Jump to content
Squire

Ransomware - Server verschlüsselt

Recommended Posts

vor 20 Stunden schrieb john23:

- Anständiger Spam Filter ( Meiste Angrifft kommen noch so)

Bei uns lässt sich die überwiegende Anzahl der Events auf commodity malware zurückführen. Zumindest teilweise ist diese auch ohne Adminrechte lauf- und schadfähig.

Edited by SandyB

Share this post


Link to post
Share on other sites
vor 12 Stunden schrieb Squire:

nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen. 

 

Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott.

 

Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ...

Hier meine 3 Arten von Kunden:

A) Handelt vorbildlich und ist sich seinen Pflichten als Geschäftsführer / Handelsmann / Verantwortlicher bewusst.
Meistens die wenigsten Diskussionen und ordentliche Wertschätzung!

B) Ist sich seinen Pflichten halbwegs bewusst und kann grob einschätzen das ohne seine IT ein großer finanzieller Schaden entstehen kann.
IT-Sicherheit an sich wird so flach gehalten wie es geht und ist ein notwendiges Übel. Trifft es ihn hart, lenkt er schnell ein und versucht die Fehler mit Investitionen zu kompensieren.

C) Bei ihm ist prinzipiell Hopfen und Malz verloren.
IT ist da und muss laufen, alles andere spielt keine Rolle. Funktioniert etwas nicht und der Dienstleister erscheint zu teuer bzw. unglaubwürdig, werden bekannte und Freunde gefragt. Kennt seine Pflichten als Geschäftsmann nicht, wurde nie wirklich aufgeklärt. Hört den Schuss frühestens, wenn der Laden komplett dicht gemacht hat.

Edited by falkebo
  • Like 1

Share this post


Link to post
Share on other sites

c) mag ich am liebsten. In die Kategorie gehören gerne auch ältere Personen in der Bekanntschaft. Ich bin froh, daß meine Mutter verstanden hat, was für ein Risiko "klick mich" bedeutet, die fragt inzwischen tatsächlich vorher aktiv nach 👍 Das würde ich mir bei vielen Bürokollegen auch wünschen...

Share this post


Link to post
Share on other sites

Bei uns in der Nähe gingen grad zwei grössere KMU deswegen Hops. Mindestens einer davon hatte eine ziemlich aufwendige IT, angeblich auch sicherheitstechnisch auf ziemlich hohem Niveau. Einen dritten etwas grösseren Betrieb hat es mehrere Millionen gekostet. Komplette Service-Abteilung ca. 1 Monat vollständig stillgelegt. Ging rein gar nichts mehr. Die Leute völlig überfordert weil sich keiner mehr gewohnt war mit Papier und Stift zu arbeiten. Ersatzteile hat das Lager keine Ausgespuckt da ebenfalls tot usw.

 

Der eine grössere KMU hat ordentlich Geld für IT-Sicherheit dafür ausgegeben. Klar, nur Geld ausgeben ist keine Sicherheit das die Firma welches das umgesetzt hat auch ihr Handwerk verstanden hat, aber der Wille war mit Sicherheit da. Ein Monat kompletter Produktionsstillstand da alles modern, hochvernetzt und durchautomatisiert. Firma pleite, fast 200 Mitarbeiter auf der Strasse. Die ganze Produktion hing mit der IT zusammen. Perfekter moderner Betrieb quasi. War wohl das totale Chaos. Potentielle Investoren welche die Firma retten wollten, sind abgesprungen weil massenhaft Strafzahlungen wegen verspäteter Lieferung angestanden wären.

 

Ich frage mich wirklich wohin das ganze führt. Insbesondere bei der Digitalisierung von Produktionsbetrieben. Da wird noch einiges kommen. Büro PC's kriegt man ja irgendwie noch in den Griff aber integrierte Produktionslinien sind der Super-Gau schlechthin. Insbesondere für kleinere Betriebe. Steuerungen bis runter zu W95 und solche Spässe für aktuell 10 jährige Maschinen sind gar nicht so selten. XP noch sehr weit verbreitet. (Lieferant war nahmhafter deutscher Grosskonzern). Die Update und Produkt-Strategie von MS macht es auch nicht gerade einfacher.

