunden den
    er das Essen bezahlt, der hat Webseiten
  • 25:00 - 25:06
    für Online Casinos und Crypto und anderen
    Schmuddelkram und der vermietet oder hat
  • 25:06 - 25:12
    vermietet REvil, ein weiteres großes
    Ransomware, Familienmodell. Und er scheint
  • 25:12 - 25:17
    nicht schlecht davon zu leben, hier ist er
    wieder, breites Lächeln. Das im Arm ist
  • 25:17 - 25:21
    seine Frau, die tut hier nichts zur Sache,
    deswegen ist sie so ein bisschen
  • 25:21 - 25:26
    ausgeblendet. Und leider wollte der nicht
    mit uns reden, ich weiß auch nicht warum,
  • 25:26 - 25:29
    wir haben es versucht, also ich habe viele
    E-Mails geschrieben, die er nie
  • 25:29 - 25:34
    beantwortet hat. Das Interessante an
    dieser Stelle, man beachte seine Uhr,
  • 25:34 - 25:40
    falls Sie die erkennen könnt, hier ist sie
    größer. Das ist eine vangard encrypto also
  • 25:40 - 25:44
    die Uhr allein kostet schon so 50 bis 70
    000 € wenn man auf so hässliche Uhren
  • 25:44 - 25:50
    steht, und statt der 12 ist da ein QR-Code
    eingraviert, damit wirbt die Firma dass
  • 25:50 - 25:54
    man da seine Bitcoin Wallet eingravieren
    kann.
  • 25:54 - 25:59
    Applaus, L, K und Alle lachen
  • 25:59 - 26:03
    Die öffentliche die öffentliche das muss
    man sich auch erstmal leisten können.
  • 26:03 - 26:07
    Genau, wir konnten sie leider nicht
    entschlüsseln, also ich habe es versucht
  • 26:07 - 26:24
    aber wir konnten sie leider nicht lesen.
    Das FBI konnte es. Lachen, Applaus
  • 26:24 - 26:28
    Das FBI hat gerade erst noch gar nicht so
    lange her 317000 von ihnen beschlagnahmt,
  • 26:28 - 26:33
    ne also die Crypto sind genau in den Händen
    des FBI. Ich glaube übrigens FBI ist der
  • 26:33 - 26:39
    größte Halter von Bitcoins überhaupt
    weltweit, oder? Viele lachen
  • 26:39 - 26:44
    So er selbst wurde nicht gefasst aber
    junge Russen, die sich für unverwundbar
  • 26:44 - 26:48
    halten, das ist ein wichtiger Aspekt
    dabei, weil sie entweder Behörden
  • 26:48 - 26:53
    bestechen oder direkt in Verbindung stehen
    mit Behörden, die sind so relativ die
  • 26:53 - 26:58
    bilden so eine relativ kleine Gruppe der
    Hinterleute dieser ganzen Ransomware
  • 26:58 - 27:03
    Modelle, die sind aber nicht die große
    Masse, die sind wirklich Ausnahmen. Die
  • 27:03 - 27:11
    die die eigentliche Arbeit machen, die
    sehen anders aus. Das hier ist eine
  • 27:11 - 27:17
    Wohnung in einem relativ runtergekommenen
    Neubaublock in Harkiv in der Ukraine
  • 27:17 - 27:23
    Straße ist 23 August, wen es interessiert.
    Den Namen nenne ich hier nicht, weil dieser
  • 27:23 - 27:27
    Mensch nie verurteilt wurde und nicht mal
    angeklagt, der wurde laufen gelassen, ich
  • 27:27 - 27:32
    erzähle gleich warum. Deswegen hier nur
    sein Name in dem Internet unterwegs war
  • 27:32 - 27:39
    Jeep. Der erklärt sich auch gleich. Dieser
    Mann war für emotet unterwegs. Emotet
  • 27:39 - 27:46
    ebenfalls eine riesige Ransomware Familie
    ja, die weltweit tausende Opfer verursacht
  • 27:46 - 27:52
    hat. Das BKA nannte emotet einen der
    gefährlichsten Trojaner weltweit und BSI
  • 27:52 - 27:57
    Chef Arne Schönbum ex BSI Chef Arne
    Schönbum, falls sich noch jemand an ihn
  • 27:57 - 28:03
    erinnert, nannte es den König der
    Schadsoftware, aber und deswegen zeigen
  • 28:03 - 28:10
    wir es hier auch emotet machte Fehler. Die
    haben einen Server in Brasilien offen
  • 28:10 - 28:14
    gelassen, so dass dort Serverlocks
    rumlagen, die Ermittlungsbehörden finden
  • 28:14 - 28:19
    konnten und dank dieser Serverlocks
    hangelten Sie sich durch die gesamte
  • 28:19 - 28:24
    Infrastruktur dieser Gruppe und kamen
    zumindest nach Angaben des BKA zu dieser
  • 28:24 - 28:29
    Wohnung, dort laufen alle Fäden zusammen
    und deswegen gab's da 2021 diese
  • 28:29 - 28:34
    Wohnungsdurchsuchung, polizia steht da auf
    der Jacke, also die ukrainische Polizei
  • 28:34 - 28:39
    bricht da gerade ein, BKA Beamte waren
    dabei, ja also da liefen alle Fäden von
  • 28:39 - 28:43
    emotet zusammen hier.
    L: Sieht aus wie bei mir.
  • 28:43 - 28:49
    viele lachen
    K: Okay du hast auch Flohmarkt zeug? lächelt
  • 28:49 - 28:53
    K: Das ist der Schreibtisch dieses Mannes
    und das die Wohnung eines damals 47 Jahre
  • 28:53 - 28:58
    alten Ukrainers, seines Zeichens
    Systemadministrator für Linux und der
  • 28:58 - 29:03
    wartet Server für kleine Firmen. Und er
    tut das für kleines Geld. Und der hat mit
  • 29:03 - 29:08
    uns geredet, der war sehr nett und sagte
    also das auf diesen Backends gefährliche
  • 29:08 - 29:13
    trojaner waren, ich wusste es nicht, er
    hat sich nicht dafür interessiert
  • 29:13 - 29:20
    wahrscheinlich. Er hat 12 Server von
    emotet gewartet und nahm dafür $40 pro
  • 29:20 - 29:28
    Server und Monat $480. Ich finde es
    interessant, weil auch so gigantische
  • 29:28 - 29:32
    Erpressungsmodelle ja, wir reden über
    gigantische Erpessungsmodelle die weltweit
  • 29:32 - 29:36
    funktionieren, basieren auf solcher
    Infrastruktur. Nach Auskunft der Polizei
  • 29:36 - 29:41
    die da in der Wohnung war, da sieht man
    sie noch mal, war ein Großteil davon vom
  • 29:41 - 29:48
    Flohmarkt, Jahre alt. Übrigens könnt ihr
    Kyrillisch lesen? Da steht Department
  • 29:48 - 29:52
    KeeberPolitsii, finde ich toll, falls
    irgendjemand hiermer so Aufkleber macht,
  • 29:52 - 29:57
    ich hätte gern ein paar davon.
    Gelächter
  • 29:57 - 30:01
    L: Kommen wir zurück zu einer anderen
    Ransomware Gang, ich habe ja gesagt, dass
  • 30:01 - 30:06
    ich öfter mal die Freude habe mich mit
    denen auseinandersetzen zu dürfen,
  • 30:06 - 30:10
    hauptsächlich deshalb weil Leute denken
    ich könnte ihn Bitcoin organisieren, ich
  • 30:10 - 30:17
    habe keine Ahnung wie auf die Idee kommen
    aber irgendwie klappt's dann auch. So
  • 30:17 - 30:21
    sieht dann so eine Ransom Note aus, die
    liegt auf deinem Desktop und angegeben
  • 30:21 - 30:26
    wird halt ein Tor hinden Service und in
    diesem Fall ein Login und wenn man da
  • 30:26 - 30:30
    drauf klickt kommt halt so ein Chat, ja
    ist etwas andere Gang jetzt in diesem
  • 30:30 - 30:36
    Fall, mal Screenshot von blackbuster
    rausgesucht und die sagen also sie wollen
  • 30:36 - 30:41
    Geld haben. Und jetzt beginnt der Moment
    für den sich so viele Leute interessieren,
  • 30:41 - 30:45
    ich werde also immer nach Vorträgen
    gefragt, dass ich genau das mal
  • 30:45 - 30:48
    beschreiben soll und wie ich gerade schon
    sagte ich beschreibe das nicht ohne vorher
  • 30:48 - 30:52
    zu sagen, wie man sich davor schützen
    kann. Weil das ist die Situation in der
  • 30:52 - 30:55
    man wirklich nicht sein möchte, ja. Der
    Chat geht natürlich ein bisschen länger,
  • 30:55 - 31:00
    ich habe mich jetzt mal so inhaltlich grob
    zusammengefasst. Wir veröffentlichen in 10
  • 31:00 - 31:04
    Tagen, wir haben einen Decrypter, wir
    wollen in diesem Beispiel 100 Millionen,
  • 31:04 - 31:08
    ja. Hab jetzt einfach mal 100 genommen,
    damit ihr ungefähr die Relationen sieht,
  • 31:08 - 31:14
    die die Verhandlung betreffen. Und man
    sagt natürlich erstmals, Junge, Beweis du
  • 31:14 - 31:17
    doch bitte erstmal dass du die Dateien
    hast ja, also vorher stellt man sich
  • 31:17 - 31:21
    erstmal so ein bisschen doof, es ist auf
    jeden Fall klug irgendwie so ein paar doofe
  • 31:21 - 31:25
    Sachen zu fragen ne, was ist BTC irgendwie
    sowas um den irgendwie zu vermitteln, dass
  • 31:25 - 31:30
    man relativ dumm ist, ja? Man sagt dann
    so, ok, aber Beweis doch mal bitte dass Du
  • 31:30 - 31:33
    die Dateien hast, dann sagen die kein
    Thema, hier ist die Liste ja und dann
  • 31:33 - 31:40
    kriegt man so ein Output von tree oder
    find oder was auch immer ja? Und dann
  • 31:40 - 31:43
    sagen sie such dir drei Dateien aus, die
    schicken wir dir ja, das heißt sie geben
  • 31:43 - 31:47
    dir die komplette Liste, du kannst dir
    drei aussuchen, die kriegst du zurück und
  • 31:47 - 31:54
    damit beweisen sie dass du dass sie diese
    dass Sie alle Dateien haben ne. Hier ist
  • 31:54 - 32:00
    deine x Doc X Y xlsx und zxe, das Gute ist
    die die Liste der Dateien kriegst du für
  • 32:00 - 32:05
    umme ja und die brauchst du um den Schaden
    abzuschätzen, der beispielsweise bei einer
  • 32:05 - 32:10
    Veröffentlichung droht, potenziell aber
    z.B auch für die dsgvo Meldung also diese
  • 32:10 - 32:15
    die Liste an Dateien gibt's kostenlos und
    in vielen Fällen selbst, wenn man gar
  • 32:15 - 32:19
    keine Absicht hat zu bezahlen, lohnt es
    sich die sich zu organisieren ja?
  • 32:19 - 32:25
    Kostenlose Leistung, die man hier kriegt.
    viele lachen
  • 32:25 - 32:28
    Und dann sagt man sowas wie du weißt du,
    wir stellen gerade von Tapes wieder her
  • 32:28 - 32:32
    das dauert zwar ein bisschen, aber
    eigentlich sind wir hier guter Dinge. Dann
  • 32:32 - 32:37
    sagen die, stell dir mal vor wenn wir das
    alles veröffentlichen und man sagt so ja
  • 32:37 - 32:42
    eigentlich ist da jetzt nichts großartig
    kritisches dabei! Wir verkaufen das an die
  • 32:42 - 32:48
    Konkurrenz! Auch immer ein sehr spannender
    Fall, ja, wenn man diese Gespräche führt
  • 32:48 - 32:50
    ja und die Betroffen Unternehmen sagen, oh
    mein Gott die verkauft das an die
  • 32:50 - 32:54
    Konkurrenz, oh mein Gott die Verkauf das
    an die Konkurrenz, wenn man sagt ok, pass
  • 32:54 - 32:58
    auf, ich mache euch ein Angebot, ich gebe
    euch die Daten von der Konkurenz. Das
  • 32:58 - 33:02
    werden wir nie machen! Ja okay aber eure
    Konkurrenz haltet ihr für so verkommen
  • 33:02 - 33:06
    dass Sie von irgendwelchen Gangstern für
    Bitcoin eure Daten kaufen gelächter?
  • 33:06 - 33:10
    Also sagt man, kannst du gern probieren
    wir gehen eigentlich nicht davon aus dass
  • 33:10 - 33:14
    sie dir da sonderlich viel Geld für geben
    ja? Außerdem muss man tatsächlich sehr
  • 33:14 - 33:19
    traurigerweise sagen die Veröffentlichung
    bringt meist einen sehr geringen Schaden
  • 33:19 - 33:26
    für dich selber. Weiß auch der Gründer und
    CE von Motel One, Dieter Müller der sich
  • 33:26 - 33:32
    nachdem dem Motel One gebreached wurde und
    alle Kundendaten ins Internet gegangen
  • 33:32 - 33:36
    sind, geweigert hat mit den Leuten zu
    verhandeln und eventuell diesen Schaden
  • 33:36 - 33:42
    von den Kunden abzuwenden ja? Der Mann hat
    geringe Ansprüche an sich selbst und hohe
  • 33:42 - 33:46
    Ansprüche an den Staat, denn an der
    gesamten Misere ja dass alle Motel One
  • 33:46 - 33:50
    Kunden jetzt mit übernachtungsdaten und
    allem im Internet stehen, ist natürlich
  • 33:50 - 33:55
    der Staat schuld, denn der Staat hat noch
    keinen Weg gefunden seiner staatlichen
  • 33:55 - 33:59
    Hoheitsaufgabe gerecht zu werden und seine
    Bürger und Unternehmen vor kriminellen
  • 33:59 - 34:03
    digitalen Angriffen zu schützen.
    Einzelne Applaus
  • 34:03 - 34:07
    Kann natürlich jetzt auch nicht seine
    Schuld sein. Wie ich habe schon gesagt,
  • 34:07 - 34:12
    der Mann hat geringe Ansprüche an sich
    selbst, hohe Ansprüche an den Staat,
  • 34:12 - 34:17
    Coronazeiten waren irgendwo im Bereich 100
    Millionen Coronahilfen, die der
  • 34:17 - 34:22
    eingestrichen hat, dadurch hat Motel One
    am Ende seine Geschäftsergebnisse
  • 34:22 - 34:25
    signifikant verbessern können und er hat
    noch ein paar Interviews gegeben, dass das
  • 34:25 - 34:29
    eine Frechheit wäre und zu wenig.
