Der Sonntagskrimi
Cybercrime – letzter Teil
Der Erpresser kam per Mail
Vor einer Woche hatte ein Hackerteam mit einem Erpressungstrojaner alle Systeme der Machjetztwas GmbH lahmgelegt. Telefon und Internet waren ebenfalls betroffen. Der Betrieb stand weitestgehend still. Inzwischen sind die Daten entschlüsselt und die Systeme wiederhergestellt. Heute kam die Mail mit dem „Report“, auf den wir seit Tagen gewartet haben
Über eine infizierte Mail ins System
„Ich hab dir eine Mail weitergeleitet.“ Der Gatte sah mich an und strahlte.
Eigentlich wollte ich grad etwas ganz anderes tun. Da war noch das Zertifikat, das eingebunden werden musste. Herr Kunde brauchte Zugangsdaten, weil er seine Webseite künftig selber pflegen wollte und dann war da noch der Shop, bei dem ich eigentlich noch ein paar Änderungen programmieren sollte.
Eigentlich.
Aber jetzt stand der Mann da neben mir und wartete darauf, dass ich die Mail öffnete, las, was er mir da zugedacht hatte.
Der Report des Hackers
„Report“ stand im Betreff.
Da war er also, der Report des Hackers, die Infos darüber, wie er in die Systeme der Machjetztwas GmbH kommen konnte.
Eigentlich hatte ich ganz andere Themen für meinen aktuellen Newsletter vorbereitet. Um die Installation von Windows 1 sollte es gehen. Eigentlich hatte der Kollege Windows 11 installieren wollen. Über den Verkehr in unserem Dorf und ob Homeoffice da helfen könnte, wollte ich ebenfalls schreiben.
Aber nun ist da der Bericht. Und ich weiß, dass Euch unser alles rund um unseren Cyberkrimi der vergangenen Woche aktuell viel mehr interessiert, als jedes andere Thema. Sogar Katzenvideos können da vermutlich nicht mithalten.
Diese Themen müssen also warten.
„Wir sind über eine infizierte E-Mail in Ihr Netzwerk eingedrungen“
Ich öffne nun die Mail.
„Wir sind über eine infizierte E-Mail in Ihr Netzwerk eingedrungen“, steht da.
Der Hacker empfiehlt: „Geben Sie also zunächst allen Ihren Mitarbeitern strenge Anweisungen zu Sicherheitsmaßnahmen.“
Meine Rede seit langem: Die Hacker werden immer geschickter mit Ihren Fake-Emails. Wie schnell klickt man auf eine Rechnung im Anhang, wenn einem der Absender bekannt vorkommt. Oder auf eine Bewerbung, wenn man tatsächlich gerade neue Mitarbeiter sucht. Die Seiten, die Mails, sehen oft täuschend echt aus. Deshalb ist das der wichtigste Punkt, an dem man Ansetzen muss: Mitarbeiter schulen und sensibilisieren. Ihnen Tipps geben, wie sie Fakemails besser erkennen und sich – und damit das Unternehmen – besser vor Schadsoftware schützen können.
Ähnliche Tipps von Heise wie von „unserem“ Erpresser
Gerade heute hatte ich einen wirklich hilfreichen Link bei Heise online entdeckt:
E-Mail-Konto gehackt: Was Sie jetzt tun muessen
Die Tipps des Heisedienstes sind denen vom Erpresser der Machjetztwas GmbH sehr ähnlich. Vermutlich kennen sie dort „unseren“ Hacker ebenfalls. Schließlich war er schon bei einer Reihe anderer ziemlich großer Unternehmen und Organisationen erfolgreich.
Die grundlegenden Empfehlungen des Erpressers für Ihr Netzwerk
Grundlegende Empfehlungen zum Netzwerk gibt der Erpresser uns auch:
- Verbessern Sie Ihre E-Mail-Filterrichtlinien
- Vergeben Sie bessere Passwortrichtlinien
- Richten Sie einen Schutz gegen Angriffe wie „Pass-the-Hash“ und „Pass-the-Ticket“ ein.
Anm. der Red.: Bei einer „Pass-the-Hash“-Attacke erfasst der Angreifer Anmeldeinformationen von einem Konto und authentifiziert sich damit an einem anderen Computer im Netzwerk.
Mit „Pass-the-Ticket“-Attacken werden die Passwörter im System angemeldeter Benutzer ausgespäht. Das funktioniert am besten, wenn sich der User nicht sauber aus dem System ausgeloggt hat. - Aktualisieren Sie alle Ihre internen Systeme auf die neuesten Versionen
- Überprüfen Sie Ihre Netzwerkstruktur und setzen Sie Firewalls ein, mit denen Sie Filterrichtlinien vergeben können.
- Blockieren Sie Kerberoasting-Angriffe Anm. der Redaktion: „Kerberoasting“-Angriffe haben zu tun mit Passwörtern für Service-Konten. Die werden oft zentral gespeichert und machen die Systeme damit angreifbar.
- Testen Sie Ihre Sicherheitssysteme gegen Angriffe von außen regelmäßig. Versuchen Sie sowohl von extern als auch von intern unberechtigt auf die Systeme zuzugreifen.
- Setzen Sie EDR-Systeme (Endpoint Detection and Response Systeme) ein.
Anm. der Redaktion: EDR-Systeme überprüfen die Systeme in Echtzeit auf böswillige Aktivitäten und melden sie sofort an den Administrator
- Überprüfen Sie die Gruppenrichtlinien, schränken Sie Domänen- und lokale Administratorrechte für bestimmte Benutzer ein.
- Verbessern Sie Ihr DLP-Softwaresystem. Anm. der Red.: Ein DLP-Softwaresystem – Data Loss Prevention Software – soll Ihre Daten nachhaltig vor Verlust schützen.
Das wars. Keine Zeile, kein Wort mehr als nötig.
Kein Freund großer Worte
Und auch der Polizist, der uns die Zeilen des Erpressers hat zukommen lassen, scheint kein Freund großer Worte zu sein.
„Mit freundlichen Grüßen“ stand da. Mehr nicht.
Das wars.
Die Systeme der Machjetztwas GmbH sind neu aufgebaut, die Daten verfügbar, der Betrieb läuft wieder. Der Erpresser hat erreicht, was er wollte und uns freundlicherweise mitgeteilt, dass er über eine Benutzer-Email die IT der Machjetztwas GmbH geentert hat.
Damit müssen wir uns dann nun wohl zufriedengeben.
Unsere Systeme sind sicher – Ihre auch?
Unsere Systeme sind sicher, die Mitarbeiter wissen, worauf sie achten müssen. Alle Mitarbeiter. Nicht nur die Techniker der IT-Abteilung, die sich damit ohnehin auskennen sollten. Auch Vertrieb und Verwaltung, Buchhaltung und wer sonst im Betrieb noch am PC sitzt, muss wissen, was er tut.
Wenn Sie hier Unterstützung und Beratung brauchen, sind wir gerne für Sie da.
Liebe Grüße und ein schönes Wochenende
sagt Regina Störk,
die sich jetzt wieder erfreulicheren Geschichten zuwendet. Geschichten mit Katzenvideos zum Beispiel, über den Einfluss von Homeoffice auf die Parksituation und den Verkehr in der Innenstadt. Und über die Installation von Windows 1, wo doch eigentlich Windows 11 installiert werden sollte.
Und natürlich grüßen auch diesmal außerdem wieder Chefkater Sammy und das ganze ms-computer-Team