Ransomware und Kollaborationsspeicher

Ähnliche Dokumente
Auf Nummer sicher. Der Kern der IT ist das beschleunigen von Arbeitsabläufen. Diesen kern pflegen wir.

1. Schritt: Benutzerkontensteuerung aktivieren

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Professionelle Datenrettung

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Professor Windows April 2004 Liebe auf den ersten Klick (Schattenkopien unter Windows Server 2003)

Neuer Erpressungs-Trojaner verschlüsselt mit RSA-2048

NAS 109 NAS mit Linux nutzen

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Manuelles Verbinden von Netzlaufwerken mit OS X. hslu.ch/helpdesk Andere

Verlust von Unternehmensdaten?

WHITEPAPER BAWÜ-CLOUD.DE CTERA-LÖSUNG

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

Projektarbeit mit Storebox

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Zugang zum Exchange-Server mit "Entourage" (MAC OS-X)

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Soweit nicht unter Punkt 5 besonders vereinbart werden die folgenden Leistungen von der Firma KUNCKEL EDV erbracht:

Mobile Geräte in der Verwaltung

Selbstverteidigung im Web

Copyright 2015 Kutzschbach Electronic GmbH & Co. KG Alle Rechte vorbehalten. ManagedBackup

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Fernzugriff auf das TiHo-Netz über das Portal

Nutzung VPA compact IV als USB Modem

Handbuch Version 1.02 (August 2010)

escan Vergleich (Enterprise, Corporate, SMB, SOHO)

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

Mobile Device Management

Engel.sys llll. Clever Daten sichern. Datensicherungen erstellen und auf dem Engel.sys FTP-Server speichern

Migration von Ontap 7-Mode zu Clustered ONTAP

DNS-325/-320 und Ferne Backups

Daten sichern mit Time Machine

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Anleitung zur Installation Lexware professional

FAQ: G DATA EU Ransomware Cleaner

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Installations- und Konfigurationsanleitung für den ShrewSoft VPN-Client für Windows

Einrichtung von Diensten auf Android 4.x

Nachtrag zur Dokumentation

Web- und Mail-Crypto-Viren

Anleitung für Zugriff auf Hosted Zarafa

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

IT Verantwortliche Fehraltorf, Monika Bieri Thomas Hüsler

Kurzanleitung. HTML5-Client. für Cortado Corporate Server 6.0. Cortado AG Alt-Moabit 91 a/b Berlin Germany/ Alemania

Missbrauchserkennung, Betrugsvarianten & Schutzmaßnahmen im Online-Banking

EH2000 Ablauf am Morgen

TERIA COMPU SOLOTH RN. Merkblatt «Eigene Wolke (Cloud) einrichten» 1. Ausgangslage. 2. Speicherplatz auf dem Server einrichten

owncloud Sync Meine Daten gehören mir! Dr. Markus Tauber, AIT, ICB

Betriebssystem - Fragen

Verwendung des IDS Backup Systems unter Windows 2000

I Serverkalender in Thunderbird einrichten

persönliche Daten sichern unter Windows 7

tubit Live Von "Bring-Your-Own-Environment" zu "Get-Your-System-Environment" Thomas Hildmann tubit IT Dienstleistungszentrum DFN Betriebstagung 2014

MAXDATA b.drive. Externe Festplatte mit integrierter Backup Software

Daten Sichern mit dem QNAP NetBak Replicator 4.0

WebDAV Sync mit GoodSync for Mac OS X

PRAXISMANAGEMENT FÜR DIE ZAHNARZTPRAXIS, MKG - CHIRURGIE UND KLINIK PRO X DENT MKG ZMK UMSTELLUNG DER INSTALLATION AUF NETZLAUFWERK

Outlook Express einrichten

Verteilte Dateisysteme

Handbuch Version 1.02 (August 2010)

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Kurzanleitung zum Einrichten eines POP3-Mail-Kontos unter Outlook 2013

Cnlab / CSI Demo Smart-Phone: Ein tragbares Risiko?

INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS

Unified Mail Archiv Schulungsteil 2. Jan-Peter Petersen

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum

Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Features. Zugriffsmöglichkeiten

Installation und Lizenz

SynServer. SynDisk Cloud Storage FAQ ...

