Jump to content

Ransomware - Server verschlüsselt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Beim Surfen bin ich gestern auf Twitter gelandet. Der Hashtag #InfoSec hat mich etwas desillusioniert. Ich habe/hatte keinen naiven Blick auf die Sicherheitslage, dennoch war ich geplättet über das was ich da las. Ohne ins Detail zu gehen, glaube ich, dass wir noch sehr viel Kommunikationsarbeit beim Thema Sicherheit und Konzepte vor uns haben, wenn es ein Mindestmaß an Sicherheit im Netzwerk geben soll....

 

Vom Benutzer zum Domain-Admin in 36 Minuten mit den Sysinternals. Das ist auf einem HoneyPot genau so abgelaufen.

 

Meiner Meinung nach ist es schier unmöglich einem kleinen und mittelständigem Unternehmen zu erklären, das er mehrere tausende von €uros investieren muss, um ein kleinen Grundschutz zu haben. Der dann auch noch stark davon abhängig ist, wie geschult, geschickt und teuer der Systembetreuer und Admin ist. Hier muss sich eindeutig was tun. Zu viele wiegen sich in falscher Sicherheit.

Link zu diesem Kommentar
vor 3 Stunden schrieb MurdocX:

Zu viele wiegen sich in falscher Sicherheit.

Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich,  vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet.

Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen.

bearbeitet von SandyB
Link zu diesem Kommentar
vor 23 Stunden schrieb SandyB:

Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich,  vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet.

Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen.

Meinst Du etwa Unternehmen wie Maersk, Beiersdorf und Rheinmetall sind nicht zigfach zertifiziert!? Und was hat es genutzt!?

Manchmal merkt man eben erst wenn es geknallt hat, woher das 'Geschoss' eigentlich gekommen ist. IMHO ist es dann wichtig die richtigen Schlüsse daraus zu ziehen, aber niemand wird vorab an Alles denken können zumal es sich allzu oft über hochkomplexe Systeme/Prozesse handelt, die kaum noch Jemand lückenlos überblicken kann.

 

Link zu diesem Kommentar
Am 3.1.2020 um 11:15 schrieb DocData:

Es erwischt nicht jeden. Es erwischt nur die, die ihre Hausaufgaben nicht gemacht haben.

 

Geo-Blocking halte ich für nicht praktikabel. Grundsätzlich sollte man die Angriffsvektoren beachten, also Makros, Links, PowerShell, Zugriff von Außen.

bzgl. Powershell wäre beispielsweise eine einfache Maßnahme, um die Security zu erhöhen, Powershell 2.0 auf Win10 zu disablen.

bearbeitet von SandyB
Link zu diesem Kommentar

Ich will mal kurz auch von meiner Ramsom-Ware Erfahrung berichten.

 

Ich habe bestimmt schon zwischen 10 und 20 Fällte behandelt - die Meisten Fällte davon vor einigen Jahren wo die erste Welle begann "simple klick Mails" wo die Verschlüsselung direkt auf Netzlaufwerke los gingen. Wenn man es schnell genug bemerkt, dann reicht es sogar eine Volumenschattenkopie auf dem Fileserver zu haben um das meiste zu retten. Generell ist ein externes Backup bei den heuten Angriffen aber unverzichtbar und wenn es nur USB Festplatten sind die nicht an den IT Systemen angeschloßen sind.

 

Die Ransom Welle momentan hat aber eine ganz andere Qualität und es ist meist nicht mehr ein simples Netzlaufwerke Verschlüsseln. Mit Emotet ist ein ganzes Paket an Schadsoftware dabei. welches Netzwerk nach Lücken durchsucht, Zugangsdaten versucht zu stehen etc. pp. Die Bösen Buben gehen momentan weitaus gezielter vor. Teilweise wird sich im Netzwerk umgeschaut und zuerst sichergestellt, dass das Backup zerstört / unbrauchbar gemacht wird bevor andere Daten verschlüsselt werden. Um den Jahreswechsel hatte wir zwei Fälle bei Kunden die nur ein NAS Backup hatten und in beiden Fällen war der Schaden enorm. In einem Fall konnte noch einiges rekonstruiert werden und im anderen Fall wurden mehr als 30T€ Lösegeld bezahlt.