  • Like 1

Share this post


Link to post
Share on other sites

Ein richtiges Backup-Konzept mit verschlüsselten Bändern ist doch noch viel Wert. Wer auf eine reine Festplatten-Sicherung setzt geht meiner Meinung nach ein hohes Risiko ein...

Ist aber natürlich nur ein Baustein. Warum ich das schreibe: Ich hatte gerade mit einer externen Service-Fa zu tun, die ein defektes LTO7-Laufwerk tauschen sollte. Er meinte freudestrahlend: "Gott sei dank" geht das mit den Bandlaufwerken immer mehr zurück... 

Share this post


Link to post
Share on other sites
vor 46 Minuten schrieb Weingeist:

Ich frage mich wirklich wohin das ganze führt. Insbesondere bei der Digitalisierung von Produktionsbetrieben. Da wird noch einiges kommen. Büro PC's kriegt man ja irgendwie noch in den Griff aber integrierte Produktionslinien sind der Super-Gau schlechthin. Insbesondere für kleinere Betriebe. Steuerungen bis runter zu W95 und solche Spässe für aktuell 10 jährige Maschinen sind gar nicht so selten. XP noch sehr weit verbreitet. (Lieferant war nahmhafter deutscher Grosskonzern). Die Update und Produkt-Strategie von MS macht es auch nicht gerade einfacher.

Das hat nichts mit Microsoft zu tun, sondern mit fehlerhafter Umsetzung und mangelhaften Konzepten. Wenn die Leute ihre Netze mal ordentlich trennen würden, wäre das Geschrei nicht so groß. Siehe auch Berechtigungs- und Administrationskonzepte. Wer Opfer von Ransomware wird und danach sind Server und Maschinensteuerungen verschlüsselt, der hat einfach seinen Job nicht gemacht. Und der ist dann auch zu recht pleite.

Edited by DocData

Share this post


Link to post
Share on other sites
vor 30 Minuten schrieb zahni:

Er meinte freudestrahlend: "Gott sei dank" geht das mit den Bandlaufwerken immer mehr zurück...

Ich erlebe derzeit überall das Gegenteil - nur Offline-Sicherung ist Desaster-Sicherung...

Wir haben gerade versucht, für einen Freund einen 24-fach LTO7-Wechlser zu kaufen - nichts kurzfristig lieferbar

Share this post


Link to post
Share on other sites

@DocData: Hat sehr wohl auch mit MS zu tun.

1. haut MS nur noch umfassende Updates und nicht sicherheitsrelevante Updates separat raus (kann, muss aber nicht Probleme bei den Steuerungen geben. So meine Erfahrungen.)

2. kann man den Installationszeitpunkt der Updates nicht zuverlässig selber bestimmen (Ging früher 1A, Maschine hat Updates gezogen, der Mitarbeiter hat bei einer Produktionspause die Updates eingespielt. Fertig.)

3. Zieht W10 seine Updates irgendwie von irgendwoher, das zuverlässig abzustellen ist nicht trivial und schon gar nicht von MS vorgesehen. Dazu gibt es automatische ReArms. Also simple Fernwartung reicht schon aus wenn nicht Firewall, Tasks, Dienste etc. entsprechend durchkonfiguriert sind um den Updatediensten die Kommunikatiosmöglichkeiten zu entziehen. Dazu hat MS ständig neue Ideen wie es wieder aktiviert wird. (Automatische Firewall-Regeln im Hintergrund, Task welche Dienste reaktivieren, GPO welche nicht greifen und und und)

4. erschwert MS den Zugang zum Long Term Service Channel für vollständige Vorinstallationen völlig unnötig. Pro war Jahrzehnte das was verwendet wurd

5. MS missbraucht den Namen der Edition anstatt was neues zu nehmen. Pro ist im Grund nur noch eine Home-Edition mit Domänen-Einbinde-Rechten.

6. wurden die Lieferanten nicht informiert das ihr jahrelang verwendetes Pro nun plötzlich völlig ungeeignet ist für jegliche Art von Steuerungen

 

Meines erachtens trägt MS daher eine ziemlich grosse Mitschuld am Dilemma.

