Risikowahrnehmung und Cyber-Resilienz Herausforderungen in der Angriffserkennung8. 1
2 MAKRO
Phase 1: Infektion
Tip: Das Deaktivieren der Makros
bietet den besten Schutz
Erstellt registry auto start
keys und installiert sich im
running prozess
2
15. Ryu
k
Phase 4: Network Propagation
4
Verteilung über SMB
(Server Message Block)
Übernahme von Rechnern
und Netzwerken
19. Komme ich bei Ihnen
nicht rein, greife ich ihre
Sub-Unternehmer an
26. ©Volker Kozok 26
Darkside Ransomware
Quelle: Darkside Ransomware does not attack hospitals, schools and governments - Acronis
Beispiel
$ 4,400,000
30. ©Volker Kozok 30
Auswirkungen
− Aufhebung von Sicherheitsstandards bei
Gefahrguttransporten
− Anpassung der Lenk- und Ruhezeiten zur
Sicherstellung der Betriebsstoffversorgung
33. • Auftrag an das National Institute of Standards and Technology
(NIST) und weiteren US-Behörden: Erhöhung von Massnahmen
zur Softwaresicherheit
• Abstimmung mit der NSA, der Cybersecurity & Infrastructure
Agency (CISA) und dem Director of National Intelligence (DNI)
zur Vorlage einer Definition „kritische Software“ zum 26. Juni
2021.
Damit wurde erstmalig eine Executive Order herausgegeben, die
durch einen Angriff mit einer Ransomware ausgelöst wurde.
37. Quelle: Darkside Ransomware does not attack hospitals, schools and governments - Acronis
Chat Support
mit Protonmail
Time Line – zeigt die verfügbare Zeit an
Darkside Web-Seite
41. ©Volker Kozok 41
Darkside Angriffe
Angriff auf die Brenntag Tochter in den USA
Forderung nach 7,5 Millionen
US-Dollar.
Nach Verhandlungen Zahlung
von 4,4 Millionen US-Dollar.
44. ©Volker Kozok 44
08. Juni 2021 - Wie das US-Justizministerium am Montag
bekannt gab, hat das FBI 63,7 Bitcoin im Wert von derzeit
etwa 2,3 Millionen Dollar beschlagnahmt.
BITCOIN Beschlagnahme
49. JBS - REvil Ransomware Angriffe
In Verhandlungen wurde die Lösegeldsumme von 22,5 Millionen auf
11 Millionen reduziert.
30. Mai 2021
55. ©Volker Kozok 55
Nu är alla Coops buitker öppna
Expert om
attacken som
sänkt Coop:
”Utpressning
mot
detaljhandeln
har exploderat”
Am Freitag den 2. Juli
meldete der Hersteller
Kaseya um 22:00 Uhr
(MESZ) einen Angriff auf
seine Virtual System
Administrator (VSA)
Software. Laut Kaseya
sind von dem Angriff
eine kleine Zahl Kunden,
die Kaseya VSA als On
Premise Lösung
betreiben, betroffen.
58. ©Volker Kozok 58
Die Kritik der Opposition
Einfach mal so…
Wieso gibt man einem
Land eine Liste von
verbotenen Zielen,
wenn die Angreifer
Kriminelle sind?
Wieso muss ein
Präsident einen anderen
Präsidenten um
Amtshilfe bei der
Bekämpfung von
Cyberkriminellen
bitten?
60. ©Volker Kozok 60
Schlag gegen die Revil-Gruppe
Sieben internationale Festnahmen
− 04.11.2021: Zwei Festnahmen in
Rumänien
− Festnahme des Ukrainers Yaroslav
Vasinskyi in der Ukraine
Acht Festnahmen in Russland
− Gerichtsverhandlung in Moskau
− bis zu 7 Jahren Haft möglich
• Durchsuchungen an 25 Orten in fünf russischen Regionen
• 14 Verdächtige
• Beschlagnahme von umgerechnet 4,8 Millionen Euro + 20 Luxus-Autos
?
61. REvil Lessons Learned
1. Ransomware can be (partially) solved with
diplomacy
(more partially than complete…)
2. REvil was low-hanging fruit
(may be a so called “Bauernopfer”)
3. Driving fear into criminal gangs
(7 years?)
4. The Iran-North Korea ransomware connection
(Cybercrime is a part of the national income…)
5. The value of (good) attribution
(the value of good attribution)
©Volker Kozok 61
86. Das Security Kleeblatt
Perimeter Security
FW
IDS/IPS
Malware
Detection
…
Friendly
Attack
White Hacking
Pentesting
Redteaming
Social
Engineering
Awareness
…
Security
Operations
Cyber Intel
OSINT
SOC
CERT
Forensik
…
Crypto
VPN
Verschlüsselung
TOR & Co
Secure Cloud
…
87. ©Volker Kozok 87
und jetzt?
• Werden Sie resilienter
• Die Komplexität der IT-Systeme
überfordert nur die IT-Abteilung, nicht die
Cyberkriminellen
• Reden sie mit ihren Cyber Security
Experten
• Werden sie Teil der Wissensgesellschaft
und nicht Teil der
Informationsgesellschaft
• Lassen Sie eine Fehlerkultur zu!
• Bilden sie Netzwerke