 

Wenn die Verschlüsselung von einem PC ausgeht, dann lässt sich relativ einfach herausfinden wer der Schuldige ist wenn man sich den Besitzer der Datei anschaut. Verschlüsselte Daten haben meist den Besitzer des Verursachers. Problematisch ist das manchmal nur mit Gruppen wenn dieser Benutzer z.B. in der Domain-Admin Gruppe ist, dann ist der Besitzer der Datei "Domain-Admin". Daher ist das auch die Gruppe die ich immer zuerst bei Befall prüfe und alles raus schmeiße was da nicht rein gehört. Keine Schlechte idee ist es auch häufig den File Server und andere wichtige Systeme erst mal runterzufahren, bis man näher eingrenzen woher die Verschlüsselung kommt. Um einzuschätzen, ob noch verschlüsselt wird, verwende ich z.B. das Tool Disk Pulse und Filtere nach den Dateinamen / Dateiendungen der Verschlüsselung.

 

Sicherheitshinweise aus meiner Erfahrung ( nichts neues dabei nur Grundlegendes):

- BACKUP! ( Extern gelagert, von IT System getrennt, Mindestens 4 Wochen aufbewahren, besser sogar länger)

- Firewall Konfig Regelmäßig prüfen! Kein RDP / Firewall Management etc nach extern (wenn dann nur mit Kennwort Richtline und Max Login Trys)

- Sicherheitsgruppen / Admin Gruppen Regelmäßig prüfen ( Ich habe so viele Netzwerke gesehen wo ALLE oder zu viele Benutzer in der Domain-Admin Gruppe sind)

- Getrennte Admin Konten von den normalen "Arbeitskonten"

- Systeme Aktuell halten ( Firmware Firewall, Windows Updates etc)

- Anständiger Spam Filter ( Meiste Angrifft kommen noch so)

- Mitarbeiter Sensibilisierung ( Hoffnung Stirbt zuletzt)

- keine lokalen Admin Rechte

- Beliebig weitere Punkte und etwas Menschenverstand :P

 

 

Zwei Dinge sind mir noch eingefallen:

 

- Habe von einem Fall gehört wo Knoll Ontrack die Daten nach einer Analyse wiederherstellen / entschlüsseln konnten.

- Man kann druchaus mit den Erpressern verhandeln. Eine Sicherheit, dass es nach hinten losgeht gibt es nicht aber habe von Rabatten zwischen 20%-50% mitbekommen.

 

bearbeitet von john23
Link zu diesem Kommentar

so ... kleines Update ...

 

nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen.

 

Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott.

 

Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ...

Die Arbeit für das Angebot spar ich mir bei dieser Gesinnungslage ...

Meine Rechnung hat er bezahlt - für mich ist das jetzt abgeschlossen

 

Fazit: Den Schuß vor oder besser in den Bug hat er immer noch nicht verstanden. Das liegt jetzt alles in seiner Verantwortung ... ich bin raus!

Link zu diesem Kommentar

Ich finde es sehr bedenklich, dass von vielen Firmen solche Vorfälle als "bedauerlicher Zwischenfall" gesehen werden und Lösegeld bezahlt wird, weil es häufig günstiger ist, als die Systeme aus einer Sicherung zurückzuholen. Ich finde, das sollte man nicht nur betriebswirtschaftlich sehen. Denn mit dem Lösegeld finanziert man im besten Fall den Lebensunterhalt eines Programmierers und die Entwicklung weiterer Schadsoftware, im schlechtesten Fall finanziert man jedoch den Terrorismus.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...