 

Klar, kann alles anderweitig geregelt werden, aber

A ist es definitiv nicht Standard bei 99% aller Lieferanten. Ich hatte bis jetzt einen einzigen der von sich aus auf LTSC gesetzt hat.

B. Ich hatte noch keinen welcher die Updatedienste selber zuverlässig abgeschaltet hat

C. Brauchen alle diese Dinger irgendwann Internet und zuguter Letzt: Muss der ganze Krempel mit ERP, Arbeitsmaschinen, Messtationen etc. kommunzieren. Protokolle müssen per E-Mail verschickt werden und und und. Werd das noch sauber trennen kann, Hut ab!

 

 

Zitat

Wer Opfer von Ransomware wird und danach sind Server und Maschinensteuerungen verschlüsselt, der hat einfach seinen Job nicht gemacht. Und der ist dann auch zu recht pleite.

bearbeitet vor 31 Minuten von DocData

Sorry, das ist einfach ein abartige Einstellung. Da hängt zuviel Leid dran.

1. kennen sich die meisten nicht selber damit aus, also wie sowas effektiv umgesetzt werden muss

2. wird es von den Dienstleistern selten so umgesetz wie man sollte, auch wenn sehr viel Geld in die IT investiert wurde

3. ist wie gesagt die saubere Trennung heute ein Ding der Unmöglichkeit

Edited by Weingeist

Share this post


Link to post
Share on other sites

Mit einem guten Datensicherungs und Restore Konzept kann ich mir nicht vorstellen, dass eine Umgebung einen ganzen Monat still steht und quasi nichts läuft. Ein Restore, selbst von großen Systemen sollte innerhalb von 1-2 Wochen locker machbar sein.

 

Mit ist klar, dass das erst mal nur die Server betrifft. Ich habe auch schon mehrere Umgebungen Quasi Komplett neu gemacht, heißt auch PCs ALLE neu installiert. Das sowas in Umgbungen mit mehreren 100 PCs dauert ist klar. Leider sind infektionswege nicht immer klar und deutlich und man geht auf Nummer sicher.

 

Aber ein Konzept - Notfallkonzept ist halt das A und O - was sind meine Kritischen Systeme und wie sichere ich diese gut ab? Wie kann ich diese möglichst schnell wieder in Betrieb nehmen?

Menschliches Versagen wird es aber auch immer geben, ob nun ein LKW Fahrer schläft und in ein Stau ende ein Rasselt oder Software Fehler oder einen Port zu viel an der Firewall.

 

Anhand der Berichte in den letzten Jahren sieht man aber, dass wir mitten drin in dem Thema sind. Wenn selbst Behörden, Langericht, Kammergerichte von solchen Problemen betroffen sind und dort Infrastukturen auch lange Offline sind. 

 

Share this post


Link to post
Share on other sites

und trotzdem stehst einfach doof da, wenn von den Herstellern Steuerungen für Maschinen verwendet werden, die z.B. nur SMB1 können und auch nicht mehr aktualisiert werden. Wir haben solch netten Teile von Siemens z.B., die sagen einfach - geht halt nicht. es gibt keine Updates. Wenn ihr kein SMB1 mehr haben wollt müsst ihr neue Maschinen kaufen, Steuerung tauschen geht nicht. Das würde bei uns mal lockere zweistellige Millionenbeträge für die Maschinen bedeuten. 

Am grünen Tisch ist immer alles einfach. In der Realität sieht es halt mal anders aus. Irgendwie müssen die Daten ja auf die Maschinen kommen und wieder auch auf nem Fileserver zurück kommen. Klar kann man eine abgeschottete Umgebung dafür bauen (wir sind dabei für die Produktion den SMB Share auf Linux bereitzustellen). Trotzdem wird es immer Schnittstellen PCs geben, die in beide Bereiche (Produktion/Normales Netz) Zugriffe haben.

