frank
Goto Top

Ransomware: Alles was schief gehen konnte

Der weltweite Ransomware-Angriff auf Firmen, Organisationen und sogar Krankenhäuser ist das Ergebnis einer Welt, die leider immer noch denkt, dass Datensicherheit egal ist. Dieser Angriff wird den Menschen weh tun. Bin gespannt ob man daraus lernt ..

http://www.zeit.de/digital/internet/2017-05/ransomware-wannacry-weltwei ...

Content-ID: 337664

Url: https://administrator.de/contentid/337664

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

kaiand1
kaiand1 13.05.2017 um 03:41:15 Uhr
Goto Top
Nun die ITler werden Abmahnung,Lohnkürzung ect erhalten da die ja ihren Job nicht gemacht haben und es ja ein Schuldigen gebraucht wird....
Ob Aktuelle Backups vorhanden sind sowie ob diese auch zugänglich sind oder auch verschlüsselt wurden is auch noch so eine Sache...
Zumal ja in den Bereich immer gerne gespart wird und es ja bislang leider auch denen gezeigt hat das es bislang unsinnig war dort Geld auszugeben ;)

Aber wir haben doch eine Cyberpolizei und Cyberabwehr beim Bund da kann uns doch nichts passieren *g*

Hab da noch was bekommen...
1494619982001[1].
keine-ahnung
keine-ahnung 13.05.2017 um 10:57:36 Uhr
Goto Top
Moinsens,
selbst bei mir sind am Mittwoch/Donnerstag auffällig viele pishing mails eingegangen (muss man selber manuell wegwerfen), der Quarantäneordner meines scanners hat die Seitenwände des Servers von innen ausgebeult ... lange geht das IMHO nicht mehr gut.
Aber keine-ahnung, an welchen Schrauben ich noch drehen könnte (ausser Strippe vom WAN-router zu ziehen).

LG, Thomas
kaiand1
kaiand1 13.05.2017 um 13:10:49 Uhr
Goto Top
Nun wir selbst hatten am Donnerstag/Freitag eine Spamwelle aber die ist wieder in das übliche Grundrauschen gesunken.
Es ist nur eine durchgekommen ;)
Aber da gab es schon andere Zeiten wo Wochenlang ein erhöhte Spamzustellung versucht wurde.
Jedoch solange die Nutzer nicht genug aufpassen ist dies immer noch die Größte Schwachstelle worüber die reinkommen und Aktiviert werden....

Vor Jahren wo es ja per Flashwerbung Infizierungen gab, hab ich selbst dadurch 2x ein Cryptolocker eingefangen....
Jedoch konnte der nur eine Datei beim Starten ausführen und den Desktop Sperren und nichts Verschlüsseln da die Lokale Firewall die ich noch hab die Ausführung und Nachladen der Daten Verhindert hat da diese gefragt hab ob das neue Unbekannte Programm aufs Internet zugreifen soll... Glück Gehabt *g*

Vor etlicher Zeit war ja schon damals die Warnung in den großen Medien wegen den Cryptolockern und wie Wichtig Backups sind...
Leider hat dies viele Leute bis Heute nicht erreicht :/
LordGurke
LordGurke 13.05.2017 um 13:29:18 Uhr
Goto Top
Das absolut genialste daran ist, dass jetzt die Virenscanner, die die Ransomware schon im Vorfeld nicht erkannt haben, jetzt auch noch die Domain blockieren über die der Trojaner abgeschaltet werden könnte...
https://twitter.com/GossiTheDog/status/863185030595710977/photo/1
BassFishFox
BassFishFox 13.05.2017 um 17:18:06 Uhr
Goto Top
Irgendwie muss ja diese Industrie von ihrem Versagen ablenken. face-wink

Schoenes WE
BFF
Herbrich19
Herbrich19 14.05.2017 um 13:10:49 Uhr
Goto Top
Hallo,

Was passiert eigentlich wen man alle zugelassenen Programme über Softwareeinschränkungen definiert. Dann sollten doch weitere Programme blockiert werden?