    Gelächter
  • 34:29 - 34:33
    Aber tatsächlich mal ne, man muss
    tatsächlich sagen Motel One hat de facto
  • 34:33 - 34:37
    keinen Schaden dadurch, dass diese Daten
    veröffentlicht wurden. Irgendwann ich
  • 34:37 - 34:42
    glaube es war man sieht es im Bild 2021
    wurde extensure gebridged von Lockbit und
  • 34:42 - 34:47
    das vll natürlich sehr interessant, also
    haben wir auf dem Lockbit Block so den
  • 34:47 - 34:50
    Countdown geguckt und so ne und dann
    wurden irgendwann die Daten von extenser
  • 34:50 - 34:54
    veröffentlichicht da hat man sich ja dann
    doch mal für interessiert, das war aber
  • 34:54 - 34:59
    total so ein Einzeldownload ja, du
    konntest jede Datei einzeln, das war total
  • 34:59 - 35:03
    unsortiert umständlich zeitaufwendig ja
    und die wurden auch immer wieder offline
  • 35:03 - 35:07
    genommen und dann wurde die Deadline
    verlängert wann die released werden und
  • 35:07 - 35:12
    irgendwie sind sie jetzt nicht mehr zu
    finden. Ich denke warum die Angreifer so
  • 35:12 - 35:18
    und nicht anders veröffentlichen ist ganz
    klar, in dem Moment wo sie vollständig
  • 35:18 - 35:22
    veröffentlichen, haben Sie Ihr Kind mit
    dem Bade ausgegossen, es wird Niemand mehr
  • 35:22 - 35:27
    bezahlen. Wenn sie aber so scheibchenweise
    veröffentlichen, können sie potenziell
  • 35:27 - 35:32
    noch weiter erpressen und dich doch
    überzeugen denen etwas Geld zu geben. Denn
  • 35:32 - 35:36
    für sie ist das ja eine Alles oder Nichts
    Situation und diese Dateien zu
  • 35:36 - 35:40
    veröffentlichen, dann haben sie halt statt
    irgendwie potenziell Millionen einfach nur
  • 35:40 - 35:44
    ein mahnendes Beispiel für den nächsten
    und ein Fall, wo ich wieder erzählen kann,
  • 35:44 - 35:49
    eigentlich kein Schaden entstanden. Wir
    haben auch darüber gesprochen, das nennt
  • 35:49 - 35:54
    man dann also die Angreifer wollen Druck
    erhöhen ja, sie machen inzwischen auch mal
  • 35:54 - 35:58
    die Meldung an an die Behörden für dich
    ja, auch da natürlich einfach um den Druck
  • 35:58 - 36:04
    zu erhöhen, weil Druck ist alles was die
    haben, oder sie belästigen die Leute die
  • 36:04 - 36:10
    nicht zahlen ja, rufen dann z.B dort an
    oder lassen dort anrufen oder erpressen
  • 36:10 - 36:14
    eben die Kunden um den rufschaden
    irgendwie zu maximieren. Also die Gruppen
  • 36:14 - 36:19
    arbeiten daran diesen Rufschaden zu
    vergrößern. Ja in unserem Beispiel sagen
  • 36:19 - 36:24
    wir mal, wir würden jetzt irgendwie in
    Richtung einer Zahlung uns orientieren,
  • 36:24 - 36:28
    dann sagen wir Bruder, wie sollen wir dir
    überhaupt vertrauen? Und dann sagt er, mein
  • 36:28 - 36:33
    Freund wir sind die CyberSwan Gruppe,
    google uns, wir haben fünf Sterne auf yelp!
  • 36:33 - 36:38
    viele lachen Und es ist es ist natürlich
    wirklich wichtig für diese Mechanik der
  • 36:38 - 36:42
    Verhandlung zu wissen, die müssen auch
    ihren Ruf schützen. Wenn die euch
  • 36:42 - 36:46
    betrügen, dann wird das ja bekannt und
    dann zahlt ihnen niemand mehr. Das heißt
  • 36:46 - 36:52
    Vertrauen ist für die eine entscheidende
    Sache ja? Außerdem haben die auch den
  • 36:52 - 36:57
    ganzen Rest des Internets noch vor sich,
    dass sie jetzt ein zweites Mal dich
  • 36:57 - 37:03
    erpressen ist eher unwahrscheinlich. Aber
    dann sagst du so was wie ja boah das mit
  • 37:03 - 37:09
    den Tapes kennt sie ja dauert ey... pass auf
    wir zahlen dir 25 Dann kommen wir wollen
  • 37:09 - 37:13
    100 und du hast noch 7 Tage danach wird es
    teurer und dann denkst das ist natürlich
  • 37:13 - 37:18
    jetzt auch wieder dieses Druck ne? Wir
    wollen mehr Geld später und dann sagst du
  • 37:18 - 37:23
    ja pass auf Alter in 7 Tagen sind wir
    fertig, du kannst mir hier maximal 50
  • 37:23 - 37:28
    Millionen sparen, das muss aber auch
    irgendwie businesscase für mich sein ich
  • 37:28 - 37:34
    zahle dir 40 ja? Dann sagen die wir wollen
    70, das unser letztes Angebot, es gilt nur
  • 37:34 - 37:40
    24 Stunden und dann sagst du sowas wie, ey
    Junge, je länger das hier dauert, umso
  • 37:40 - 37:44
    weniger ist deine Dienstleistung für mich
    Wert, ich stell ja hier gerade von Tapes
  • 37:44 - 37:49
    wieder her. Und das ist der entscheidende
    Punkt in diesen Verhandlung für die
  • 37:49 - 37:52
    Angreifer geht es um alles oder nichts,
    also die stehen vor einer Situation dass
  • 37:52 - 37:56
    sie entweder von dir Geld bekommen oder
    gar nichts und dann haben Sie noch die
  • 37:56 - 37:59
    Kosten dass sie deine Daten
    veröffentlichen müssen und genau da musst
  • 37:59 - 38:03
    du diesem Druck wiederstehen, der
    zeitliche Druck wird von denen nur deshalb
  • 38:03 - 38:10
    angebracht, weil sie also weil sie wissen,
    je länger Du nicht zahlst desto
  • 38:10 - 38:14
    unwahrscheinlicher zahlst du. Insofern ist
    das durchaus sinnvoll in einer solchen
  • 38:14 - 38:19
    Situation , wenn du die Zeit hast, auch
    tatsächlich auf Zeit zu spielen, weil die
  • 38:19 - 38:24
    wissen, je länger der Spaß hier geht, umso
    unwahrscheinlicher zahlst du. Na gut dann
  • 38:24 - 38:30
    kommt irgendwie so was, ja 60 Millionen weil Du
    es bist, letzte Preis ja? lachen Und dann sagst
  • 38:30 - 38:36
    du, das ist der Moment den die Kunden
    meistens nicht wollen, ja? Dann sagst mal
  • 38:36 - 38:40
    ok tut mir leid, ich erkläre die Behandlung
    für gescheitert, hätte hier eine Win-Win
  • 38:40 - 38:45
    Situation werden können, aber na ja
    vielleicht beim nächsten Mal.
  • 38:45 - 38:50
    viele lachen
  • 38:50 - 38:53
    Und dann kommt, ok lass mich mal mit dem
    Boss reden.
  • 38:53 - 38:56
    viele lachen
  • 38:56 - 39:00
    Du verhandelst jetzt mit dem Level One
    Customer Support! Und der hat klare
  • 39:00 - 39:06
    Grenzen und erst wenn der mit jemand
    anders reden muss über den Deal, den er dir
  • 39:06 - 39:10
    machen kann, merkst du dass du vielleicht
    langsam in einen Bereich kommst der
  • 39:10 - 39:16
    vielleicht für dich auch interessant ist
    ja? Natürlich kann auch das ein Spiel sein
  • 39:16 - 39:20
    aber in diesem Fall werdet ihr gleich
    sehen war es nicht, es gibt einen Boss.
  • 39:20 - 39:24
    Dann kommt eben so was her: ok 50%
    allerletzte Preis ja und dann sagst du
  • 39:24 - 39:29
    sowas eh, woher weiß ich dass du die Datei
    überhaupt wieder herstellen kannst? Ja
  • 39:29 - 39:32
    auch das erst ganz am Ende machen, weil
    das ja ein Interesse überhaupt
  • 39:32 - 39:37
    signalisiert. Also die Prüfung, dass Sie
    Dateien wiederherstellen können. Jede
  • 39:37 - 39:41
    Ransomware Gang bietet dafür an, schick
    mir zwei Dateien mein Freund, entschlüssel
  • 39:41 - 39:45
    ich dir, kriegst du zurück, schickst Du ja
    hier ist A encrypted und B encrypted und
  • 39:45 - 39:49
    dann schickt er dir die entschlüsselten
    Dateien zurück. Das ist ein sehr wichtiger
  • 39:49 - 39:54
    Schritt den man keinesfalls vergessen
    darf! Du musst dich vergewissern, dass
  • 39:54 - 39:58
    dein Freund die Dienstleistung auch
    wirklich erbringen kann, sonst riskierst
  • 39:58 - 40:02
    du mit diesen Leuten hier zu tun zu haben.
    Das war wannacry, ihr erinnert euch, die
  • 40:02 - 40:07
    ganze Ransomware hat in der Welt nur drei
    Bitcoin Adressen angegeben und, als ich die
  • 40:07 - 40:11
    doppelten Screenshots gesehen habe mit dem
    gleichen Bitcoin Wallet, war mir auch
  • 40:11 - 40:15
    sofort klar, die werden die Zahlung nicht
    zuordnen können, hier besteht keine
  • 40:15 - 40:21
    Absicht der Wiederherstellung. Und war ja
    auch bei Wannacry nicht so. Also wichtig
  • 40:21 - 40:26
    sicherstellen und erst spät sicherstellen,
    weil damit signalisierst du überhaupt
  • 40:26 - 40:31
    Interesse an der ernsthaftes Interesse an
    der Wiederherstellung. Und dann kommen die
  • 40:31 - 40:35
    klugen Leute und sagen, hey Vorsicht wenn
    du zahlst, dann hacken sie dich direkt
  • 40:35 - 40:40
    wieder. Und das ist aber Quatsch, übrigens
    hier das ist also auf dem Sixpack steht
  • 40:40 - 40:44
    Mythos auf dem nächsten Sixpack steht
    Realität, aber dol i kann nicht so gut
  • 40:44 - 40:48
    schreiben wie ich. Die Realität ist
    lächeln
  • 40:48 - 40:51
    der Rest des Internets wartet auf Sie, die
    haben überhaupt gar keinen Grund noch mal
  • 40:51 - 40:55
    dich zu hacken, die geben auch übrigens
    Garantien dass diese Ransomware Gang dich
  • 40:55 - 41:01
    nicht noch mal hackt. Es gibt aber genug
    Andere! Also früher oder später musst du
  • 41:01 - 41:07
    dich schützen und ich kenne mehrere Fälle
    in den die CEOs oder der Vorstand, oder
  • 41:07 - 41:13
    sonst was nach der Zahlung gesagt hat,
    jetzt haben wir es hinter uns lehnt euch
  • 41:13 - 41:19
    zurück, fahrt die Systeme wieder hoch,
    alles rein ins ad und den MySQL Server in
  • 41:19 - 41:24
    die Cloud und gebt ihm. Und kurze Zeit
    darauf war das Geschrei groß, ja? Also ihr
  • 41:24 - 41:29
    kommt sowieso nicht drum herum euch besser
    zu schützen, am besten macht ihr das bevor
  • 41:29 - 41:35
    ihr den Case habt, aber egal ob du zahlst
    oder nicht, die Anderen werden kommen, ja?
  • 41:35 - 41:39
    Du hältst dir eine von 100 Gangs vom Leib
    und dummerweise machen die nicht so eine
  • 41:39 - 41:43
    Garantie wie Schutzgeld, dass sie sagen
    pass auf wenn die anderen Gangs kommen
  • 41:43 - 41:45
    dann prügeln wir die raus oder so.
    lachen
  • 41:45 - 41:50
    Na ja dann sagen Sie, hier ist unser
    unsere Bitcoin Wallet ja die nehmen
  • 41:50 - 41:54
    üblicherweise eine frische, brauchen sie
    auch damit sie erkennen, dass die Zahlung
  • 41:54 - 41:58
    von dir ist. Du nimmst üblicherweise eine
    frische und schickst mal ein satoschi
  • 41:58 - 42:03
    rüber, ja? Achtung, das ist interessanter
    Moment, weil dann sehen die wie viel Geld
  • 42:03 - 42:06
    auf deinem Wallet liegt. Ja in dem Moment
    beweist du, dass du über ein über eine
  • 42:06 - 42:11
    Summe verfügst. Es kann also durchaus auch
    interessant sein an der Stelle vielleicht
  • 42:11 - 42:16
    doch nur 40 da liegen zu haben statt der
    50 und zu sagen hey Scheiße, Freitagabend,
  • 42:16 - 42:23
    du weißt wie das ist, neh, ich habe jetzt
    echt nicht... viele lachen
  • 42:23 - 42:28
    Dann sagen sie, ist angekommen und dann
    schickst du den Rest und jetzt kommt sehr
  • 42:28 - 42:33
    ein sehr wichtiger Hinweis, bezahle nur,
    wenn du ein Business Case hast. Du hast
  • 42:33 - 42:38
    meistens keinen, das Einzige, was hier eine
    Rolle spielt ist, dass deine
  • 42:38 - 42:42
    Wiederherstellung potentiell schneller
    geht. Alle sonstigen Folgekosten, die
  • 42:42 - 42:47
    Systeme härten, die Systeme desinfizieren,
    Dinge maximal neu aufbauen, eine komplette
  • 42:47 - 42:51
    Renovierung deiner Infrastruktur, die
    Kosten hast Du ohnehin, die hast du auch
  • 42:51 - 42:56
    jetzt schon vor dir, weil du es e machen
    musst entweder bevor du gebreacht wurdest
  • 42:56 - 43:00
    oder danach. Das heißt du musst diesen
    Case wirklich sehr genau durchrechnen
  • 43:00 - 43:04
    bevor du in Erwägung ziehst eine solche
    Zahlung vorzunehmen. Wenn du es dann
  • 43:04 - 43:09
    gemacht hast, kommt sowas wie Yow, wir
    haben deine Dateien gelöscht, hier ist das
  • 43:09 - 43:17
    deletion Lock, also das Output von rm-RF.