Anleitung zur Installation von QuickStep

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Patchmanagement. Jochen Schlichting Jochen Schlichting

Samsung Drive Manager-FAQs

Starten der Software unter Windows 7

ATB Ausbildung technische Berufe Ausbildungszentrum Klybeck

Kurzanleitung zur Verwendung von File Sharing (DC2FS)

shopwin Kurzanleitung Leitfaden für einen Kassennotfall / Bedienung der Notfallkasse

IT Best Practice Rules

Deduplizierung mit Bacula Base Jobs Bacula Base Jobs

Aktive Schnittstellenkontrolle

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

FSC Storagebird Tivoli Edition Handbuch

Handbuch ECDL 2003 Modul 2: Computermanagement und Dateiverwaltung Grundbegriffe: Speichereinheiten, Ordnerstruktur und Dateitypen

Zugang Dateidienst mit Windows 7 (Vista) Wiederherstellen der Daten

Retrospect 9 für Mac Anhang zum Benutzerhandbuch

Smart Backup Notebook :: Sicherung und Wiederherstellung

Matthias Wörner gepr. IT-Sachverständiger

Fortbildung Sachbearbeiter EDV

Virenalarm was nun. Juni 2013 Holger Geiger

Gefahren und Lästiges aus dem Internet

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Mitarbeiterinformation

Erstsicherung für den Einsatz von

HowTo: Ereigniseinrichtung

Erstellen von Benutzerfreigaben und kennwortgeschützter Datenzugriff Eine Anleitung für DNS-315, DNS-320, DNS-320L, DNS-325, DNS-345

Transkript:

Ransomware und Kollaborationsspeicher Auszug aus der Praxis Kai Scheddin - ZeuSWarE GmbH 11.10.2017 1

Überblick Inhalt i. Allgemeines i. Was ist ein Kollaborationsspeicher? ii. Was ist Ransomware? iii. Gefährdung- Angriffe mit Schädlingen verstärkt ii. Vorfall 1 i. Die Infrastruktur im Kleinunternehmen ii. Was ist passiert? iii. Nachbereitung/Analyse iv. Maßnahmen aus der Nachbereitung iii. Vorfall 2 i. Die erweiterte Infrastruktur im Kleinunternehmen ii. Was ist passiert? iii. Nachbereitung/Analyse iv. Maßnahmen aus der Nachbereitung iv. Fazit v. Links & Formulare 11.10.2017 2

I: Was ist ein Kollaborationsspeicher? Jede Form von Speicher die für die Zusammenarbeit von Teilnehmern vorgesehen, diese vorwiegend direkt darauf zugreifen können, und unabhängig von der eigentlich verwendeten Form und Technik ist. Das können sein: NAS SMB CIFS WebDAV Korn- und Wasserspeicher Uvm.. 11.10.2017 3

I: Was ist Ransomware? Software welche den Zugriff auf Daten bis zur Zahlung eines Lösegeldes ( engl.: ransom Arten: Sperren von Systemen Verschlüsselung von Daten Sonderform Pseudo-Ransomware: Das Ziel ist nicht das Lösegeld sondern der verursachte Schaden am Ziel. 11.10.2017 4

I: Gefährdung- Angriffe mit Schädlingen verstärkt ANZAHL NUTZER WELCHE MIT RANSOMWARE KONFRONTIERT WAREN 2,58 Millionen ANZAHL DER VON VERSCHLÜSSELUNGSSCHÄDLINGEN ANGEGRIFFENEN BENUTZER +11,4% +60,37% 1.152.299 2,32 Millionen 718.536 31,03% zu 2,32 M 44,64% zu 2,58 M A P R I L 2 0 1 5 - M Ä R Z 2 0 1 6 A P R I L 2 0 1 6 - M Ä R Z 2 0 1 7 A P R I L 2 0 1 5 - M Ä R Z 2 0 1 6 A P R I L 2 0 1 6 - M Ä R Z 2 0 1 7 11.10.2017 5

II: Vorfall 1 Die Infrastruktur des Kleinunternehmens Was ist passiert? Nachbereitung/Analyse Maßnahmen aus der Nachbereitung 11.10.2017 6

II: Die Infrastruktur im Kleinunternehmen Szenario SBS 2011 All Services on one Server 15-30 Nutzer Viel E-Mail Verkehr Wichtige Daten auf/in der Freigabe Kleines Budget für IT KU im B2C Geschäft Umsatz ~2,5M-4M Computer Domän e Freigabe Standort Computer Computer Benutzer Computer Benutz er Benutzer Benutzer 11.10.2017 7

II: Was ist passiert? 11:00 Anruf eines Mitarbeiters 12:30 Der GF kann seine E-Mails nicht mehr abrufen 12:45 Telko zwischen GF und uns 13:00 Der GF traf in der Firma ein 13:45 Eintreffen des externen IT-Dienstleisters 14:15 Erkenntnis: Es wird noch durchgehend Verschlüsselt 14:15 15:30 Prozess identifiziert und ausgeschaltet 15:30 - clear Hallo Herr Scheddin, die Dateien sehen irgendwie 11.10.2017 8

