Jump to content
Squire

Ransomware - Server verschlüsselt

Recommended Posts

Beim Surfen bin ich gestern auf Twitter gelandet. Der Hashtag #InfoSec hat mich etwas desillusioniert. Ich habe/hatte keinen naiven Blick auf die Sicherheitslage, dennoch war ich geplättet über das was ich da las. Ohne ins Detail zu gehen, glaube ich, dass wir noch sehr viel Kommunikationsarbeit beim Thema Sicherheit und Konzepte vor uns haben, wenn es ein Mindestmaß an Sicherheit im Netzwerk geben soll....

 

Vom Benutzer zum Domain-Admin in 36 Minuten mit den Sysinternals. Das ist auf einem HoneyPot genau so abgelaufen.

 

Meiner Meinung nach ist es schier unmöglich einem kleinen und mittelständigem Unternehmen zu erklären, das er mehrere tausende von €uros investieren muss, um ein kleinen Grundschutz zu haben. Der dann auch noch stark davon abhängig ist, wie geschult, geschickt und teuer der Systembetreuer und Admin ist. Hier muss sich eindeutig was tun. Zu viele wiegen sich in falscher Sicherheit.

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb MurdocX:

Zu viele wiegen sich in falscher Sicherheit.

Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich,  vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet.

Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen.

Edited by SandyB
  • Like 1

Share this post


Link to post
Share on other sites
vor 23 Stunden schrieb SandyB:

Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich,  vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet.

Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen.

Meinst Du etwa Unternehmen wie Maersk, Beiersdorf und Rheinmetall sind nicht zigfach zertifiziert!? Und was hat es genutzt!?

Manchmal merkt man eben erst wenn es geknallt hat, woher das 'Geschoss' eigentlich gekommen ist. IMHO ist es dann wichtig die richtigen Schlüsse daraus zu ziehen, aber niemand wird vorab an Alles denken können zumal es sich allzu oft über hochkomplexe Systeme/Prozesse handelt, die kaum noch Jemand lückenlos überblicken kann.

 

Share this post


Link to post
Share on other sites
Am 3.1.2020 um 11:15 schrieb DocData:

Es erwischt nicht jeden. Es erwischt nur die, die ihre Hausaufgaben nicht gemacht haben.

 

Geo-Blocking halte ich für nicht praktikabel. Grundsätzlich sollte man die Angriffsvektoren beachten, also Makros, Links, PowerShell, Zugriff von Außen.

bzgl. Powershell wäre beispielsweise eine einfache Maßnahme, um die Security zu erhöhen, Powershell 2.0 auf Win10 zu disablen.

Edited by SandyB

Share this post


Link to post
Share on other sites

Ich will mal kurz auch von meiner Ramsom-Ware Erfahrung berichten.

 

Ich habe bestimmt schon zwischen 10 und 20 Fällte behandelt - die Meisten Fällte davon vor einigen Jahren wo die erste Welle begann "simple klick Mails" wo die Verschlüsselung direkt auf Netzlaufwerke los gingen. Wenn man es schnell genug bemerkt, dann reicht es sogar eine Volumenschattenkopie auf dem Fileserver zu haben um das meiste zu retten. Generell ist ein externes Backup bei den heuten Angriffen aber unverzichtbar und wenn es nur USB Festplatten sind die nicht an den IT Systemen angeschloßen sind.

 

Die Ransom Welle momentan hat aber eine ganz andere Qualität und es ist meist nicht mehr ein simples Netzlaufwerke Verschlüsseln. Mit Emotet ist ein ganzes Paket an Schadsoftware dabei. welches Netzwerk nach Lücken durchsucht, Zugangsdaten versucht zu stehen etc. pp. Die Bösen Buben gehen momentan weitaus gezielter vor. Teilweise wird sich im Netzwerk umgeschaut und zuerst sichergestellt, dass das Backup zerstört / unbrauchbar gemacht wird bevor andere Daten verschlüsselt werden. Um den Jahreswechsel hatte wir zwei Fälle bei Kunden die nur ein NAS Backup hatten und in beiden Fällen war der Schaden enorm. In einem Fall konnte noch einiges rekonstruiert werden und im anderen Fall wurden mehr als 30T€ Lösegeld bezahlt.

