Les ransomwares malveillants ne parlent pas aux mêmes entreprises. Notre Podcast zeigt, était dans le Betrieben wirklich passiert, wenn die Erpresser eingedrungen sind.
Montagmorgen, 8h00. Die Mitarbeitenden können sich nicht einloggen. Die Produktionsbänder stehen still, und auf den Bildschirmen prangen digitale Erpresserschreiben. L’Altraum un de ces DSI est le mot suivant : Un Ransomware-Angriff a la tâche lahmgelegt. Jetzt fint der Regelbetrieb, et der Ausnahmezustand start.
Pour Joanna Lang-Recht, directrice IT Forensics et Prokuristin chez Intersoft Consulting Services AG à Hambourg, c’est le Alltag. Il s’agit d’une entreprise d’ingénierie hautement spécialisée, qui a reconstruit le groupe Tather et a créé le chaos, ce qui lui a valu d’autres liens avec le chaos.
« Man kann sich das tatsächlich ähnlich vorstellen wie in der criminalistischen Forensik », erklärt Lang-Recht. Doch die Realität dann doch wenig mit grellen Taschenlampen in dunklen Räumen zu tun, auch wenn die Parallelen in der Vorgehensweise zu erkennen seien. « Wir sammeln keine Schmauchspuren oder Fußabdrücke, wie konzentrieren uns auf Spuren im digitalen Raum », ainsi le Forensikerin.
Lorsque la cybercriminalité est appliquée, vous devez vous assurer que les fragments numériques soient utilisés pour le transfert de données. Das können Logfiles sein, veränderte Zeitstempel ou Fragmente im Arbeitsspeicher. Tout cela est composé de Puzzleteile, aus denen Lang-Recht et à leur équipe das Bild des Angriffs zusammensetzen. Ma devise : Rekonstruieren statt Spekulieren. Doch bevor die detektivische travail beitnen kann, müssen Unternehmen d’abord aus der Schockstarre herausfinden.
Zwischen Panik et Paralyse
Ransomware-Angriffe prend un timing parfait. Beispielsweise wissen die Täter genau, wann IT-Abteilungen besonders verwundbar sind. « Häufig finden solche Angriffe über das Wochenende or an Feiertagen statt », raconte l’expert de Hambourg dans le podcast TechTalk Smart Leadership de COMPUTERWOCHE et CIO-Magazin. La « Phase de cryptage », dans les dates des opérations, se déroulera jusqu’à la fin des travaux. Wenn die Belegschaft am Montag ins Büro kommt, sei das Unheil bereits geschehen.
La première réaction des milieux d’affaires a décrit Lang-Recht comme un individu absolu de Panik. « Wir reden hier von einem wirklichen Ausnahmezustand », betont sie. Keine E-Mails, kein Zugriff auf Kundendaten, keine Produktion. Dans ce premier « Stadium der Akzeptanz », comme Lang-Recht n’est pas encore arrivé, le plus grand Fehler gemacht a souvent eu lieu, un espace d’exposition massif s’est produit.
Der menschliche Impuls sei verständlich : Man möchte retten, was zu retten ist. Doch die Forensikerin warnt eindringlich vor Aktionismus. « Nous avons réussi à ce que les équipes informatiques puissent effectuer des sauvegardes ou des sauvegardes uniques, avant de les utiliser, a été adopté. »
Warum der Stecker nicht gezogen werden darf
Lang-Recht empfiehlt, die Systeme vom Internet zu trennen, aber nicht auszuschalten. Das Herunterfahren eines Servers könne einen « forensischen Suizid » beeuten. « Das vernichtet wertvolle Hinweise », erklärt sie. Viele Angreifer innerlassen demnach Spuren im RAM-Speicher. Wird der Strom gekappt, sind this Informationen unwiederbringlich verloren. Les dates sont essentiellement, pour l’instant, comme le hacker dans le réseau a été créé (mouvement latéral) et est maintenant actif.
Die korrekte Vorgehensweise, donc die Expertin, sei die Isolierung. « Les services des fournisseurs, des clients et des prestataires de services doivent être gérés de manière à ce que la chaîne d’approvisionnement ne soit pas gérée. » D’abord lorsque l’Infrastruktur s’est lancée dans cette tâche, elle a commencé le propre Arbeit der Forensik. Et ceux-ci sont souvent fournis par les Auffahren schwerer Geschütze.
La Dimension du Cyberangriffe ne sort pas seulement des speicherkapazitäten vor Ort. Une image forensische – exacte 1:1-Kopien der Datenträger – zu erstellen, müssen laut Lang-Recht riesige Datenmengen gesichert and analysiert werden. Sind aberte Servere und tausende Clients zu untersuchen, werden die Verantwortlichen an physikalische Grenzen stoßen.
Est-ce qu’on est coincé derrière les Angriffen ?
L’image d’un hacker dans un sweat à capuche, de deux pizzas à la main de Keller, est irréaliste selon Joanna Lang-Recht. « Nous avons des groupes de professionnels de haut niveau pour cela », stellt sie klar. La cybercriminalité est si industrielle. Le modèle de gestion « Ransomware-as-a-Service » (RaaS) domine le marché.
