1. Risikowahrnehmung und Cyber-Resilienz
Herausforderungen in der Angriffserkennung
Volker Kozok
Vorsitzender Netzwerk
für Cyberintelligence e.V.

2. Disclaimer
Dieser Vortrag spiegelt
ausschließlich meine
eigene Meinung wieder!
… und enthält keine guten
Nachrichten!

3. E M O T E
T

4. EMOTE
Warum die Stadt Frankfurt
alles richtig gemacht
hat …. und es
trotzdem
falsch war!

5. Es war einmal ein
kleines hessisches Dorf
FECHENHEIM

8. 1
2 MAKRO
Phase 1: Infektion
Tip: Das Deaktivieren der Makros
bietet den besten Schutz
Erstellt registry auto start
keys und installiert sich im
running prozess
2

9. Reaktionen
Schutz vor Makros???
Drucken
Nutzbarkeit versus Sicherheit
Awareness ist nur ein Teil der Lösung…

10. Mails an die richtige Adresse

11. Awarenes
s
• Wechselnde und
widersprüchliche Adressen
• Ostgotische Länderkennung

12. Phase 2: Implementierungsphase
3
Emotet synchronisiert sich mit dem C&C Rechner.
Weitere Schadroutinen werden runtergeladen
3

13. Bypas
s
Deaktivierung
Privilegienerweiterung
User Account
Control

14. ©Volker Kozok 14
….man muss auch mal Nein sagen können

15. Ryu
k
Phase 4: Network Propagation
4
Verteilung über SMB
(Server Message Block)
Übernahme von Rechnern
und Netzwerken

16. Ryu
k
Phase 4: Network Propagation
RY
UK
Ryu
k
Weitere Schadroutinen
werden heruntergeladen
5

17. Ryuk

19. Komme ich bei Ihnen
nicht rein, greife ich ihre
Sub-Unternehmer an

20. Emotet 20xx – die Reise geht weiter

21. 27.01.2021

22. ©Volker Kozok 22
02.12.2021
27.01.2021 = Emotet ist tot

23. Big Game Hunting

24. Colonial Pipeline Hack

25. Colonial Pipeline
2.500.000 Barrel pro Tag
STRECKE: 8.851 Kilometer
7. Mai 2021
06.10 Uhr
SHUTDOWN

26. ©Volker Kozok 26
Darkside Ransomware
Quelle: Darkside Ransomware does not attack hospitals, schools and governments - Acronis
Beispiel
$ 4,400,000

27. Colonial Pipeline Hack
10.05.2021

28. ©Volker Kozok 28
Buch
-
haltu
ng
Schematische Darstellung
Pipelinesteuer
ung
Kontro
ll-
zentru
m
Verwaltun
gs-
netz
Colonial Pipeline Hack
Ohne Rechnungen
kein Öl

29. Colonial Pipeline

30. ©Volker Kozok 30
Auswirkungen
− Aufhebung von Sicherheitsstandards bei
Gefahrguttransporten
− Anpassung der Lenk- und Ruhezeiten zur
Sicherstellung der Betriebsstoffversorgung

31. ©Volker Kozok 31

32. ©Volker Kozok 32
Reaktionen
…wer würde eigentlich bei uns Betroffenheit zeigen!?!

33. • Auftrag an das National Institute of Standards and Technology
(NIST) und weiteren US-Behörden: Erhöhung von Massnahmen
zur Softwaresicherheit
• Abstimmung mit der NSA, der Cybersecurity & Infrastructure
Agency (CISA) und dem Director of National Intelligence (DNI)
zur Vorlage einer Definition „kritische Software“ zum 26. Juni
2021.
Damit wurde erstmalig eine Executive Order herausgegeben, die
durch einen Angriff mit einer Ransomware ausgelöst wurde.

34. ©Volker Kozok 34
Problem gelöst?

35. ©Volker Kozok 35
Colonial Pipeline Hack

37. Quelle: Darkside Ransomware does not attack hospitals, schools and governments - Acronis
Chat Support
mit Protonmail
Time Line – zeigt die verfügbare Zeit an
Darkside Web-Seite

38. Ostgotien* Protection
*Ostgotien: rechtsfreier Raum östlich von Polen
Ransomware
Execution
Prozess

39. Darkside readme-txt

40. Quelle: Darkside Ransomware does not attack hospitals, schools and governments - Acronis
Darkside WEB-Seite

41. ©Volker Kozok 41
Darkside Angriffe
Angriff auf die Brenntag Tochter in den USA
Forderung nach 7,5 Millionen
US-Dollar.
Nach Verhandlungen Zahlung
von 4,4 Millionen US-Dollar.