    Das sieht dann so aus, und Linus lächelt
  • 43:17 - 43:22
    ich meine, die haben sogar ihre local
    language auf Russisch eingestellt, ja?
  • 43:22 - 43:27
    Also man sieht hier unten die Translation
    für gelöscht und Verzeichnis gelöscht also
  • 43:27 - 43:33
    ein Output von rm-RF. Und dann sagen Sie
    yoh, wir bereiten jetzt dein Decrypter
  • 43:33 - 43:40
    vor.
    einzelne Gelächter
  • 43:40 - 43:46
    Und man denkt so, bei den anderen geht das
    eigentlich immer relativ schnell. *Linus
  • 43:46 - 43:53
    lächelt* So nach einer Stunde fragt man
    mal nach und dann kommt, eh ich kann den
  • 43:53 - 44:03
    Typen nicht erreichen, hab mal kurz Geduld
    bitte Lachen und dann kann das
  • 44:03 - 44:08
    manchmal ein bisschen dauern und dann
    kommt hey, hier ist der Decrypter,
  • 44:08 - 44:12
    sorry der Typ war draußen einen
    saufen, Ja? video läufzt, alle lachen
  • 44:12 - 44:15
    Und an dieser Stelle zeigt sich, du
    würdest dem Level One Support auch keinen
  • 44:15 - 44:19
    Schlüssel geben, der Millionen wert ist,
    weil dann machen sie side Deals ja? Dann
  • 44:19 - 44:24
    verkaufen die den Schlüssel über ihre
    eigene Konten. Klüger hat das LV gemacht,
  • 44:24 - 44:29
    blackcat be denen war das so, die haben
    quasi also auf Ihrem Server war das
  • 44:29 - 44:34
    Bitcoin Wallet direkt angegeben und hat
    das immer gepollt, ja? Und das heißt auch
  • 44:34 - 44:39
    die Veröffentlichung von den decryption
    Tools und deinem Pentestbericht erfolgte
  • 44:39 - 44:44
    automatisch, so haben die den Key von den
    von ihren Verhandlern weggehalten. Bei
  • 44:44 - 44:49
    dieser Gang die ich hier im Beispiel hatte
    war es eben so, dass sie manuelle
  • 44:49 - 44:54
    Interaktion oder oder direkte Interaktion
    mit ihrem Chef brauchten und die hatten
  • 44:54 - 44:59
    halt echt nicht dessen die Nummer, nah?
    Die können halt auch nur mit dem über
  • 44:59 - 45:04
    diesen Chat kommunizieren, aber ich bin
    ehrlich die Stunden bis wir den Decrypter
  • 45:04 - 45:11
    hatten waren etwas weniger entspannt, auch
    wenn ich mir relativ sicher war, dass sie
  • 45:11 - 45:16
    die Zahlung machen würden. Und Kai kann
    noch mal ein bisschen was darüber reden,
  • 45:16 - 45:18
    wie es dann auf der anderen Seite
    aussieht.
  • 45:18 - 45:24
    Kai: Wir machen noch mal ein kleinen
    Exkurs zu den Leuten, die auf der anderen
  • 45:24 - 45:30
    Seite sitzen. Das interessante an diesen
    Modellen ist, wir kommen auch gleich noch
  • 45:30 - 45:33
    zum Level 1 Support. Das interessante an
    diesen Modellen ist dass sehr viel
  • 45:33 - 45:37
    outgesourced ist, wie in der Wirtschaft
    auch an sogenannte Affiliates, da ist
  • 45:37 - 45:43
    Einer. Das sind Menschen die sozusagen auf
    eigene Rechnung für irgendeine Ransomware
  • 45:43 - 45:49
    Familie arbeiten und ihre Beute teilen,
    die Deals sind meist 75% für diese
  • 45:49 - 45:54
    Menschen, 25% oder 20% für die Gäng
    dahinter, die Vermieter den wir vorhin
  • 45:54 - 45:59
    gesehen haben. Das hier ist Sebastian
    Vahoung, ein Kanadier inzwischen
  • 45:59 - 46:06
    verurteilt. Der hat für Networker
    gearbeitet, wieder eine sehr große Familie
  • 46:06 - 46:14
    und war der eifrigste Affiliate von
    Networker. Der hat dutzende Angriffe
  • 46:14 - 46:20
    gefahren und allein er hat 1400 Bitcoin einge-
    sammelt mit diesen Erpressungen, damals
  • 46:20 - 46:26
    27 Millionen Dollar. Jetzt fragt man sich,
    wer ist so ein Mensch, ja? Dem ging es gar
  • 46:26 - 46:31
    nicht so schlecht, das war sein Häuschen
    schon vorher, der wohnte da. In der Nähe
  • 46:31 - 46:35
    von Ottawa war nettes kleines Häuschen,
    sieht ganz gemütlich aus, der war
  • 46:35 - 46:40
    Computertechniker Universität Ottawa, aber
    der war so der Typ Kleinkrimineller der
  • 46:40 - 46:44
    irgendwie so ein bisschen mehr will vom
    Leben als das was ihm sein dayjob bietet.
  • 46:44 - 46:48
    Der ist auch schon mal mit Drogendelikten
    aufgefallen, hat 123 kg Marijana vertickt
  • 46:48 - 46:51
    viele Lachen
  • 46:51 - 47:01
    Kleinkram. Und ja das war dann beim
    Verhör, da war er nicht mehr so... Ich
  • 47:01 - 47:05
    fand den Fall sehr interessant, ich habe
    ihn ein bisschen zugeguckt man konnte
  • 47:05 - 47:07
    durch dann Corona konnte man der
    Gerichtsverhandlung im Internet folgen,
  • 47:07 - 47:11
    wenn man so ein Link sich geholt hat von
    den Behörden dort und ein stiller
  • 47:11 - 47:14
    freundlicher nicht blöder Mensch wie
    gesagt, ich glaube er wollte ein bisschen
  • 47:14 - 47:18
    mehr vom Leben, das wird er jetzt nicht
    mehr kriegen. Und er ist auch deswegen ist
  • 47:18 - 47:23
    er hier in der Sammlung ein Beispiel dafür
    dass die Täter Fehler machen. Auch das
  • 47:23 - 47:28
    finde ich wichtig, die sind nicht
    unfehlbar. In dem Fall hier war das FBI in
  • 47:28 - 47:33
    der Lage, wieder das FBI, die sind sehr
    aktiv seit einigen Jahren. Die Stufen
  • 47:33 - 47:38
    Ransomware auf der Höhe von Terror ein in
    was ihre Ermittlung angeht inzwischen, nur
  • 47:38 - 47:43
    so zur Wichtigkeit, das FBI hat den Server
    geknackt auf dem die Networker Leute mit
  • 47:43 - 47:48
    ihren Affiliates geredet haben, neh die
    müssen ja reden miteinander, ich war hier,
  • 47:48 - 47:52
    ich war da und diese Affiliates die müssen
    belegen dass sie irgendwo eingebrochen
  • 47:52 - 47:57
    sind, dazu laden Sie Screenshots hoch der
    kopierten Daten, und in einem dieser
  • 47:57 - 48:03
    Screenshots waren Metadaten. Screenshot
    2.png enthielt Metadaten und in Metadaten
  • 48:03 - 48:10
    stand Sebastian Vahoun. Passiert den
    besten von uns. Außerdem nutzte er für die
  • 48:10 - 48:16
    Kommunikation mit diesem Server zwar eine
    anonyme E-Mail Adresse, war aber zu faul
  • 48:16 - 48:20
    die auch anonym abzurufen, sondern sendete
    sich die E-Mails weiter an seine private
  • 48:20 - 48:23
    Mailadresse.
    viele Lachen.