II: Nachbereitung/Analyse Die Alarmierung, die Reaktionszeiten, die Ursachen sowie die Auswirkungen wurden schnell und fassbar eingeschätzt. Der Virenscanner war wirkungslos. Angriffsvektor durch den externen IT-Dienstleister nur schätzbar. Die Wiederanlaufzeit war mit 24h annehmbar, da zu betriebsarmen Zeit. Die weitere Analyse zeigte: Dharma Ransomware (CrySiS Variante) Zum Glück machen wir 11.10.2017 9

II: Maßnahmen aus der Nachbereitung Sofortmaßnahmen*: Verbesserung des Datensicherungsprozederes (Backups) Prüfung der Aktualität aller Virenscanner Meldung des Vorfalles an die zuständige Behörde (LKA o.ä) Langfristige Maßnahmen: Prüfung der Zugriffsrechte der Clients** Kontinuierliche Prüfung auf Aktualität der Betriebssystem und Software*** * Man bedenke: kleines IT-Budget ** Man bedenke auch: Im B2C Geschäft unbedingt prüfen wegen EU-DSGVO *** Nutzer ignorieren gerne den Patch-bedarf, auf doch dann unangenehme Art und Weise 11.10.2017 10

III: Vorfall 2 Die erweiterte Infrastruktur des Kleinunternehmens Was ist passiert? Nachbereitung/Analyse Maßnahmen aus der Nachbereitung 11.10.2017 11

III: Die erweiterte Infrastruktur im Kleinunternehmen Szenario 15- Sync mit HQ-Freigabe CIFS mit Daily Backup gemounted in /data Ordner Anbindung der Nutzer via Dokan und webdav Viel E-Mail Verkehr Wichtige Daten auf/in der Freigabe Kleines Budget für IT KU im B2C Geschäft Umsatz ~2,5M->4M Benutzer Computer webdav via Dokan owncloud CIFS Domäne Freigabe Standort 11.10.2017 12

III: Was ist passiert? 12:15 Anruf eines Mitarbeiters USB Sicherung verschlüsselt lokale Sicherung verschlüsselt alle Freigaben der owncloud verschlüsselt externer IT-Dienstleister ist vor Ort 12:45 Manuelle Prüfung und Sicherung des IST Standes durch Erzeugung eines Snapshots des CIFS 13:00 Rename webdav wurden die Dateien als gelöscht markiert und waren im Trash Ordner der owncloud auffindbar und wiederherstellbar. 15:00 Die alten Dateien waren wieder hergestellt Ja hallo Herr Scheddin, diesmal hat es mich 11.10.2017 13

III: Nachbereitung/Analyse Die Alarmierung war ok, die Reaktionszeiten, die Ursachen sowie die Auswirkungen wurden schnell und fassbar eingeschätzt. Der Virenscanner war wirkungslos. Angriffsvektor war E-Mail. Die Wiederanlaufzeit war mit rund 3h gut. Wäre die Wiederherstellung per owncloud nicht möglich gewesen, so währe auch via CIFS-Dienst ein weiteres Sicherheitsnetz da gewesen. Zum Glück machen wir 11.10.2017 14

III: Maßnahmen aus der Nachbereitung Ähnlich wie bei Vorfall 1: Sofortmaßnahmen*: Prüfung der Aktualität aller Virenscanner Meldung des Vorfalles an die zuständige Behörde (LKA o.ä) Langfristige Maßnahmen: Prüfung der Zugriffsrechte der Clients auf* Kontinuierliche Prüfung auf Aktualität der Betriebssystem und Software*** * Man bedenke: kleines IT-Budget ** Man bedenke auch: Im B2C Geschäft unbedingt prüfen wegen EU-DSGVO *** Nutzer ignorieren gerne den Patch-bedarf, auf doch dann unangenehme Art und Weise 11.10.2017 15

IV: Fazit Kleinunternehmen mit kleinem IT-Budget fixierten sich bei den Maßnahmen in den vorliegenden Fällen darauf, das die Daten wiederhergestellt werden können. Maßnahmen zum Schutz vor dem Eindringen von Schadsoftware wird aufgrund des kontinuierlichen Aufwandsbedarfes nur als sekundäres Ziel betrachtet. Backups retten Geschäfte.. Präventivmaßnahmen verhindern Verluste.. 11.10.2017 16

V: Links Ransomware Bedrohung, Prävention & Reaktion https://www.bsi.bund.de/shareddocs/downloads/de/bsi/cyber- Sicherheit/Themen/Ransomware.pdf? blob=publicationfile&v=2 Statistik (Kaspersky) https://de.securelist.com/ksn-report-ransomware-in-2016-2017/72817/ Formulare und Dokumentation für solche Fälle: https://www.zeusware.de/it-sa/ 11.10.2017 17

Vielen Dank für Ihre Aufmerksamkeit 11.10.2017 18

Vielen Dank für Ihre Aufmerksamkeit 11.10.2017 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback