BOfH_666 577 Geschrieben 5. Januar 2020 Melden Teilen Geschrieben 5. Januar 2020 da gibt's aber auch andere Stimmen auf dem 36C3 ... Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 6. Januar 2020 Melden Teilen Geschrieben 6. Januar 2020 Beim Surfen bin ich gestern auf Twitter gelandet. Der Hashtag #InfoSec hat mich etwas desillusioniert. Ich habe/hatte keinen naiven Blick auf die Sicherheitslage, dennoch war ich geplättet über das was ich da las. Ohne ins Detail zu gehen, glaube ich, dass wir noch sehr viel Kommunikationsarbeit beim Thema Sicherheit und Konzepte vor uns haben, wenn es ein Mindestmaß an Sicherheit im Netzwerk geben soll.... Vom Benutzer zum Domain-Admin in 36 Minuten mit den Sysinternals. Das ist auf einem HoneyPot genau so abgelaufen. Meiner Meinung nach ist es schier unmöglich einem kleinen und mittelständigem Unternehmen zu erklären, das er mehrere tausende von €uros investieren muss, um ein kleinen Grundschutz zu haben. Der dann auch noch stark davon abhängig ist, wie geschult, geschickt und teuer der Systembetreuer und Admin ist. Hier muss sich eindeutig was tun. Zu viele wiegen sich in falscher Sicherheit. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Januar 2020 Melden Teilen Geschrieben 6. Januar 2020 Hatten wir https://id-ransomware.malwarehunterteam.com/index.php?lang=de_DE schon? Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 6. Januar 2020 Autor Melden Teilen Geschrieben 6. Januar 2020 @zahni: Yep - schon auf der ersten Seite Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 6. Januar 2020 Melden Teilen Geschrieben 6. Januar 2020 (bearbeitet) vor 3 Stunden schrieb MurdocX: Zu viele wiegen sich in falscher Sicherheit. Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich, vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet. Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen. bearbeitet 6. Januar 2020 von SandyB 1 Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 7. Januar 2020 Melden Teilen Geschrieben 7. Januar 2020 vor 23 Stunden schrieb SandyB: Große Firmen wie BMW verlangen von ihren Zulieferern (klein, mittel, groß), dass diese ihr ISMS (InfoSec Management System) nach 27001 zertifizieren lassen. Das erschwert das "Wiegen in falscher Sicherheit" beträchtlich, vor Allem weil die ISO 27001 Verantwortlichkeiten eindeutig benennt und regelmäßig Nachweise und externe Überprüfungen fordet. Diskussionen ob ISO 27001 für deine kleine Firma sinnvoll oder zu teuer ist, brauchst du mit BMW etc. nicht führen. Meinst Du etwa Unternehmen wie Maersk, Beiersdorf und Rheinmetall sind nicht zigfach zertifiziert!? Und was hat es genutzt!? Manchmal merkt man eben erst wenn es geknallt hat, woher das 'Geschoss' eigentlich gekommen ist. IMHO ist es dann wichtig die richtigen Schlüsse daraus zu ziehen, aber niemand wird vorab an Alles denken können zumal es sich allzu oft über hochkomplexe Systeme/Prozesse handelt, die kaum noch Jemand lückenlos überblicken kann. Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 (bearbeitet) Am 3.1.2020 um 11:15 schrieb DocData: Es erwischt nicht jeden. Es erwischt nur die, die ihre Hausaufgaben nicht gemacht haben. Geo-Blocking halte ich für nicht praktikabel. Grundsätzlich sollte man die Angriffsvektoren beachten, also Makros, Links, PowerShell, Zugriff von Außen. bzgl. Powershell wäre beispielsweise eine einfache Maßnahme, um die Security zu erhöhen, Powershell 2.0 auf Win10 zu disablen. bearbeitet 9. Januar 2020 von SandyB Zitieren Link zu diesem Kommentar
john23 5 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 (bearbeitet) Ich will mal kurz auch von meiner Ramsom-Ware Erfahrung berichten. Ich habe bestimmt schon zwischen 10 und 20 Fällte behandelt - die Meisten Fällte davon vor einigen Jahren wo die erste Welle begann "simple klick Mails" wo die Verschlüsselung direkt auf Netzlaufwerke los gingen. Wenn man es schnell genug bemerkt, dann reicht es sogar eine Volumenschattenkopie auf dem Fileserver zu haben um das meiste zu retten. Generell ist ein externes Backup bei den heuten Angriffen aber unverzichtbar und wenn es nur USB Festplatten sind die nicht an den IT Systemen angeschloßen sind. Die Ransom Welle momentan hat aber eine ganz andere Qualität und es ist meist nicht mehr ein simples Netzlaufwerke Verschlüsseln. Mit Emotet ist ein ganzes Paket an Schadsoftware dabei. welches Netzwerk nach Lücken durchsucht, Zugangsdaten versucht zu stehen etc. pp. Die Bösen Buben gehen momentan weitaus gezielter vor. Teilweise wird sich im Netzwerk umgeschaut und zuerst sichergestellt, dass das Backup zerstört / unbrauchbar gemacht wird bevor andere Daten verschlüsselt werden. Um den Jahreswechsel