 

@john23: klar ist ein Datensicherungs/Notfall Konzept wichtig. Im Serverbereich seit Jahren üblich (sollte) nur, was macht man mit den ganzen Kisten im Produktionsbereich? Da sammelt sich ein kompletter Zoo an. Ich hab in einigen Firmen Maschinen gesehen, da läuft auf der Steuerung von DOS über Win 3.1, Win95/98, Win 2000, XP, CE, Embedded, Win7 bis Win10 oder Linux ... Name it you get it. Und ein Austausch ist da nun mal nicht so einfach. Ein Kunde von mir hat eine 6kW Laser (40KW Leistungsaufnahme) und auf der Steuerung läuft ein Windows XP Embedded. Da gibt es nix anderes für die Maschine. Die kannst nicht einfach in die Tonne treten (bei 12x5m auch schwierig) und für 3.50€ bekommst Du da auch keinen Ersatz. Die Steuerung kann auch nur SMB1 ... klar kann man gegen Einwurf genügender Münzen eine neue Maschine mit neuer Steuerung bekommen ... 

Share this post


Link to post
Share on other sites
Am 28.2.2020 um 15:53 schrieb Weingeist:

Sorry, das ist einfach ein abartige Einstelung. Da hängt zuviel Leid dran.

1. kennen sich die meisten nicht selber damit aus, also wie sowas effektiv umgesetzt werden muss

2. wird es von den Dienstleistern selten so umgesetz wie man sollte, auch wenn sehr viel Geld in die IT investiert wurde

3. ist wie gesagt die saubere Trennung heute ein Ding der Unmöglichkeit


Deine Einstellung zu Microsoft hast du hier oft genug breitgetreten. Für mich eine extreme Einzelmeinung, bist halt kein Fanboy und lässt kein gutes Haar an Microsoft. Von mir aus...

 

Ich habe DAX Konzerne als Kunden, kenne den Bereich Industrial IT. Die Aussagen „Bei uns kostet das xx Mio € mimimi“ ist zu 99,999% darauf zurückzuführen, dass man jahrelang NICHTS gemacht hat. Vereinfacht gesagt: Technische Schulden. Job nicht gemacht.

 

Es sind immer die anderen, immer Microsoft, immer externe Faktoren. „Bei uns geht das nicht...mimimi... $AUSREDE“. Nein, Job nicht gemacht, weil zu unbequem, zu geizig, auf‘s falsche Pferd gesetzt. Das ist total trivial. Muss man halt vorher dran denken und nicht erst wenn die Bitcoin-Forderung auf dem Bildschirm steht.

 

IT-Security kann man mathematisch so verstehen, dass es sich dem Punkt U(nbenutzbar) unendlich nah annähert, ihn aber nicht erreicht. Tut es das nicht, dann machst du was falsch.

  • Thanks 2

Share this post


Link to post
Share on other sites

Wir sind in einer Situation, in der die Frage nicht mehr ist, ob man verschlüsselt wird, sondern wann man verschlüsselt wird. 

Es geht schon länger nicht mehr primär ums Verhindern, sondern ums Verzögern und anschliessend den Schaden zu minimieren. 

Gerade wieder einen Laden erlebt(zum Glück nur am Rande) : aktuelle Antivirus, geschulte Mitarbeiter und trotzdem wollte jemand bitcoins. 

 

Benötigt wird ein vernünftiges Rechtemanagement zur Schadensminimierung und dann ein Desasterrecoverykonzept welches auch saubere Restorequellen sicherstellt. 

 

Die besagte Bude hat ein IT-Forensikteam dazugeholt. Ich behaupte mal, gerade ein minimaler Bruchteil der Admins ist in der Lage hinterher den Infektionsweg wirklich nachzuvollziehen. Da bleibt am Ende nur das Neuaufsetzen. Siehe Kammergericht Berlin als Beispiel.

Share this post


Link to post
Share on other sites

Ich glaube das Kammergericht ist eher das negativ Beispiel schlechthin. Da sollen ja nicht mal funktionierende Backups vorhanden gewesen sein.

Share this post


Link to post
Share on other sites

Uni Gießen, Uni Maastricht, Klinikum Führt etc. 

 

Löst euch von dem "ob" und baut Prozesse für das "wann". Ihr werdet die Ransomware nicht verhindern. 

  • Like 3

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Marco31:

Ich glaube das Kammergericht ist eher das negativ Beispiel schlechthin. Da sollen ja nicht mal funktionierende Backups vorhanden gewesen sein.

Doch doch, die Backups haben funktioniert. Von Restores stand nichts in den Anforderungen. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...