{"id":288105,"date":"2023-11-12T00:22:00","date_gmt":"2023-11-11T23:22:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288105"},"modified":"2023-11-13T01:27:55","modified_gmt":"2023-11-13T00:27:55","slug":"wenn-ransomware-gruppen-sicherheitstipps-geben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/12\/wenn-ransomware-gruppen-sicherheitstipps-geben\/","title":{"rendered":"Wenn Ransomware-Gruppen Sicherheitstipps geben"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/11\/13\/when-ransomware-groups-offers-security-tips\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Interessante Geschichte: Gerade habe ich \u00fcber die RaaS-Ransomware-Gruppe Akira berichtet (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/10\/neues-zum-cyberangriff-auf-sdwestfalen-it\/\">Neues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>), da f\u00e4llt mir ein Post auf BlueSky auf, der diese Gruppe erw\u00e4hnt. Ein Opfer fragte nach einem Angriff, als es den Decryptor samt Key zum Entschl\u00fcsseln seiner Dateien bekommen habe, ob es einen \"Sicherheitsreport\" haben k\u00f6nne, der offen legt, wie man in das IT-Netzwerk eingedrungen sei. Und das Opfer hat tats\u00e4chlich einige Hinweise erhalten.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/c36bb33b62bf4728aa28db2437016d9c\" alt=\"\" width=\"1\" height=\"1\" \/>Es sind zwar alles bekannte Sicherheitshinweise, aber ich bereite diese hier mal kurz auf. Hier ist der Post von BlueSky mit dem Chat-Verlauf zwischen Akira und dem Opfer:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/11\/Ransomware.jpg\" width=\"527\" height=\"600\" \/><\/p>\n<p>In der ersten Sequenz aus obigem Screenshot bekommt das Opfer die Anweisungen zum Entschl\u00fcsseln:<\/p>\n<pre>decrypt.exe \u2014path \u2014secret: Private key \u2014logs \u2014 \r\ndecrypt.exe \u2014path C:\\ \u2014secret [redacted] \u2014logs trace \r\ndecrypt.exe \u2014secret [redacted] \u2014logs trace<\/pre>\n<p>Dann bedankt sich das Opfer und schreibt, dass man das Entschl\u00fcsseln nun probiere. Anschlie\u00dfend fragt es: \"K\u00f6nnen Sie einen Sicherheitsbericht vorlegen oder mitteilen, wie Sie hineingekommen sind und was wir besser machen m\u00fcssen?\"<\/p>\n<p>Die Akira-Operatoren haben dann auch eine Reihe guter Vorschl\u00e4ge bereit, die eigentlich bekannt sind. Hier die Aufbereitung des Ganzen, wie Akira ins Netzwerk eindringen konnte:<\/p>\n<ul>\n<li>Der erste Zugang zu Ihrem Netzwerk wurde im Dark Web erworben.<\/li>\n<li>Dann wurde Kerberoasting durchgef\u00fchrt und wir erhielten Hashes von Passw\u00f6rtern.<\/li>\n<li>Dann haben wir diese einfach Brute-Force angesetzt und das Domain-Admin-Passwort erhalten.<\/li>\n<\/ul>\n<p>Eine Erkl\u00e4rung zu Kerberoasting findet sich auf deutsch bei <a href=\"https:\/\/specopssoft.com\/de\/blog\/kerberoasting-angriffe-active-directory\/\" target=\"_blank\" rel=\"noopener\">SpecOps<\/a> (den Anbieter hatte ich schon mal im Blog erw\u00e4hnt) oder\u00a0 beim Sicherheitsanbieter <a href=\"https:\/\/www.sentinelone.com\/cybersecurity-101\/what-is-kerberoasting-attack\/\" target=\"_blank\" rel=\"noopener\">SentinelOne<\/a>. Die Hacker verbrachten Wochen im Netzwerk des Opfers. Dabei konnten die Angreifer einige Fehler entdecken, die das Opfer unbedingt beseitigen sollte. Hier die Tipps der Akira-Operatoren:<\/p>\n<ul>\n<li>Keiner Ihrer Mitarbeiter sollte verd\u00e4chtige E-Mails oder verd\u00e4chtige Links \u00f6ffnen oder Dateien herunterladen, geschweige denn auf seinem Computer ausf\u00fchren.<\/li>\n<li>Verwenden Sie sichere Passw\u00f6rter und \u00e4ndern Sie diese so oft wie m\u00f6glich (mindestens 1-2 Mal pro Monat). Passw\u00f6rter sollten nicht \u00fcbereinstimmen oder auf verschiedenen Ressourcen wiederholt werden.<\/li>\n<li>Installieren Sie, wo immer m\u00f6glich, 2FA.<\/li>\n<li>Verwenden Sie die neuesten Versionen von Betriebssystemen, da diese weniger anf\u00e4llig f\u00fcr Angriffe sind.<\/li>\n<li>Aktualisieren Sie alle Software-Versionen.<\/li>\n<li>Verwenden Sie Antivirenl\u00f6sungen und Tools zur \u00dcberwachung des Datenverkehrs.<\/li>\n<li>Erstellen Sie einen Jump-Host (<a href=\"https:\/\/www.uni-muenster.de\/imperia\/md\/content\/iv-sicherheit\/standards_f__r_sichere_administration.pdf\" target=\"_blank\" rel=\"noopener\">Erkl\u00e4rung<\/a>) f\u00fcr Ihr VPN. Verwenden Sie daf\u00fcr eindeutige Anmeldedaten, die sich von denen der Dom\u00e4ne unterscheiden.<\/li>\n<li>Verwenden Sie eine Backup-Software mit Cloud-Speicher, die einen Token-Schl\u00fcssel unterst\u00fctzt.<\/li>\n<li>Unterrichten Sie Ihre Mitarbeiter so oft wie m\u00f6glich \u00fcber Online-Sicherheitsvorkehrungen. Die gr\u00f6\u00dfte Schwachstelle ist der menschliche Faktor und die Unverantwortlichkeit Ihrer Mitarbeiter, Systemadministratoren usw.<\/li>\n<\/ul>\n<p>Der Chat schlie\u00dft ab mit \"Wir w\u00fcnschen Ihnen f\u00fcr die Zukunft Sicherheit, Gelassenheit und viele Vorteile. Wir danken Ihnen f\u00fcr die Zusammenarbeit mit uns und f\u00fcr Ihr umsichtiges Verhalten in Bezug auf Ihre Sicherheit. Der Nachweis \u00fcber die Datenl\u00f6schung wird in K\u00fcrze erbracht werden.\" Vielleicht kann ja jemand von den Ratschl\u00e4gen was brauchen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Interessante Geschichte: Gerade habe ich \u00fcber die RaaS-Ransomware-Gruppe Akira berichtet (siehe Neues zum Cyberangriff auf S\u00fcdwestfalen IT), da f\u00e4llt mir ein Post auf BlueSky auf, der diese Gruppe erw\u00e4hnt. Ein Opfer fragte nach einem Angriff, als es den Decryptor samt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/12\/wenn-ransomware-gruppen-sicherheitstipps-geben\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-288105","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288105"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288105\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}