hatte wir zwei Fälle bei Kunden die nur ein NAS Backup hatten und in beiden Fällen war der Schaden enorm. In einem Fall konnte noch einiges rekonstruiert werden und im anderen Fall wurden mehr als 30T€ Lösegeld bezahlt. Wenn die Verschlüsselung von einem PC ausgeht, dann lässt sich relativ einfach herausfinden wer der Schuldige ist wenn man sich den Besitzer der Datei anschaut. Verschlüsselte Daten haben meist den Besitzer des Verursachers. Problematisch ist das manchmal nur mit Gruppen wenn dieser Benutzer z.B. in der Domain-Admin Gruppe ist, dann ist der Besitzer der Datei "Domain-Admin". Daher ist das auch die Gruppe die ich immer zuerst bei Befall prüfe und alles raus schmeiße was da nicht rein gehört. Keine Schlechte idee ist es auch häufig den File Server und andere wichtige Systeme erst mal runterzufahren, bis man näher eingrenzen woher die Verschlüsselung kommt. Um einzuschätzen, ob noch verschlüsselt wird, verwende ich z.B. das Tool Disk Pulse und Filtere nach den Dateinamen / Dateiendungen der Verschlüsselung. Sicherheitshinweise aus meiner Erfahrung ( nichts neues dabei nur Grundlegendes): - BACKUP! ( Extern gelagert, von IT System getrennt, Mindestens 4 Wochen aufbewahren, besser sogar länger) - Firewall Konfig Regelmäßig prüfen! Kein RDP / Firewall Management etc nach extern (wenn dann nur mit Kennwort Richtline und Max Login Trys) - Sicherheitsgruppen / Admin Gruppen Regelmäßig prüfen ( Ich habe so viele Netzwerke gesehen wo ALLE oder zu viele Benutzer in der Domain-Admin Gruppe sind) - Getrennte Admin Konten von den normalen "Arbeitskonten" - Systeme Aktuell halten ( Firmware Firewall, Windows Updates etc) - Anständiger Spam Filter ( Meiste Angrifft kommen noch so) - Mitarbeiter Sensibilisierung ( Hoffnung Stirbt zuletzt) - keine lokalen Admin Rechte - Beliebig weitere Punkte und etwas Menschenverstand :P Zwei Dinge sind mir noch eingefallen: - Habe von einem Fall gehört wo Knoll Ontrack die Daten nach einer Analyse wiederherstellen / entschlüsseln konnten. - Man kann druchaus mit den Erpressern verhandeln. Eine Sicherheit, dass es nach hinten losgeht gibt es nicht aber habe von Rabatten zwischen 20%-50% mitbekommen. bearbeitet 12. Januar 2020 von john23 2 Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 13. Januar 2020 Autor Melden Teilen Geschrieben 13. Januar 2020 so ... kleines Update ... nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen. Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott. Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ... Die Arbeit für das Angebot spar ich mir bei dieser Gesinnungslage ... Meine Rechnung hat er bezahlt - für mich ist das jetzt abgeschlossen Fazit: Den Schuß vor oder besser in den Bug hat er immer noch nicht verstanden. Das liegt jetzt alles in seiner Verantwortung ... ich bin raus! Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 13. Januar 2020 Melden Teilen Geschrieben 13. Januar 2020 LOL, wie immer ........ Grüsse Gulp Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 13. Januar 2020 Melden Teilen Geschrieben 13. Januar 2020 vor 16 Minuten schrieb Squire: ich bin raus! Das Beste, was man bei solchen Kunden tun kann. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 13. Januar 2020 Melden Teilen Geschrieben 13. Januar 2020 Ich finde es sehr bedenklich, dass von vielen Firmen solche Vorfälle als "bedauerlicher Zwischenfall" gesehen werden und Lösegeld bezahlt wird, weil es häufig günstiger ist, als die Systeme aus einer Sicherung zurückzuholen. Ich finde, das sollte man nicht nur betriebswirtschaftlich sehen. Denn mit dem Lösegeld finanziert man im besten Fall den Lebensunterhalt eines Programmierers und die Entwicklung weiterer Schadsoftware, im schlechtesten Fall finanziert man jedoch den Terrorismus. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 13. Januar 2020 Melden Teilen Geschrieben 13. Januar 2020 Da ist leider vielen das Hemd näher als die Hose. ;) MIt Terrorismus wirst du in unseren Breiten wenige überzeugen. Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 13. Januar 2020 Autor Melden Teilen Geschrieben 13. Januar 2020 (bearbeitet) @mwiederkehr er hat NICHT gezahlt. Aber er macht jetzt auch nichts ... ist anscheinend alles nicht so wichtig bearbeitet 13. Januar 2020 von Squire Zitieren Link zu diesem Kommentar
MurdocX 950 Geschrieben 13. Januar 2020 Melden Teilen Geschrieben 13. Januar 2020 vor 56 Minuten schrieb Squire: ist anscheinend alles nicht so wichtig Die Aussage kommt immer erst, wenn man das Kind wieder aus dem Brunnen ziehen konnte. Man kann immer nur die versuchen zu retten, die auch gerettet werden wollen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.