Jump to content

Ransomware - Server verschlüsselt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@DocData

Du kennst weder den Kunden, noch sein Geschäft. Du weißt nicht, was auf dem Server an Daten noch nicht verschlüsselt ist ... wie willst Du dann wissen, ob der Kunde am 7.1. nicht im Notbetrieb arbeiten kann?

ich würd mal sagen, Du lehnst Dich zu weit aus dem Fenster und fällst dabei raus! Sprich, wenn Du nix zur Sache dienliches beibringen kannst, sei einfach still und lese meinetwegen einfach mit und murmel in den Monitor!

 

nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ... 

bearbeitet von Squire
Link zu diesem Kommentar

Ich kann Docdata schon verstehen - unabhängig davon, ob der Betrieb ab dem 7.01. wieder "arbeiten" kann, sind doch sehr viele Probleme hausgemacht. Offensichtlich wurde das Thema "IT-Sicherheit" in den letzten Jahren auch in diesem Unternehmen stark vernachlässigt... und zumindest bei diesen Firmen hält sich mein Mitleid in Grenzen. Ich selbst bin seit ca. 10 Wochen in einem ähnlichen Fall involviert. "Neukunde" ruft vor ca. 10 Wochen an und schildert "Emotet verdächtiges Verhalten". Ich empfehle diverse Sofortmaßnahmen und parallel dazu auf neuer Hardware mit den verbliebenen sauberen Backups die Umgebung so weit es geht wiederherzustellen. 6 Wochen später ruft der Verantwortliche ITler wieder mit der Botschaft an, dass die Maßnahmen der GF zu teuer waren und nun auch die aktuellsten Backups verschlüsselt sind. Er hat jetzt nur noch ein Backup vom letzten Sommer im Schrank! :shock2: Der Laden laboriert also seit Oktober im Notbetrieb mit den Daten vom Sommer 2019! :-|

 

Zu der bestehenden Situation bei deinem Kunden @Squire möchte ich jedenfalls unbedingt dazu raten nicht zu vergessen, den Infektions- / Verbreitungsweg ggf. zu beleuchten, zumindest die GF daran zu erinnern, dass die bestehenden Systeme evtl. für die Beweissicherung benötigt werden. Je nach Rechtsform / Unternehmensart könnten sich diverse Verpflichtungen der Geschäftsleitung ergeben. Daher sollte nicht vergessen werden zu prüfen, ob die Infrastruktur von einem IT-Forensiker / Sachverständigen untersucht werden sollte (muss) und auch, ob es ggf. Meldepflichten bzgl. des Befalls gibt!

 

Link zu diesem Kommentar

Ein KMU hat oft keine "IT-Sicherheit" auf dem Budget -  es "läuft ja"... Und ja, ich finde den Thread interessant :thumb1:

Wegen "RDP nicht offen" - das läßt sich doch von außen leicht durch nen Portscan auf den Router rausfinden, was da so antwortet. Und in erster Linie geht es hier auch nicht um Spott und Häme (klar wurden gravierende Fehler gemacht), sondern darum, dem (zahlenden) Kunden zu helfen.

 

Link zu diesem Kommentar

@daabm

Portscan hab ich heute Nachmittag gemacht - RDP war nicht offen von außen. Allerdings kam die Maleware anscheinend zielgerichtet. Es gibt Log Einträge die zu Servern russischer Betreiber/Hoster gehören. 

Ich bin Deiner Meinung Spott und Häme haben hier nichts verloren - letztlich kann es jedes Unternehmen treffen. Du kannst alles noch so sicher gestalten und es kann trotzdem was passieren. Einzig - man kann den Schaden minimieren - hast Du ein Unternehmen und kommunizierst Du mit anderen per Mail oder musst auf Grund Deines Unternehmens Daten austauschen bist Du einfach gefährdet.

Bei den meisten KMUs läuft IT als notwendiges Übel oder ist eben wie "Gas, Wasser, Schei..." die IT ist halt da und wird als selbstverständlich angesehen und es läuft ja seit Jahren ... wie hier bei diesem Betrieb ... wobei der vorherige Dienstleister Murks auf der ganzen Linie geleistet hat! Er hat grob fahrlässig gehandelt, als er das System dem Kunden empfohlen, verkauft und eingerichtet hat ... ich für meinen Teil kann sagen, entweder der Kunde geht beim vorgeschlagenen Konzept mit, oder ich lehne den Auftrag ab.