  • 48:23 - 48:27
    Über die auch seine amazon Bestellungen
    liefen, so dass das FBI sofort auch seiner
  • 48:27 - 48:29
    Adresse hatte.
    einzelnes Lachen
  • 48:29 - 48:38
    Passiert im besten. Ja also die müssen
    miteinander reden, ganz kurz, die brauchen
  • 48:38 - 48:42
    irgendeine Infrastruktur um zu
    kommunizieren und das meist der Ort, wo sie
  • 48:42 - 48:46
    angegriffen werden von Ermittlern.
    Übrigens Sebastian Vahoug sitzt jetzt für,
  • 48:46 - 48:50
    20 Jahre in den USA, danach dann noch drei
    Jahre Bewährung und ich glaube dann muss
  • 48:50 - 48:55
    er noch die Freiheitsstrafe absetzen, die
    er in Kanada noch egal länger. So, also
  • 48:55 - 49:02
    diese Leute bilden Banden, die Sourcen
    aus, die sind relativ organisiert und es
  • 49:02 - 49:07
    sind ganz normale Menschen, ja, keine
    Götter, keine Superhacker. Das sind
  • 49:07 - 49:12
    normale Menschen die Fehler machen. Und
    diese Arbeitsteilung dieser Band geht
  • 49:12 - 49:18
    sogar noch viel weiter, hier seht ihr die
    unterste Ebene, hier seht ihr den Level 1
  • 49:18 - 49:29
    Support. Das ist Alla Witte, eine, ich
    bedauere sie fast, inzwischen. Eine Frau,
  • 49:29 - 49:34
    die in der Sowjetunion geboren wurde, sie
    hat dort mal Programmiererin für
  • 49:34 - 49:39
    Funktechnik gelernt, sie ist inzwischen 57
    Jahre alt, hat ein bisschen Pech gehabt im
  • 49:39 - 49:48
    Leben, verwitwet, hat mit Scientology zu
    tun egal. Jedenfalls sie schlug sich so
  • 49:48 - 49:53
    durch mit dem Programmieren von Websites,
    lebte in Surinam zu dem Zeitpunkt und
  • 49:53 - 49:59
    programmierte auch für kleine Unternehmen
    so ein bisschen HTML und solche Dinge und
  • 49:59 - 50:04
    dann bekam sie ein Jobangebot 2017 von
    einer russischen Softwarefirma, so sagt
  • 50:04 - 50:09
    sie es. Ja mit der konnten wir auch reden.
    Dann gab's so ein Einstellungstest online,
  • 50:09 - 50:12
    da musste sie so ein paar technische
    Fragen beantworten, den hat sie bestanden
  • 50:12 - 50:17
    und dann hat man ihren Job angeboten, hat
    gesagt, pass auf 800 € im Monat kannst du
  • 50:17 - 50:23
    von uns haben und dafür machst du hier so
    Entwicklertätigkeiten. Kam ein kleines
  • 50:23 - 50:29
    Team mit neuen Leuten und die kannten sich
    alle nur über jabber. Und ihr Job war es
  • 50:29 - 50:33
    dann, und da fingen sie dann doch an
    drüber nachzudenken, ob das das richtige
  • 50:33 - 50:37
    ist, sowas zu programmieren, nämlich
    Webseiten mit der Benutzeroberfläche auf
  • 50:37 - 50:41
    der dann steht "ihr Computer ist
    infiziert". Kai lächelt Entschuldigung
  • 50:41 - 50:47
    das wieder eine von dolies Erfindung, aber
    ich fand sie sehr hübsch. Und die
  • 50:47 - 50:52
    Softwarefma, für die sie dort gearbeitet
    hat war Conti, eine der größten und
  • 50:52 - 50:58
    organisiertesten Ransomware Banden die die
    Welt bislang gesehen hat, oder die größte
  • 50:58 - 51:04
    und organisierteste, und ja Alla Witte war
    wie gesagt relativ unbedarft am Anfang,
  • 51:04 - 51:07
    das glaube ich ihr sogar, weil bei Jabber
    hat sie sich noch angemeldet mit ihrem
  • 51:07 - 51:13
    echten Namen Alla Witte, also den Jabber
    Server wo die Gang miteinander
  • 51:13 - 51:18
    kommunizierte und der dann später geleaked
    wurde durch ein ROG Mitglied dieser Bande,
  • 51:18 - 51:23
    so dass ihr Name relativ schnell klar war
    deswegen, war sie auch die erste die
  • 51:23 - 51:30
    Probleme bekam. Also sie war in Surinam
    und eines Tages stand die Polizei von
  • 51:30 - 51:34
    Surinam vor ihrer Tür und sagte, sorry wir
    nehmen Sie jetzt mit, ihr Visum ist
  • 51:34 - 51:37
    abgelaufen und ihre Computer und so
    sammeln wir auch alles ein und wir
  • 51:37 - 51:41
    schicken sie zurück nach Lettland, wo sie
    herkam. Sie sind hier nicht mehr
  • 51:41 - 51:48
    erwünscht, ja. Der Flug landete dann
    seltsamerweise in Miami zwischen, da stand
  • 51:48 - 51:55
    dann wieder das FBI und nahm sie mit in
    ein Gefängnis nach Ohio. Und da blieb sie
  • 51:55 - 51:59
    relativ lange, weil das FBI glaubte okay
    wir haben hier sozusagen die Hacker Queen,
  • 51:59 - 52:03
    die kann uns was über Conti erzählen, das
    war vor dem leack. Nah, das FBI hat sie
  • 52:03 - 52:07
    vorer gefunden und hoffte, sie kann ihn
    viel verraten, aber sie kannte echt nur
  • 52:07 - 52:10
    die neun Leute aus ihrem Team, das waren
    alles kleine freischaffende
  • 52:10 - 52:15
    Softwareentwickler, System Admins , die
    sich ein bisschen was dazu verdienen
  • 52:15 - 52:20
    wollten. Sie konnte ihnen nicht viel
    sagen, deswegen saß sie zwei Jahre dort im
  • 52:20 - 52:26
    Knast ohne Prozess. Und es passiert
    einfach nichts, in der Zwischenzeit kam
  • 52:26 - 52:30
    der Conti Leak und alle Welter erfuhr
    über diese Gang. Inzwischen ist sie
  • 52:30 - 52:35
    freigelassen worden aus den USA, ist
    wieder zurück jetzt wieder in Lettland in
  • 52:35 - 52:41
    Riga. Die meisten Vorwürfe wurden fallen
    gelassen, außer einer Verabredung zum
  • 52:41 - 52:45
    Computerbetrug, aber das also es reichtte
    nicht um sie weiter festzuhalten, wie
  • 52:45 - 52:48
    gesagt sie lebt in Riga, sie tut mir
    wirklich etwas leid. Inzwischen geht sie
  • 52:48 - 52:55
    putzen. Das ist, ihr seht hier so die
    Struktur, von Conti das ist die unterste
  • 52:55 - 53:00
    Ebene dieser wirklich organisierten Gang
    und wir reden hier über die die Profis der
  • 53:00 - 53:06
    Branche. Die hatten alles, die hatten
    Chefs, die sich darum kümmerten Büros
  • 53:06 - 53:11
    anzumieten in denen die Leute wirklich von
    8 bis 5 gearbeitet haben, ja, die kamen
  • 53:11 - 53:20
    da. Die wurden über Foren angeheuert und
    für day Jobs und die waren wie eine Firma
  • 53:20 - 53:25
    organisiert. Ich zeige euch gleich noch
    zwei Mitglieder davon aus dem
  • 53:25 - 53:30
    Führungsebene. Bis heute sind nicht alle
    identifiziert, vor Allen nicht der Kopf
  • 53:30 - 53:35
    der Bande Stern, der ist nur unter diesem
    Händel bekannt, ich soweit ich weiß weiß
  • 53:35 - 53:39
    bis heute niemand wer das ist, das ist ein
    Zeichen dafür dass es schon auch sehr
  • 53:39 - 53:43
    fähige Kriminelle in diesem Bereich gibt
    aber es sind Wenige. Und wenn ihr so wie
  • 53:43 - 53:47
    Linus mit diesen Leuten zu tun habt, habt
    ihr nicht mit diesen Leuten zu tun
  • 53:47 - 53:50
    niemals, also die machen sich die Finger
    da nicht mehr mit schmutzig, sondern es
  • 53:50 - 53:55
    ist wie gesagt der Level 1 Support, aber
    es ist auch ein Beispiel, ja diese Banden
  • 53:55 - 54:01
    machen Fehler, aber ja Sie können auch gar
    nicht so schlecht sein, wenn man Pech hat.