42. 05.02.2021
Angriff auf
brasialianische
Energieversorger

43. ©Volker Kozok 43
BITCOIN Durchsuchungsbeschluss
Eidenstaatliche Erklärung
des CaseAgents

44. ©Volker Kozok 44
08. Juni 2021 - Wie das US-Justizministerium am Montag
bekannt gab, hat das FBI 63,7 Bitcoin im Wert von derzeit
etwa 2,3 Millionen Dollar beschlagnahmt.
BITCOIN Beschlagnahme

45. ©Volker Kozok 45

47. ©Volker Kozok 47

48. ©Volker Kozok 48
REvil Ransomware Angriffe

49. JBS - REvil Ransomware Angriffe
In Verhandlungen wurde die Lösegeldsumme von 22,5 Millionen auf
11 Millionen reduziert.
30. Mai 2021

50. Schließung aller
fleischverarbeitenden Betriebe in
den USA, einer Fabrik in Kanada
und den Schlachthof in Australien.

51. ©Volker Kozok 51
REvil Ransomware Angriffe
REvil Information
zum Download
des Encryption
Tools

52. ©Volker Kozok 52
FBI Most Wanted

53. ©Volker Kozok 53
FBI-Beschlagnahme

54. ©Volker Kozok 54

55. ©Volker Kozok 55
Nu är alla Coops buitker öppna
Expert om
attacken som
sänkt Coop:
”Utpressning
mot
detaljhandeln
har exploderat”
Am Freitag den 2. Juli
meldete der Hersteller
Kaseya um 22:00 Uhr
(MESZ) einen Angriff auf
seine Virtual System
Administrator (VSA)
Software. Laut Kaseya
sind von dem Angriff
eine kleine Zahl Kunden,
die Kaseya VSA als On
Premise Lösung
betreiben, betroffen.

56. ©Volker Kozok 56
REvil Gruppe zerschlagen?

57. ©Volker Kozok 57
Ein Präsident zeigt Initiative

58. ©Volker Kozok 58
Die Kritik der Opposition
Einfach mal so…
Wieso gibt man einem
Land eine Liste von
verbotenen Zielen,
wenn die Angreifer
Kriminelle sind?
Wieso muss ein
Präsident einen anderen
Präsidenten um
Amtshilfe bei der
Bekämpfung von
Cyberkriminellen
bitten?

59. ©Volker Kozok 59
Internationale Kooperation
Rumänische
Polizei
Französische
Polizei
FSB

60. ©Volker Kozok 60
Schlag gegen die Revil-Gruppe
Sieben internationale Festnahmen
− 04.11.2021: Zwei Festnahmen in
Rumänien
− Festnahme des Ukrainers Yaroslav
Vasinskyi in der Ukraine
Acht Festnahmen in Russland
− Gerichtsverhandlung in Moskau
− bis zu 7 Jahren Haft möglich
• Durchsuchungen an 25 Orten in fünf russischen Regionen
• 14 Verdächtige
• Beschlagnahme von umgerechnet 4,8 Millionen Euro + 20 Luxus-Autos
?

61. REvil Lessons Learned
1. Ransomware can be (partially) solved with
diplomacy
(more partially than complete…)
2. REvil was low-hanging fruit
(may be a so called “Bauernopfer”)
3. Driving fear into criminal gangs
(7 years?)
4. The Iran-North Korea ransomware connection
(Cybercrime is a part of the national income…)
5. The value of (good) attribution
(the value of good attribution)
©Volker Kozok 61

62. Evolution of
Ransomware
Quelle: Mandiant
2022
2022
Black-
matter

63. 63

64. 64
Kaserne Mont Royal
Kaufpreis 450.000 €

65. Calibour GmbH
©Volker Kozok 65
400 Server auf 5.500 m3

66. 227 Folgeverfahren

68. Mai 2019

69. Wall Street Market
69
320.000 Geschäfte im Wert von
mehr als 140 Millionen Euro

71. 71

73. Flugsvamp 2.0
73

74. 74

76. 76

77. Original-
bild
Mit Scheibe ohne Scheibe
copy
paste
Die arbeiten ohne Computer!
Firmensitz?

78. Impressum
Datacenter Hostter.com
?

80. ©Volker Kozok 80
Raid-Forums
Operation TOURNIQUET

81. ©Volker Kozok 81
Raid-Forum 2

82. ©Volker Kozok 82
Und jetzt?

83. ©Volker Kozok 83

84. ©Volker Kozok 84

85. Es
Es geht weiter…..

86. Das Security Kleeblatt
Perimeter Security
FW
IDS/IPS
Malware
Detection
…
Friendly
Attack
White Hacking
Pentesting
Redteaming
Social
Engineering
Awareness
…
Security
Operations
Cyber Intel
OSINT
SOC
CERT
Forensik
…
Crypto
VPN
Verschlüsselung
TOR & Co
Secure Cloud
…

87. ©Volker Kozok 87
und jetzt?
• Werden Sie resilienter
• Die Komplexität der IT-Systeme
überfordert nur die IT-Abteilung, nicht die
Cyberkriminellen
• Reden sie mit ihren Cyber Security
Experten
• Werden sie Teil der Wissensgesellschaft
und nicht Teil der
Informationsgesellschaft
• Lassen Sie eine Fehlerkultur zu!
• Bilden sie Netzwerke

88. Vielen Dank
für ihre
Aufmerksamkeit.
Bleiben Sie
resilient
Kontakt:
Volker Kozok
Xing.de linkedin.com