Und kann man via GPO die ausführung von Makros komplett verbieten?

Gruß an die IT-Welt,
J Herbrich
DerWoWusste
DerWoWusste 14.05.2017 um 15:21:01 Uhr
Goto Top
Moin.

das Ergebnis einer Welt, die leider immer noch denkt, dass Datensicherheit egal ist
Denkt die Welt so? Vielmehr ist das Problem, dass die Welt Ihre Daten an komplexe Computersysteme übergibt, die sie nicht überblickt. Die Datenleitungen sind so dick, dass das gesammelte Wissen von Großkonzernen in wenigen Tagen seinen Besitzer wechseln kann. Diese Risiken gehen die Firmen wissend ein und das ist das Problem - nicht das irgendjemand eine bekannte Lücke nicht rechtzeitig patcht.

Nach dem Patch ist vor dem Patch. Zu jeder Zeit lungern in den Systemen tausende von Fehlern rum, die Insider nicht nur ausnutzen könnten, sondern laufend ausnutzen und keiner merkt es. Aus jeder Firma entweicht täglich soviel verschlüsselter Traffic, wie sollen die Firmen mitbekommen, was davon erwünscht ist?

Daten, die Deutschland selbst für schützenswert hält (geheim zu haltendes Material, VS-vertraulich, VS-geheim), darf nicht auf vernetzten Rechnern bearbeitet werden - das gilt schon seit Jahrzehnten.
Herbrich19
Herbrich19 14.05.2017 um 22:01:34 Uhr
Goto Top
Hallo,

Die Frage ist muss jeder Server wirklich am einer Internetleitung hängen? Wen man die wichtigen Daten an extra Termninals bearbeiten würde die nur Intern vernetzt sind und wo USB Sticks blockiert werden hätte man ein Sicheres System.

Und selbst auf VLAN,s sollte man in einen sicheren System verzichten weil ein Switch der unbeaufsichtigt ist kann auch schnell mit entsprechenden Knowhow umkonfiguriert werden.

So, jetzt mal dazu. Klar muss man da schon sehr Paranoid sein aber selbst da gibt's lücken. Die größte ist der Mensch, und ah ja nicht zu vergessen Die Serverräume selber Im zweifel klaut jemand ne Festplatte und bei einen RAID fällt das nicht sofort auf. Wen man dann schön noch ne lehre rein haut dass wieder zurück gespiegelt werden kann.

In der Serie Mr Robot haben die in Steal Mounten ein Rasbperri Pi heimlich installiert um sich so Zugriff auf ein Hochgesichertes Netzwerk zu verschaffen. Und da stellt sich die Frage wieso so was dann eigentlich Internet braucht. Aber vlt (ist nur spekulation) hat er einfach 2 VLAN,s über NAT miteinander Verbunden und dann nach draußen getunnelt. ICMP und DNS tunnel fallen ja nicht sofort auf.

Gruß an die IT-Welt,
J Herbrich
kaiand1
kaiand1 14.05.2017 um 23:13:52 Uhr
Goto Top
Kenne auch genug Firmen da werden die Serverräume Abgesichert ohne Ende....
Aber der Backupserverraum ist einfach Zugänglich..
Oder Racks wo die Switche alle sind schön Abgeschlossen aber hinten ist die Rückwand Demontiert....
Bei einer hab ich mal ein Zettel gefunden mit den Logindaten für die Switche und Domäne Logins für die Wartungsleute...
Manches liegt halt so wo mit Daten...
Herbrich19
Herbrich19 15.05.2017 um 03:54:28 Uhr
Goto Top
Hallo,

Ja, man kann ganz unaufällig mit der Handykamera abfotografieren und wen man Pech hat dann sind diese Logins ja sogar auch noch für Remote Access ala VPN oder sonst was berechtigt. Und mal in ernst. Da kann man den Switch gleich ohne Passwort lassen wen man das Passwort neben den Switch klebt. Ist ja genau so als ob man einfach eine Sicherheitstür abschlißt (ist nicht zu knacken) aber der Schlüssel hängt genau daneben :D

Gruß an die IT-Welt,
J Herbrich
brammer
brammer 15.05.2017 um 14:09:07 Uhr
Goto Top
Hallo,

wir direkt sind verschont geblieben...