 

Wenn die Verschlüsselung von einem PC ausgeht, dann lässt sich relativ einfach herausfinden wer der Schuldige ist wenn man sich den Besitzer der Datei anschaut. Verschlüsselte Daten haben meist den Besitzer des Verursachers. Problematisch ist das manchmal nur mit Gruppen wenn dieser Benutzer z.B. in der Domain-Admin Gruppe ist, dann ist der Besitzer der Datei "Domain-Admin". Daher ist das auch die Gruppe die ich immer zuerst bei Befall prüfe und alles raus schmeiße was da nicht rein gehört. Keine Schlechte idee ist es auch häufig den File Server und andere wichtige Systeme erst mal runterzufahren, bis man näher eingrenzen woher die Verschlüsselung kommt. Um einzuschätzen, ob noch verschlüsselt wird, verwende ich z.B. das Tool Disk Pulse und Filtere nach den Dateinamen / Dateiendungen der Verschlüsselung.

 

Sicherheitshinweise aus meiner Erfahrung ( nichts neues dabei nur Grundlegendes):

- BACKUP! ( Extern gelagert, von IT System getrennt, Mindestens 4 Wochen aufbewahren, besser sogar länger)

- Firewall Konfig Regelmäßig prüfen! Kein RDP / Firewall Management etc nach extern (wenn dann nur mit Kennwort Richtline und Max Login Trys)

- Sicherheitsgruppen / Admin Gruppen Regelmäßig prüfen ( Ich habe so viele Netzwerke gesehen wo ALLE oder zu viele Benutzer in der Domain-Admin Gruppe sind)

- Getrennte Admin Konten von den normalen "Arbeitskonten"

- Systeme Aktuell halten ( Firmware Firewall, Windows Updates etc)

- Anständiger Spam Filter ( Meiste Angrifft kommen noch so)

- Mitarbeiter Sensibilisierung ( Hoffnung Stirbt zuletzt)

- keine lokalen Admin Rechte

- Beliebig weitere Punkte und etwas Menschenverstand :P

 

 

Zwei Dinge sind mir noch eingefallen:

 

- Habe von einem Fall gehört wo Knoll Ontrack die Daten nach einer Analyse wiederherstellen / entschlüsseln konnten.

- Man kann druchaus mit den Erpressern verhandeln. Eine Sicherheit, dass es nach hinten losgeht gibt es nicht aber habe von Rabatten zwischen 20%-50% mitbekommen.

 

Edited by john23
  • Like 2

Share this post


Link to post
Share on other sites

so ... kleines Update ...

 

nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen.

 

Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott.

 

Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ...

Die Arbeit für das Angebot spar ich mir bei dieser Gesinnungslage ...

Meine Rechnung hat er bezahlt - für mich ist das jetzt abgeschlossen

 

Fazit: Den Schuß vor oder besser in den Bug hat er immer noch nicht verstanden. Das liegt jetzt alles in seiner Verantwortung ... ich bin raus!

Share this post


Link to post
Share on other sites

Ich finde es sehr bedenklich, dass von vielen Firmen solche Vorfälle als "bedauerlicher Zwischenfall" gesehen werden und Lösegeld bezahlt wird, weil es häufig günstiger ist, als die Systeme aus einer Sicherung zurückzuholen. Ich finde, das sollte man nicht nur betriebswirtschaftlich sehen. Denn mit dem Lösegeld finanziert man im besten Fall den Lebensunterhalt eines Programmierers und die Entwicklung weiterer Schadsoftware, im schlechtesten Fall finanziert man jedoch den Terrorismus.

Share this post


Link to post
Share on other sites
vor 56 Minuten schrieb Squire:

ist anscheinend alles nicht so wichtig

Die Aussage kommt immer erst, wenn man das Kind wieder aus dem Brunnen ziehen konnte.

 

Man kann immer nur die versuchen zu retten, die auch gerettet werden wollen. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...