Jump to content
Squire

Ransomware - Server verschlüsselt

Recommended Posts

Du hast den wichtigsten Vektor vergessen, den Mensch und den kannst Du nicht abschalten ........ von daher bin ich der Ansicht, dass es tatsächlich irgendwann jeden treffen kann, auch den bestens Vorbereiteten. Inwieweit der dann tatsächlich beeinträchtigt wird, das steht im Verhältnis zu seinen gemachten Hausaufgaben.

 

Grüsse

 

Gulp

  • Like 2

Share this post


Link to post
Share on other sites

auch ich lese hier gerne mit, auch wenn ich zum Teil immer denke, boah ... wie kann man, und dann wieder feststelle, aus welcher "arroganten" Haltung heraus dieses geschieht, denn ich bin ein Konzern Kind und die Budgets sind ganz andere.

 

Mein Tipp an die KMUs im Bekanntenkreis ist immer:

  • Beauftragt einen Preiswerten Dienstleister, keinen billigen
  • Schliesst einen günstigen Wartungsvertrag ab
  • Baut eure IT so nah es geht an den vorgesehenen Best Practice und haltet eure eingesetzte Hardware aktuell
  • Rechnet euch einmal aus, was ein Tag keine IT kostet und plant mindestens das Geld als Wartungskosten

Dieses mache ich im Nebenjob auch immer wieder, hier planen wir tatsächlich dieses Jahr dann die Umstellung von einer FritzBox auf was professionelles, was dann auch nicht mehr durch mich gewartet wird, sondern durch einen entsprechenden Dienstleister.

 

@DocData

Ich glaube, das kann man so nicht mehr sagen, ich habe in den letzten 2 Jahren echt gut gemachte Angriffe gesehen, ich lebe eigentlich immer mehr nach dem Moto, ich weiss nur noch nicht, dass es mich erwischt hat, also sorge ich dafür, dass ich an meine Daten komme.

 

  • Like 1

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb BOfH_666:

 

...  kommt sogar noch besser:    "Auch ein ausgewiesener Sicherheitsforscher klickt mal daneben .... "   36C3: Wenn der Ransomware-Support plötzlich Russisch spricht   

Auf den Vortrag wollte ich auch hinweisen. @Squire: Wenn du jemanden mit russischer Staatsbürgerschaft kennst, lass ihn mit den Erpressern kommunizieren. Linus erwähnte, dass die Russen auf der anderen Seite keien Russen hacken und die Dateien kostenöos entschlüsselt haben, nachdem der russiche Bekannte von Linus ihnen eien Kopie seines Passes zukommen hat lassen und behauptet hat, er würde fü Gazprom in Deutschland arbeiten.

Share this post


Link to post
Share on other sites
vor 57 Minuten schrieb MrCocktail:

@DocData

Ich glaube, das kann man so nicht mehr sagen, ich habe in den letzten 2 Jahren echt gut gemachte Angriffe gesehen, ich lebe eigentlich immer mehr nach dem Moto, ich weiss nur noch nicht, dass es mich erwischt hat, also sorge ich dafür, dass ich an meine Daten komme.

 

Wenn man die Vektoren beachtet, insbesondere Makros und PowerShell, dann kann man auch mal aus Versehen auf so einen Link klicken. Die meisten sind einfach nur zu bequem um konsequent Anhänge zu blocken und die PoSh per GPO abzuknipsen.

 

Was den Angriffsvektor Mensch angeht: Volle Zustimmung.

Edited by DocData

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb BOfH_666:

 

...  kommt sogar noch besser:    "Auch ein ausgewiesener Sicherheitsforscher klickt mal daneben .... "   36C3: Wenn der Ransomware-Support plötzlich Russisch spricht   

Die Uni Erlangen hatte vor noch nicht so langer Zeit (2016) eine ähnliche Untersuchung unter 1700 FAU-Studenten durchgeführt:

78% aller User gaben an, die Gefahren von Phishing Mails zu kennen und hielten sich für gewappnet

45% der User klickten bei einer anschließend durchgeführten Phishing-Kampagne trotzdem auf den Phishing-Link 

20% der Klickser standen anschließend immerhin dazu :-)

 

https://www.fau.eu/2016/08/25/news/research/one-in-two-users-click-on-links-from-unknown-senders/

 

Man kann darüber diskutieren, ob Ergebnisse von 2016 jetzt noch aussagekräftig sind und ob Studenten mehr oder weniger anfälliger sind als der Rest der Bevölkerung. 

 

Gophish 

https://getgophish.com/

ist übrigens ein interessantes Framework, um solch eine Aufrüttel-Kampagne in der eigenen Umgebung durchzuführen. 

Edited by SandyB

Share this post


Link to post
Share on other sites

Danke für den Tipp - leider kenn ich da niemand ... Polen, Tschechen wäre kein Problem - chinesisch könnte meine Frau abdecken ...

Der Kunde will heut checken, ob er so erstmal notdürftig arbeiten kann ... ich werde am Wochenende ein Konzept zusammen stellen und ein Angebot machen.