Aber 2 unserer Kunden hat es erwischt..... ein paar Industrie Rechner mit XP laufen noch....
Und der Kunde wollte das Geld für ein Update nicht ausgeben...
Und das letzte Backup ist schon ein paar JAHRE alt.... face-smile

Nun, dann halt 2 Tage Produktionsausfall ...

brammer
kaiand1
kaiand1 15.05.2017 um 15:03:21 Uhr
Goto Top
Was hat der dadurch gespart ? *g*
Nun es laufen noch sehr viele PCs mit XP W2K Dos...
Besonders Steuerungsrechner für Anlagen/Maschinen sind meist ab XP nicht mehr nutzbar wo die ganze Anlage erneuert werden müsste was vieles Kostet und auch nicht für jeden Betrieb Wirtschaftlich...
Aber Backups/Images sind selten Aktuell und meist gibt es eh noch kaum Infos über den PCs was dort Eingestellt wurde sowie die Installationsmedien sind Verlegt worden....
Herbrich19
Herbrich19 15.05.2017 um 17:13:48 Uhr
Goto Top
Es gibt's Tatsächlich noch, Backup für Ideoten :D

Ein Freund von mir macht seine Backups über ein RAID System wo er einfach eine Platte raus zieht und diese dann zurück legt als Backup. Nun ja nicht sehr Produktiv wen gerade Write Vorgänge liefen und vor allen dingen sehr unsicher ob die platte wieder lesbar ist. Und nicht zu vergessen dass der RAID Controller ein Rebuild nach den Einstecken fahren kann was dass Backup zurnichte macht. Ich meine toll wen man ein Backup hat blöd nur wen der Raidcontroller es mit den verschlüsselten Datein überschreibt.

Kann man eig so ein Cryptolooker Reverseengeeren um zu schauen wie der Key generiert wird der zum Verschlüsseln benutzt wird?

Gruß an die IT-Welt,
J Herbrich
smartino
smartino 16.05.2017 um 17:23:35 Uhr
Goto Top
Zitat von @Herbrich19:

Hallo,

Was passiert eigentlich wen man alle zugelassenen Programme über Softwareeinschränkungen definiert. Dann sollten doch weitere Programme blockiert werden?

ja, daß ist auch so. Das wäre ein sehr wirksamer Schutz vor Ransomware und anderen Schädlingen, wenn Quersummentechniken noch integriert werden. Nennt sich Whitelisting.

Und kann man via GPO die ausführung von Makros komplett verbieten?

Ja.
Herbrich19
Herbrich19 16.05.2017 um 18:14:01 Uhr
Goto Top
Hallo,

Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird und es zur Code Ausführung inerhalb eines erlaubten Prozesses kommt (Rest Risiko)?

Gruß an die IT-Welt,
J Herbrich
DerWoWusste
DerWoWusste 16.05.2017 um 18:15:41 Uhr
Goto Top
Rate mal, warum der Program files Ordner nur von Administratoren geändert werden darf und tunlichst überall auch Admins ans Herz gelegt wird, nur als User zu arbeiten face-smile
Herbrich19
Herbrich19 16.05.2017 um 18:18:12 Uhr
Goto Top
Hallo,

Ja das ist mir schon klar, schützt aber trotzdem nicht vor einen Bufferoverflow face-smile