  • 54:01 - 54:09
    Noch ein paar Gesichter, hier ist einer
    der Manager Maxim Galochkin, hat ein paar
  • 54:09 - 54:17
    Softwarefirmen, ist pleite gegangen, kommt
    aus Abakan in Russland, lebt da glaube ich
  • 54:17 - 54:25
    noch immer, soweit zum seine Social Media
    Profile das hergeben. Der war zuständig
  • 54:25 - 54:30
    dafür, dass also die haben alle
    Virencanner, die es auf dem Markt gab,
  • 54:30 - 54:35
    sich so besorgt und er musste testen ob
    ihre Schadsoftware da durchgeht idR
  • 54:35 - 54:39
    Evasion heißt das habe ich mir sagen...
    L: idR Evasion, ja.
  • 54:39 - 54:44
    K: Der baut auch den Cryptolocker, also
    die Daten verschlüsselt, also sein Team.
  • 54:44 - 54:48
    Er war Teamleiter und Manager, ja Maxim
    wandert gern, der hält nichts von
  • 54:48 - 54:52
    Covidimpfung, ist ein großer Putin Fan und
    Verteidiger des Ukrainekrieges oder das
  • 54:52 - 54:58
    Kriegs des Angriffs auf gegen die Ukraine
    und Anhänger irgendeines komischen
  • 54:58 - 55:03
    Gurus. Letztlich ein ganz normaler Mensch.
    viele Lachen
  • 55:03 - 55:09
    ist in Abwesenheit angeklagt in den USA,
    weil er Teil von Conti sein soll. Hier ist
  • 55:09 - 55:15
    noch einer eine Ebene tiefer ein
    Teamleiter Oleg Kugarov aus Tolyati bei
  • 55:15 - 55:21
    Samara, 50 Jahre alt. Ich finde den
    interessant, den man, weil also er nennt
  • 55:21 - 55:24
    sich selber reverse engineer und male
    Analyst und scheint schon länger in der
  • 55:24 - 55:28
    Branche zu sein, also länger als Andere,
    viele Andere kommen wirklich aus legalen
  • 55:28 - 55:33
    Bereichen und suchen verzweifelt einen
    Job. Viele können auch kein Englisch und
  • 55:33 - 55:37
    finden in englischsprachigen Industrien da
    ja keinen Job, also man könnte ja auch
  • 55:37 - 55:42
    remote arbeiten und finden kein Job, sie
    können halt nur russisch und gehen dann zu
  • 55:42 - 55:47
    einer russischen Softwarefirma. Ja Oleg
    verkauft z.B Zero days im Darknet,
  • 55:47 - 55:51
    zumindest habe ich so ein paar Hinweise
    darauf gefunden und, was ich auch
  • 55:51 - 55:55
    interessant finde, der hat sich schon 2014
    bei hacking Team beworben. Hacking Team
  • 55:55 - 56:00
    war hier beim Kongress schon ein zwei mal
    Thema. Das war eine recht berüchtigte
  • 56:00 - 56:06
    Firma die Späsoftware herstellte und von
    Finineas Fischer aufgebohrt und aus dem
  • 56:06 - 56:12
    Wasser geblasen wurde, und für Konti hat
    er Leute angeworben und geführt als
  • 56:12 - 56:16
    Teamleiter ja. Er grillt gern, er hat ein
    shibaainu, Namen Simba, ein kleines
  • 56:16 - 56:22
    Häuschen, man sieht ih da in seiner
    Straße. Wie ernst diese Gangs sind, sieht
  • 56:22 - 56:27
    man unter anderem daran, dass die USA
    bereits sind 10 Millionen Dollar zu zahlen
  • 56:27 - 56:32
    für Hinweise, auf die noch nicht bekannten
    Mitglieder. Das ist schon ein Haufen Geld
  • 56:32 - 56:38
    und es heißt dass diese Branche bis heute,
    die ganze Welt in Atem hält und kaum einen
  • 56:38 - 56:42
    interessiert es. Und wie gesagt ich finde
    das immer noch seltsam. Noch dazu also
  • 56:42 - 56:46
    Konti hat sich nicht hat sich selber
    zerlegt, neh. Das war nicht Ermittler, das
  • 56:46 - 56:49
    hat nicht geholfen Alla Witte da
    einzusperren, sondern die haben sich
  • 56:49 - 56:55
    selber ruiniert. Und ja Linus wird jetzt
    noch mal einen kurzen Vortrag über die
  • 56:55 - 56:57
    Lehren daraus halten.
  • 56:57 - 56:58
    Linus lacht
  • 56:58 - 57:01
    L: Also was ich noch mal sehr wichtig
    finde, ist, ihr seht die leben dann
  • 57:01 - 57:07
    verhältnismäßig entspannt ja? Also wenn
    man überlegt dass Konti war mal, blackhead
  • 57:07 - 57:11
    wurden irgendwie so um die also
    üblicherweise werden immer so Einnahmen im
  • 57:11 - 57:15
    im 100 Millionen Bereich kriegen die hin
    bis sie bis sie hochgehen ja. So ungefähr
  • 57:15 - 57:20
    das ist so die Region, wenn man sich das
    anschaut. Und so viel Geld scheinen die
  • 57:20 - 57:25
    Leute an der Spitze ja auch nicht zu
    haben, ich denke Kriminalität lohnt sich
  • 57:25 - 57:31
    vor allem wegen der Nebenkosten nicht, ja?