 

 

Ich bring den Server heute zurück ... Schadsoftware habe ich keine mehr gefunden. Schattenkopien hatte der Hacker übrigens gelöscht. Das war dann leider auch keine Möglichkeit zurück an die Ursprungsdateien zu kommen. Komplett verschlüsselt ist die Kiste aber zum Glück auch nicht. Die ERP Datenbank hat es nicht erwischt und einen großen Teil der Verzeichnisse ebenso ... Der Kunde hat anscheinend Glück im Unglück, dass seine 7 Jahre alte Hardware mit Raid1 und ohne Batteriecache schlicht gemütlich bei der Verschlüsselung vorging ...

 

... und ja - eine reiner Routerfirewall halte ich persönlich auch nicht für ausreichend. Ich hab zwar auch zu Hause eine Fritzbox und im Fritzbox Netz sind SmartTV, Mobiles, SmartHome Geräte ... und dann kommt dahinter die richtige Firewall mit meinem internen Netz und ESX sowie VMs ...

 

@DocData:

ich hab in der Firma schon Phishing/Trojaner Attacken in den Fingern gehabt, da ist erst bei genauer Betrachtung der Mailheaders aufgefallen, dass da was im Busch ist. Ein normaler User hätte wohl geklickt. (War ne Antwort auf eine Projektemail, mit korrekter Ansprache, keine Rechtschreibfehler und Bezugnahme auf eine frühere Email) ... die Jungs lernen dazu! Es geht schließlich ums Geld

Ich kann ausschließen, dass da was über Macros in MS Office Dateien reingekommen ist - die arbeiten nämlich nicht mit MS Office sondern mit openOffice. Meines Erachtens war der Einfallvektor alte nicht mehr gepflegte Software WHS2011 ist seit 2016 EOL, wer weiß was es da für Hacks dafür gibt.

 

@SandyB:

Wir haben 2019 firmenintern Phishingtests gemacht - es ist erschreckend, wie viele einfach auf Links klicken! Wir hatten zwei Stufen ... erst Klicken und dann noch Credentials ... die Prozentzahlen waren ähnlich .... knapp 35% haben die Link geklickt und gut die Hälfte haben dann noch ihre Zugangsdaten eingegeben. Jeder der glaubt, dass es in seinem Unternehmen anders läuft, möge einfach mal solche Tests durchführen und sich vor der Auswertung gut hinsetzten. Hier greift einfach der Spruch vom "Glashaus" - aber nicht wundern, wenn dann die Scheiben kaputt sind.

Edited by Squire

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb DocData:

Es erwischt nicht jeden. Es erwischt nur die, die ihre Hausaufgaben nicht gemacht haben.

 

Geo-Blocking halte ich für nicht praktikabel. Grundsätzlich sollte man die Angriffsvektoren beachten, also Makros, Links, PowerShell, Zugriff von Außen.

Einmal Hausaufgaben machen vergessen! Und Nu!? ;-)

Hochmut kommt bekanntlich vor den Fall. 

Irgendwann wird es mal den OneDay Exploit im OS gehen, den dann findige Kriminelle ausnutzen werden. Trojaner per Makro sind ja nur eine Möglichkeit. Wenn dann wenigstens das Backup verfügbar bleibt ist man zumindest vor totalem Datenverlust gesichert. 

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

kurzes Fazit der Geschichte:

 

Es war ein direkter Hackerangriff aus dem russischen Raum. Im Eventlog wurden russische IPs und russische Rechnernamen (in kyrillischer Schrift) bei RDP Verbindungen protokolliert. (Trojaner, Viren oder sonstiges waren nicht im Spiel)

 

Der mutmaßliche Angriffsvektor ist folgender:

Auf der Fritzbox waren eingehend Ports für POP3/IMAP geöffnet. Dahinter lag der steinalte HMailserver von 2013 mit allen seitdem offenen Lücken (OpenSSL Bibliothek von 2013, inkl Heartbleed Bug, SSL3, TLS1, etc...). Der HMail lief dann auch noch als LocalSystem ... perfekt für den/die Hacker. Die  waren dann über mehrere Tage zugange. Am 26.12. wurden alle Schattenkopien und bak-Files auf dem System gelöscht und die Ransomware Rapid V2/V3 aktiviert.

Glücklicherweise war/ist die Kiste nicht sonderlich schnell (Raid ohne Batteriecache), so dass nicht alles verschlüsselt wurde. Die manuell gestartete Randsomware war anscheinend nur im Speicher aktiv und wurde durch einen Serverreboot durch den Kunden (bevor ich kontaktiert wurde) unterbrochen ...

Glück im Unglück die SQL DB ist unbeschädigt und das ERP funktioniert.

 

@Dr.Melzer: Der Kunde hat doch russische Bekannte und versucht jetzt über Chat auf russisch zu verhandeln - mal sehen was rauskommt.