Gruß an die IT-Welt,
J Herbrich
aqui
aqui 16.05.2017 aktualisiert um 20:22:01 Uhr
Goto Top
Peinlichkeiten von Sophos: https://www.heise.de/newsticker/meldung/l-f-Sophos-aendert-nach-WannaCry ...
Cool auch die DB Hinweisschilder:
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Fazit: Auf Linux oder Mac OS umsatteln und sich bei der sicher kommenden nächsten Meldung einen feixen... face-wink
BassFishFox
BassFishFox 16.05.2017 um 20:30:41 Uhr
Goto Top
Nicht nur die liefern "bullshit". face-wink

In meinem SpamOrdner war gestern Werbung fuer den "EaseUS Data Recovery Wizard" die suggerieren wollte, bereits vercryptete Dateien wiederherstellen zu koennen und deshalb unbedingt gekauft werden wollte.

BFF
kaiand1
kaiand1 16.05.2017 um 21:08:21 Uhr
Goto Top
Zitat von @BassFishFox:

Nicht nur die liefern "bullshit". face-wink

In meinem SpamOrdner war gestern Werbung fuer den "EaseUS Data Recovery Wizard" die suggerieren wollte, bereits vercryptete Dateien wiederherstellen zu koennen und deshalb unbedingt gekauft werden wollte.

BFF

Denn hol es dir und mach ein Ausführlichen Test dazu ;)
Kann ja beim Chef als Unbedingtes Sofort nötiges Programm zur Datensicherheit gegen Cryproangriffe verrechnet werden *g*
BassFishFox
BassFishFox 16.05.2017 um 21:52:42 Uhr
Goto Top
Denn hol es dir und mach ein Ausführlichen Test dazu ;)

Niemals nicht und nimmer geb ich fuer so'n Quatsch Geld aus. face-wink

Kann ja beim Chef als Unbedingtes Sofort nötiges Programm zur Datensicherheit gegen Cryproangriffe verrechnet werden *g*

Null Chance. face-wink Der liest halt nicht die Computerbild oder PC-Welt. *g*

BFF
Herbrich19
Herbrich19 16.05.2017 um 21:55:39 Uhr
Goto Top
Hallo,

Nur weil's im Spam Ordner ist muss das Produkt nicht falsch sein aber ich bezweifele das es außer Broutforce nicht wirklich viel kann. Ich meine die Cryptos entwickeln sich leider auch weiter. Irgendjemand hatte ja mal diese (nicht so) tolle Geschäftsidee leute mit ihren eigenen Daten zu erpressen und scheinbar lohnt es sich auch, wen niemand Zahlen würde wirde auch kein penner auf die Idee kommen sowas zu Programmieren.

Gruß an die IT-Welt,
J Herbrich
kaiand1
kaiand1 16.05.2017 um 22:05:38 Uhr
Goto Top
Nun die CPUs in jeden Rechner können dank AES Unterstüzung ja um ein vielfaches schneller Crypten als die Platten als Durchsatz können.
2-3x Hintereinander mit anderen PWDs Crypten und du hast sehr Lange Zeit bis du mal das 1te PWD raus hast.....

Aber wenn Ausreichend Geld in Backupstruktur gesteckt würde, hätten viele nicht mehr das Problem und nur eine kurze Zeitspanne ggfs die neu gemacht werden müsste...
Herbrich19
Herbrich19 16.05.2017 um 22:11:52 Uhr
Goto Top
Ich vertrete die Meinung das mit Softwareeinschränkungen ein Militärisches Sicherheits Nivou erreicht werden kann. Wen man zu dem noch die Macros deaktiviert dann sollten die meisten Systeme auch sicher sein.

Habe mal gehört im UKE (in Hamburg) installieren sich einige Ärzte eigene Programme auf den Rechnern und surfen mit Adminstrator rechten auf den eigenen Maschinen. Na Prost mahlzeit :D :O

Gruß an die IT-Welt,
J Herbrich
smartino
smartino 16.05.2017 um 22:23:26 Uhr
Goto Top
Zitat von @Herbrich19:

Hallo,

Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird

eine "gescheite" Whitelistinglösung arbeitet mit Hashes. Würde eine Datei verändert werden, würde sie nicht mehr starten können.