Crypto, Locky usw... Virenbefall wird heftig

Erst gültige E-Mail Adressen vom Opfer bekommen, dann per Phishing-Kampagne an gültige Zugangsdaten gelangen, damit Cloud-, RDP-, SSH- und VPN-Zugänge abklopfen. Wenn man dann immer noch keinen Fuß im Netzwerk hat, Exploits ausfahren. Als nächstes Persistenz mit unauffälligen Boardmitteln erlangen, Überblick über die Infrastruktur gewinnen, administrative Zugänge mit gängigen Tools erbeuten, individuellen Virus mit geringer Erkennungsrate mit hardgecodeten admin credentials des jeweiligen Ziels mit Powershell im SYSVOL ablegen und warten bis die malware sich verteilt hat, maligne GPOs verteilen die die Sicherheit schwächen, kill switch aktivieren. So in etwa dürfte das bei blackcat ablaufen, laut den Informationen die mir zu Verfügung stehen.

Selbst ein voll gepatchtes System ist nicht davor gefeit, wenn externe Zugänge nicht prinzipiell immer mit einer zweifaktor Authentifizierung versehen sind, genauso wie interne administrative Zugänge es auch sein sollten. Dann steht und fällt es eben mit der Sicherheit des 2FA Systems.

heh.. mit solchen problemen hab ich täglich zu kämpfen. und wenn ich den mitarbeitern dann erläre, dass der pc ihr werkzeug ist und sie sich mit ihrem werkzeug auskennen sollten, kommen regelmässig die dümmsten ausreden.

wobei ich auch schon zugangsdaten am post-it am (von der straße einsehbaren) monitor kleben sehen habe....

Zitat aus einem Post von rad1oactive

War das überhaupt der Fall?

Laut einem Beitrag in der Zib habens wohl über social engineering passwörter von Mitarbeitern ausgespechtelt.

Ohne exploitbaren Lücken kommst du nicht an Admin Zugänge.

mr.nice hat den Weg eh beschrieben was größere Gruppen wie blackcat unternehmen.
Was man so liest hat es sich von Outlook und Exchange übers AD verbreitet. Da gabs im letzten halben Jahr einiges an Patches in dem Bereich

Zitat aus einem Post von tialk

ich würd mich bei diesem Fall nicht auf einem ungepatchen System aufhängen...

Sondern dass sie offensichtlich keine Backups hatten?

Zitat aus einem Post von spunz

Die Backups sind auf 2 Standorte getrennt gelagert inkl Medienbruch. Also mehr als 90% der Unternehmen in Österreich vorweisen können.

99, 9%

Okay aber wo ist dann das Problem?
Status von vor 14 Tagen bei allen Systemen herstellen, alle Passwörter und Keys zurück setzen, dann mühselig die relevanten Daten der fehlenden 14 Tage rekonstruieren.

die hatten admin access im gesamten netz. die können die gesamte infrastruktur nehmen, in den müll treten und mit neuen komponenten neu aufbauen, ansonsten bekommst die in diesem leben nicht mehr aus dem netzwerk.

what spunz said kommt noch dazu: wenn du das backup vor 2 wochn restorst hast die remote shells fix mit gebackupped.

Sind das die selben Berichte wo behauptet wird das es keine Backups gibt?

Zitat aus einem Post von UnleashThebeast

Semmerl hats eh schon gesagt.
Das System ist kompromittiert, da spiel ich keine Backups mehr ein sondern haus weg und fang vo vorne an, alles andere is grob fahrlässig.

Das geht halt ab einer gewissen Größe nicht mehr.

Wir haben das mal durchgerechnet und für das bissl was wir haben würden wir trotz Hilfe der Muttergesellschaft Lieferzeiten von 1-5 Jahre haben. Vom Finanziellen sprechen wir da nicht mal (wären eh CAPEX und würden nur die Zinsen relevant sein)

Somit kannst nur alles offline nehmen, beginnen zu wipen und auf einen Stand zurück gehen wo du sicher bist dass du noch nicht kompromittiert warst.

Einer unserer Partner hatte das gerade. Waren gut 2 Monate Offline und fangen jetzt langsam an die alten Daten aufzuarbeiten. Wird nochmals 2 Monate dauern bis das Tagesgeschäft wieder anläuft.

Ist aber ein internationales Unternehmen mit großer IT Verschränkung und lokalen zuständigen die keine Ahnung haben.

Kennt btw einer ein gutes Inkasso Unternehmen?