 

Ich werde jetzt ein Konzept und Angebot für ein neues System unterbreiten - ob das umgesetzt wird ist allerdings fraglich (Hardware, Software und Lizenzen dürfte bei unter 10 T€ liegen ... da kam schon die Ansage ... wir sind ein kleines Unternehmen, das ist aber sehr viel Geld für uns ... naja ... ich sag mal so ... Da hat jemand den Schuß nicht gehört) ... 

 

Fazit: Nicht gewartete und alte Software können zu katastrophalen Auswirkungen führen. Die eigentlichen Kosten des Vorfalls werden sich erst in der nächsten Zeit zeigen ... 

Edited by Squire

Share this post


Link to post
Share on other sites

War der RDP Zugriff von extern direkt auf den RDP Server möglich?

 

Auch wenn die Hardware alt sein sollte, das Verschlüsseln der Dateien geht ratz fatz. Sicher das hier niemand auf einen Link in einer E-Mail geklickt hat und kurz darauf seinen Fehler bemerkte und ggf. aus Panik den Server neu startete? Zumal der 26.12. eigentlich ein Feiertag ist... wer arbeitet da schon... außer der Chef und die Admins ?

Wie waren denn die anderen Computer/Server in dem Netzwerk geschützt. Ist der E-Mail Server standalone oder ein Server für alle Serverdienste im Unternehmen?

 

Auf alle Fälle sehr interessant. Da sieht man wie wichtig ein sauber durchdachtes Backupsystem sein kann.

 

Share this post


Link to post
Share on other sites
vor 42 Minuten schrieb mcse2020:

oder hier zumindest mal eine verschlüsselte Datei angeboten.

Das würde ich ohne Einwilligung des Kunden tunlichst sein lassen. Kunde und IT-Firma wissen auch nicht was die Datei beinhaltet. Würde mich das ein Kunde fragen, dann würde ich ihm tunlichst davon abraten.

 

Ich würde über einen Wartungsvertrag, Sicherheitskonzepte und die neue Einrichtung des ganzen sprechen. 
 

Edit: Der Kostenvorschlag von fast 10k€, ohne die Kalkulation gesehen zu haben, wäre auch meine Einschätzung.

Edited by MurdocX

Share this post


Link to post
Share on other sites

@speer: RDP war von extern nicht offen - Angriffsvektor habe ich oben beschrieben. Da gibt es nix zu rütteln. Die Eventlog Einträge (IP, Name und Zeit sprechen eine deutliche Sprache). Die Frage nach Office und Macros stellt sich nicht, da das Unternehmen nicht mit MS Office arbeitet. Außerdem war ist zur Zeit noch Betriebsruhe ... da war niemand der klicken konnte!

 

@mcse2020: Es ist definitiv RAPID V2/V3 - das haben mehrere Tools auch so zurückgemeldet. Mehrere unverfängliche Dateien wurden zusammen mit dem Kunden durch die gängigen Analysetools geprüft. Und Rapid V2/V3 ist zur Zeit nicht decryptierbar.

 

@MurdocX: Der Kunde braucht alles frisch ... vorhandene Soft und Hardware sind für die Tonne. Dell PowerEdge Server (Tower) mit entsprechenden HDDS, Speicher und Servicelevel, Win 2019 + Cals, Virenschutz, Email Archivierungssoftware, Backup, Hardware Firewall. Dienstleistung für Installation, Übernahme ERP etc. extra. War erstmal eine grobe Überschlagskalkulation. Supportlaufzeiten der Software und Hardware auf 3 bzw. 5 Jahre ... Rechnet man das auf 5 Jahre sind die Kosten bei überschaubaren 2000€ pro Jahr. Das sollte einem seine Unternehmenssicherheit wert sein.

Edited by Squire
  • Like 1

Share this post


Link to post
Share on other sites
Am 2.1.2020 um 13:34 schrieb Squire:

ich hab folgende Datei im Download des Admins unter einem Verzeichnis RRR gefunden - die Exes hat er wohl mit einem AV Scan geschreddert

spricht doch dafür, dass die eigentliche Attacke mit einem Klick des Admins auf eine Phishing Mail begann, sowie 90% aller CyberAttacken. Trotzdem sollte man dem nicht "den Kopf abreißen", (9% der übrigen Attacken sind watering hole attacks)

 

Der verhängnisvolle Klick war aber weder Anfang noch Ende der Kette:

 

cyber kill chain 

https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

 

unified kill chain

https://www.csacademy.nl/images/scripties/2018/Paul-Pols---The-Unified-Kill-Chain.pdf

Edited by SandyB

Share this post


Link to post
Share on other sites

Das schwächste Glied in der Kette ist immer noch der Mensch mit seinem antrainierten Verhalten reflexartig auf angebotene Buttons zu klicken. Linus Neumann erläutert das in einem Speech auf dem 36C3 recht gut:

 

https://media.ccc.de/v/36c3-11175-hirne_hacken

 

Interessnat auch die beiden Beispiele die er anführt aus Kundentests dazu.

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...