 

@martins 

Thema Mitleid - Mitleid hat bei der Thematik nix zu suchen. Das ist ein Auftrag, der Verantwortung mit sich bringt. Der vorherige Dienstleister hatte bei Konzeption und Umsetzung gröbste Fehler gemacht (Hauptsache billig und geht irgendwie) und einfach schlecht beraten. Das hilft aber nicht weiter, denn letztlich hängen auch bei KMUs Arbeitsplätze davon ab.
Was die Beweissicherung angeht - ich hab von den Volumes 1:1 Kopien gemacht (waren 2x Raid1). Allerdings interessiert sich die lokale Polizei herzlich wenig um die Sache. Die haben mehr oder weniger abgewunken und gesagt, dass man da eh wenig rausbekommt, und wenn die Spur ins Ausland führt ist es eh Essig. Hier in diesem Fall wird das wohl so sein ... versuch mal von einem russischen Hoster IP Adressen zurück zu verfolgen lassen.

 

Zum Thema zurück ...

Ich lasse im Moment das System durchscannen - es scheint kein aktiver Trojaner etc. drauf zu sein - Registry und die diversen Autorun Schlüssel sind sauber. Anscheinend kam der Hacker irgendwie per RDP auf den Server, hat den Rapid am 26.12. gestartet und verschlüsseln lassen. Es gibt übrigens kein AD, sondern nur eine Workgroup. Keine leeren Passwörter.

 

Kleiner Tipp am Rande ...

Für alle Aktionen an einem potentiell verseuchten System ist ein Medium mit Schreibschutz von unschätzbaren Vorteil. USB Sticks mit Schreibschutz sind hier allerdings rar gesät. Ich habe aber eine nette, einfach und kostengünstige Methode gefunden. Es gibt kleine USB SD Card Reader - die SD Cards haben einen physikalischen Schreibschutzschieber ... sprich ich hab meine Tools auf eine SD Card gepackt, Schreibschutz der Karte aktiviert und dann über den USB Reader verbunden (geht auch im abgesicherten Modus). Damit kann ich ausschließen, dass ich mir auf meinem System was einfange ...

Link zu diesem Kommentar

k.A. welche Leistungen der vorherige ITler deinem "Neukunden" verkauft hat und schon gar k.A. welche Anforderungen der Kunde zuvor formuliert hat. Jedenfalls ist es nach meiner Erfahrung häufig so, dass das Budget doch sehr überschaubar ist und der Kunde erwartet dann häufig Wunder... wenn überhaupt Anforderungen definiert werden. Das entbindet natürlich den Dienstleiter auch nicht davon, die Leistung abzuliefern, die dem technischen Standard entspricht... aber das ist eine ganz andere, viel grundsätzlichere Diskussion!

 

Zu den von dir bereits getroffenen Maßnahmen möchte ich nur anmerken, dass es für die Beweissicherung speziell geschulte Dienstleister gibt. Im eigenen Interesse sollte man dies dem Kunden auch mitteilen und sich nicht selbst in eine "Haftungsfalle" begeben. Admins sind i.d.R. keine Forensiker!

 

Ich kenne auch Fälle bei denen sich angeblich jemand in das Netzwerk "gehacked" hat. Bei genauerer Betrachtung war es dann kein Hacker, sondern man (GF, Admin oder ein Mitarbeiter) hat ein Tool / Programm heruntergeladen und ausgeführt und sich gewundert, dass kurz nach dem Öffnen nur kurz ein Fenster aufgepoppt ist und sich danach nichts mehr getan hat. Dem wurde dann keine große Beachtung geschenkt und man hat sich dann nur irgendwann gewundert, dass ein Großteil der Daten verschlüsselt war. Dass die ursprünglich selbst heruntergeladene u. ausgeführte (Schad-) Software dafür verantwortlich war, wollte man dann nicht wirklich wahrhaben. Es war viel bequemer einen russischen Hacker dafür verantwortlich zu machen!

 

 

Link zu diesem Kommentar

Nur kurz, weil vom Mobile aus... 

Im Eventlog wurden Rdp Verbindungen mit externen IPs protokolliert. Nslookup liefert einen Server bei einem russischen Hoster... Also ziemlich eindeutig. Natürlich gibt es spezielle Forensik Firmen, das ist aber Kundensache, ob er welche beauftragt. 

Darauf hingewiesen ist er, auch dass ggf. einen Datenabfluss hat, der nach der DSGVO zu melden ist. Aber auch das ist nicht meine Sache und Aufgabe. Ich bin nicht der Admin oder Verantwortliche

Link zu diesem Kommentar
vor 15 Stunden schrieb Squire:

nebenbei - ich denke, dass es für den einen oder anderen ganz interessant sein kann hier mit zu lesen ... 

Ja!!

Schlichtweg, weil irgendwann erwischt es Jeden!

Bleibe noch die Frage, ob man den Zugriff mit einer Firewll und simplen GeoIP-Blocking hätte verhindern bzw. erschweren können. Meiner Erfahrung nach benötigen die wenigsten KMU Russische/Chinesische/Afrika Server.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...