    Also du hast, wenn du wenn dieses Geld
  • 57:31 - 57:36
    übergeht auf das auf das Wallet geht,
    dauert wenige Minuten bis es von dort
  • 57:36 - 57:40
    verteilt wird auf viele tausend einzelne
    wallets, also findet so ein
  • 57:40 - 57:45
    Geldwäschevorgang statt. Früher gerne von
    Tornado Cash gemacht, heute vermutlich von
  • 57:45 - 57:50
    Anderen, weil der Betreiber von Tornado
    Cash ja im Knast sitzt und keine Zugriff
  • 57:50 - 57:56
    mehr auf seine Systeme hat. Die müssen
    sich in ihrer Interaktion sicher sein dass
  • 57:56 - 58:01
    es Menschen gibt die lieber 10 Millionen
    haben können, wenn sie verraten wer Sie
  • 58:01 - 58:04
    sind, und das führt dazu, dass du auch
    echt extrem, sag ich mal dein
  • 58:04 - 58:09
    Freundeskreis wird sehr teuer, ja, weil du
    sicherstellen musst, dass jeder von denen
  • 58:09 - 58:14
    keinen Grund findet sich die 10 Millionen
    zu holen. Also es ist eigentlich insgesamt
  • 58:14 - 58:20
    dann doch glaube ich kein Lebensstil der
    sich empfiehlt, das nur noch mal am Rande.
  • 58:20 - 58:25
    Kommen wir zum Fazit. Wir wissen, wie die
    Angreifer vorgehen und wie man sich
  • 58:25 - 58:30
    schützt von Conti. Wir haben es nicht in
    dem Leak, die haben ein Manual die haben
  • 58:30 - 58:34
    halt Probleme gehabt Nachwuchs zu finden,
    haben sie ein Buch geschrieben so ein
  • 58:34 - 58:38
    kleines PDF, wie man jetzt musst du da
    klicken und dann musst Du hier ne Blatt
  • 58:38 - 58:41
    hauen und dann guckst du da und dann
    kürzester Weg zum Domänenadmin, da musst
  • 58:41 - 58:46
    du das machen, da musst Du hier Mimicuts
    und das ist alles drin, ja? Die Angreifer,
  • 58:46 - 58:50
    also du brauchst sowieso ein
    Wiederherstellungskonzept, solange wir den
  • 58:50 - 58:54
    dieses diesen Sumpf nicht trocken legen,
    dass wir gezwungen sind zu zahlen, werden
  • 58:54 - 58:58
    die das weiter tun, da hilft auch kein
    Verbot der Zahlungen. Die Angreifer
  • 58:58 - 59:01
    verlieren aber auch alles, wenn Du nicht
    zahlst. Also wenn du in der unglücklichen
  • 59:01 - 59:05
    Situation bist, in der du niemals sein
    willst, stell ihn glaubhaft in Aussicht,
  • 59:05 - 59:09
    dass sie gar nichts bekommen, das ist der
    einzige Weg den Preis nach unten zu
  • 59:09 - 59:13
    drücken. Sie wollen Druck erzeugen, beuge
    dich dem Druck nicht und nehm ihn die
  • 59:13 - 59:16
    Druckmittel. Also wann immer die sagen,
    hier Tage und so weiter, sagst du einfach
  • 59:16 - 59:20
    moment mal, neh, also mach mal ein
    bisschen länger, also ehrlich gesagt keine
  • 59:20 - 59:24
    Ahnung, also auf Zeit zu spielen, macht
    bei Ihnen den Druck, dass sie das Geld
  • 59:24 - 59:27
    nicht bekommen. Sie müssen einen Ruf
    pflegen. Dich zu betrügen schidet ihn also
  • 59:27 - 59:31
    mehr, als es ihnen selbst nützt, ja? Also
    es wäre für die, ist es günstiger einfach
  • 59:31 - 59:35
    den nächsten zu hacken und ihr Glück da zu
    probieren, als dich noch mal zu hacken.
  • 59:35 - 59:39
    Das heißt aber nicht, dass es Andere nicht
    tun. Ja also bitte bitte bitte, ihr müsst
  • 59:39 - 59:43
    euch so oder so schützen! Die Liste der
    extrahierten Dateien gibt's kostenlos, die
  • 59:43 - 59:48
    brauchst du für die DSGVO Meldung, schadet
    nicht sich die abzuholen. Auch wenn du
  • 59:48 - 59:54
    zahlst, hast du hohe Folgekosten, du musst
    dich sowieso noch schützen und du du musst
  • 59:54 - 59:59
    dich auch vergewissern, dass du wirklich
    ein Business Case hast. Meistens hast du
  • 59:59 - 60:03
    den nicht, deswegen drücken die ja so bei
    der Zeit, weil sie wissen, je länger du
  • 60:03 - 60:07
    über die Situation nachdenkst, umso mehr
    Möglichkeiten dich da selber rauszuheben
  • 60:07 - 60:11
    findest du und umso besser geht's dir und
    so wahrscheinlicher ist es, dass sie ihr
  • 60:11 - 60:16
    Geld nicht kriegen. Die Angreifer sind
    nicht unfehlbar und trotzdem brauchst du
  • 60:16 - 60:21
    ein Wiederherstellungskonzept, so oder so
    und zwar jetzt. Übrigens zum Thema
  • 60:21 - 60:26
    unfehlbar, hat mein Kollege Tobias heute
    ne gestern einen Vortrag gehalten, der hat
  • 60:26 - 60:31
    den Titel unlocked recovering Files taken
    hostage by Ransomware, weil wir als
  • 60:31 - 60:36
    kleiner Nebenaktivität unserer Aktivitäten
    in diesem Bereich noch ein Decrypter
  • 60:36 - 60:40
    veröffentlichen. Dieser Talk ist Teil
    einer Reihe, sie begann mit Hirnehaken,
  • 60:40 - 60:45
    sie ging weiter mit Disclosure Hack und
    hackback von Kantorkel Dominik und mir
  • 60:45 - 60:50
    beim Camp. Sie hatte einen Höhepunkt
    gestern mit Unlocked! dem Release des
  • 60:50 - 60:55
    decrypters für blackbuster von Tobias und
    sie findet hoffentlich hier Ende mit
  • 60:55 - 60:59
    hierirner Hacken hackback Edition von Kai
    Biermann und mir, weil damit sollte jetzt
  • 60:59 - 61:04
    zum Thema hoffentlich alles gesagt sein,
    vielen Dank.
  • 61:04 - 61:07
    Applaus
  • 61:07 - 61:08
    Musik
  • 61:08 - 61:13
    K: Danke!
    Herald: Wunderbar, super ja vielen Dank an
  • 61:13 - 61:26
    Linus und Kai.
  • 61:26 - 61:29
    37c3 Nachspannmusik
  • 61:29 - 61:40
    Untertitel von vielen vielen Freiwilligen und dem
    C3Subtitles Team erstellt. Mach mit und hilf uns!
Title:
37C3 - Hirne hacken: Hackback Edition
Description:

more » « less
Video Language:
German
Duration:
01:01:40

German subtitles

Incomplete

Revisions Compare revisions