Wie wird attackiert?
Wie wurden Kunden attackiert, verschlüsselt und erpresst?
AUTOMATED RANSOMWARE ATTACKS
-
Einstiegspunkt z.B. per Email mit Phishing Attacke oder USB Stick
-
Verschlüsselung startet automatisch
-
Ransomwareforderung generisch
HUMAN OPERATED ATTACKS
-
Einstiegspunkte per Phishing Attacke, aber meist sehr angepasst
-
Forderungen sind angepasst
-
Vorkommen dieser Art von Attacke stark steigend
ERHEBEN VON BENUTZERKENNUNGEN
-
Client / Standard User, Client Administrator, System Administrator mittels Keylogger und Malware
-
ALLE Eingaben werden abgefangen, z.B.: Windows RDP, Web Management Interfaces, SSH2 Terminal Clients
SELBSTVERBREITENDES VERSCHLÜSSELN
-
Hauptsächlich bei Windows- und NAS-Systemen
-
System Administrator Kennung wird für die Verteilung verwendet
LÖSCHEN ODER INVALIDIEREN
-
... durch hohe Änderungen der Snapshots
-
Daten werden verschlüsselt und oft verändert (Altern von Snapshots)
-
Unter Windows werden VSS-Snapshots gelöscht
ÄNDERN VON ADMIN KENNUNGEN
-
Aussperren der System Administratoren
LÖSCHEN ODER SABOTIEREN DER BACKUPS
-
Über die Backup API / Schnittstellen
-
Zerstörung über die Management Zugänge auf Backup Server, Media Agent / Server oder Appliances
-
Verschlüsselung bei Windows
-
Zerstörung über Hardware Management Interfaces
ERPRESSUNG ÜBER ANONYMEN CHAT
-
Es wird ein Link bzw. eine Nachricht für die Kommunikationsaufnahme hinterlassen
HOHE FORDERUNGEN
-
Abhängig von Umsatz und geschätzten Gewinn
KONTAKTAUFNAHME
-
Dauer bis Kontakt aufgenommen wird: circa 30 – 180 Tage
-
Davor werden Daten und Kennungen gesammelt und Daten verschlüsselt
BEZAHLUNG
-
in Form von Kryptowährungen
BETROFFENE SYSTEME
-
Windows Server Systeme (Domain Controller, SAP Systeme, Exchange, Fileserver, …)
-
Steuerungs- und Produktionsanlagen
-
NAS-Systeme (NetApp)
-
Backup Appliances
-
Backup Software IBM Spectrum Protect, VEEAM, Dell Avamar, Netbackup
