Notfallplanung Erpressung

Hacking,Sicherheit
Blackmail Image

Für den Fall, dass Sie Opfer eines Ransomware-Angriffes sind oder sein könnten.

 

Ich habe in den letzten 30 Jahren bei sehr vielen Notfällen geholfen, den Schaden zu begrenzen und das Netzwerk wieder zu laufen zu bringen. Egal ob das komische, sehr seltene Hardwarefehler waren, Softwarefehler, Admin-Fehler oder Viren, Trojaner, Würmer waren.

 

Die Netzwerke reagieren mit komischen Fehlern, bis Sie erkennen können, was hinter steckt.

Nicht immer melden sich sofort die Erpresser oder die Trittbrettfahrer.

 

Aus meiner Erfahrung weiß ich, vorbereitet ist immer besser, meist auch günstiger.

 

Bei einer Erpressung gibt nicht es nur schwarz und weiß, auch grau. Wieso nicht verhandeln und gleichzeitig am Wiederanlauf arbeiten? Verhandeln kostet nichts.

 

Die Behörden empfehlen eine generelle Absage an Erpresser Versuche.

Ich empfehle eine individuelle Vorgehensweise. Sie sollten zumindest einen Plan haben.

 

Anbei ein paar Gedanken aus meinen Erfahrungen. Diese Listen sind sicher nicht vollständig und in allen Punkten immer gültig. Sie sollen Ihnen nur helfen, die richtigen Schritte zu überlegen. Das ersetzt keine individuelle Beratung, verkürzt diese aber ungemein. Hier geht es nicht um einen normalen Virenbefall, sondern um die Erpressung.

 

Der Notfallplan bei einem Virenbefall ist anders. Kommt aber auch als Blog (also vielleicht…)

 

Wie immer: Wenn Sie Fragen, Anregungen oder Kommentare haben: einfach ein Mail senden oder anrufen.

Lieben Gruß aus dem schönen Chiemsee

Peter Kämper

Hintergrund bei Ransomware Angriffen
  1. 21 Tage Ausfall im Schnitt
  2. 80% der die bezahlt haben, werden wieder angegriffen.
  3. Datenschutzverstöße kosten extra Geld
  4. Hacken braucht es nicht, kaufen der “Hack as a Service” geht auch und kosten nur wenige 100,- / 1.000,- Euro.
  5. 80% der Zugänge werden im Darknet gehandelt.
  6. Es gibt Marktplätze sowohl im Darknet als in Telegramm (unverschlüsselt)
  7. Verkauft werden  via “Access-Broker”
    1. VPN Zugänge
  8. Weitere Broker:
    1. Opportunistische Broker (schneller Gewinn)
    2. Dedizierte Broker: bieten Zugänge zu vielen Unternehmen an
    3. Online Broker Zugangsdaten via RDP und VPN
    4. Suche erfolgt dabei: Unternehmen, Art, Ort, Provider, OS, Ports, usw.
  9. Alle 11 Sekunden wird ein Unternehmen mit Ransomware angriffen
  10. Forderungen im Durchschnitt € 213.000,- im Jahr 2018
  11. Hacker sind keine Einzeltäter
  12. Das sind sehr professionell arbeiteten Gruppen und Teilweise auch Regierungsaufträge (Nordkorea)
  13. Suchen Sie Ihre eigenen Daten im Darknet, Vorsicht, sehr vorsichtig, besser Auftrag vergeben.
  14. Auch Innentäter verkaufen Zugangsdaten
    1. Angebote an Admin können “Gehalt” in 7 stelliger betragen.
  15. Hacker nutzen Schwachstellen in Exchange aus
    1. Gerne auch am WE
  16. Hacker arbeiten in Schritten
    1. Trojaner
    2. Kopieren der Daten
    3. Nachladen Schadsoftware
    4. Verschlüsselung zum Zeitpunkt x.
    5. Das können verschieden Gruppe sein, Auftrags arbeiten einzelner Gruppen
Wer wird erpresst?
  1. Hacker schauen beim Opfer genau nach “lohnt, lohnt nicht”
  2. Summe (Gewinn) wird berechnet nicht geschätzt. Das sind Profis.
  3. Umsatz / Gewinn Opfer
  4. Kosten Datenverlust
  5. Wert der Wiederbeschaffung
  6. Kosten / Schaden Datenveröffentlichung
  7. Ausfallkosten der Unternehmens
  8. Weitere Kosten beim Ausfall (Lieferkette, Kundendruck,
  9. Haftung, Cyber-Versicherung
  10. Möglichkeiten der Bezahlung (Firmenzustand)
  11. Anzahl der Rechner
    1. Hacker Untergruppen erhalten pro Rechner eine Summe
  12. Aber nicht nur wegen Geld, sondern auch wegen:
    1. Politischer Situation/Meinung
    2. Produktart
    3. Lieferadressen
    4. Lieferketten (Zerstörung)
    5. Men in the middle
    6. Sprunghosts
    7. Aussagen von GF/Vorstand
    8. Markt (Banken etc)
    9. Corona ja/nein
    10. “Falsche” Industrie (Öl..)
    11. Publikationsgewinn (Ego aufpolieren)
Schutz – Vorbereitung – Nachkontrolle
  • Allgemeine und individuelle IT Sicherheitsmaßnahmen
  • IST Zustand messen
  • SOLL Zustand definieren
  • Detektionsmöglichkeiten überprüfen
  • Reaktionsfähigkeiten überprüfen
  • Cyber Versicherung überdenken
  • Kommunikations-ketten überprüfen und testen
  • Soziale Medien
    • Weniger ist mehr
    • MA Verhalten schulen
  • Daten “Werte” erkennen
  • Datenspeicher Orte erkennen
  • Kosten im Ausfall definieren
  • Maximale Ausfallzeiten schriftlich festhalten
    • Pro Service
  • Besondere Gefährdungen durch technischen Schutz verringern
    • Passwortschutz
    • 2FA
    • Zero-Trust Konzept statt VPN
    • Exponierte Rechner erkennen und besonders schützen
    • Anomalien Erkennung
    • Nebst den üblichen Schutzmechnismen: FW, AV, DMZ, Netzdesign, Routing, Segmentierung etc. pp.
  • Testscenario beim Wiederanlauf sollte definiert sein.

 

Leave a comment

Your email address will not be published.

Aktuelle Beiträge

Haben Sie Fragen ?

Kontaktieren Sie uns unter