Die Gruppierungen seien wie mittelständische Betriebe aufgestellt. Ils utilisent souvent des solutions personnelles, des solutions d’entreprise et des solutions marketing pour la marque du groupe de hackers. Nicht selten hätten sie sogar ainen mehrsprachigen Kundensupport installiert.
« Lorsque l’homme est impliqué dans l’assistance, cet homme est le maître d’œuvre avec un support de premier niveau et un support de deuxième niveau », a déclaré Lang-Recht. Il s’agit de Preislisten, Rabattaktionen et Ticket-Systeme.
Cette professionnalisation mache the Angriffe efficace et besonders gefährlich, biete aber auch Ansatzpunkte für Verhandlungen. Pour les Angreifer, il s’agit d’une affaire et il n’y a pas de vendetta personnelle. Das einzige Ziel ist der Profit. Doch genau hier entsteht souvent un dilemme moral pour les entrepreneurs : Zahlen ou nicht zahlen ?
Le dilemme de la perte de poids
Während Behörden wie the BSI empfehlen, grundsätzlich nicht zu zahlen, ist the Realität in the Vorstandsetagen un autre: Wenn die Existenz des Unternehmens auf dem Spiel steht, wird die Moral zur Nebensache. « Est-ce que c’est la fin d’une rein wirtschaftliche Entscheidung », dit-il à l’heure actuelle.
Geschäftsführern rät sie dringend davon ab, self in den Chat mit den Erpressern zu gehen. Hier seien Emotionen absolut fehl am Platz. Il est préférable de contacter un revendeur spécialisé. Ziel müsse sein, zunächst Zeit zu gewinnen, die Forderung zu drücken and herauszufinden, ob die Täter überhaupt in der Lage sind, die Daten wiederherzustellen.
Les personnes qui se soucient de la sécurité des angegriffes sont la double extorsion réelle. Dabei verschlüsseln die Täter nicht nur die Daten, sondern sie drohen auch mit deren Veröffentlichung. Lorsque l’option est également utile pour les travaux, elle permet d’évaluer les risques liés à l’entraînement et à l’application des méthodes de travail sensibles ou des plans de construction.
Les frais de logement pour le niveau C
« Le Haupteinfallstore a un mot de passe classique, utilisé par Brute-Force, un système de sécurité non sécurisé (VPN/RDP) et un phishing classique », a répondu le avocat Lang. Versäumnisse in der « IT-Hygiene » öffneten den Tätern Tür und Tor. Dazu zählen insbesondere veraltete Systeme, unzureichendes Patch-Management et un fehlende Netzwerksegmentierung.
Lorsqu’un Angreifer un im Netz est, il n’est donc pas possible de s’en empêcher. In vielen Unternehmen seien die Netzwerke aber „flach“, so die Forensikerin, wer drin sei, komme überall hin. « Si un Angreifer in einen Teilbereich eindringt, darf er nicht die gesamte Infrastruktur verschlüsseln können », a déclaré Lang-Recht. La segmentation des réseaux sei die wirksamste Maßnahme, um den Schaden zu begrenzen.
Der Faktor Mensch et Organisation
La technique se trouve sur la page de la médaille. Les experts s’engagent, comme vous le savez, auf den Notfall vorbereitet zu sein. Un employeur doit être avisé, et si c’est le cas dans Notfall. Verträge, die garantieren, dass bei einem Angriff ein Expertenteam bereitstehen, sind für sie unverzichtbar.
Zudem müssten Verantwortlichkeiten klar geregelt sein. In der Krise sei keine Zeit für Kompetenzgerangel. Est-ce que cela se produit lorsque l’Internet-Zugang est utilisé? Étons-nous communiquant avec les clients, les prestataires et les responsables de la presse ? Étons-nous informés des dates de protection des renseignements personnels ? « Es gibt in der Regel immer eine Person, die kommunikativ die Führung übernimmt », a déclaré Lang-Recht. Ce rouleau n’est pas défini, mais il s’entraîne à l’intérieur – grâce aux Krisenstabsübungen et aux Notfallsimulationen.
Un bain humide avec KI
Le Blick in die Glaskugel zeigt keine Entspannung. Le jeu Katz-und-Maus-Spiel deux Angreifern et Verteidigern ne se produit pas chez nous, c’est grâce à l’intelligence artificielle d’un niveau élevé. Angreifer nutzen KI, un meilleur Phishing-Mails à consulter et un spécialiste à trouver. Verteidiger nutzen sie, um Anomalien im Netzwerkverkehr in Echtzeit zu erkennen.
Lang-Recht bleibt trotz der bedrohlichen Lage Optimistin. Il n’y a pas de risque de sécurité élevé, mais l’homme ne peut pas être à l’aise avec la pierre angulaire. Vous l’utilisez : Investissez dans vos sauvegardes sauvegardées (hors ligne !), la segmentation du réseau et la planification des tâches, et vous avez un plan pour le tag X. (mb)
