Alle Kategorien:
  E V T Z Allgemein
 EVTZ-Datenbank
  E V T Z Dokumente
 Kommentare
 Literaturdatenbank
  E V T Z Praxis
 Rechtsprechungsdatenbank
 Rechtsvorschriften
  Kooperationsinstrumente
 Startseite

Version [4015]

Dies ist eine alte Version von erdaxoITransomLog erstellt von WojciechLisiewicz am 2022-08-05 14:46:45.

 

Logbuch eines IT-Zwischenfalls

unsere Erfahrungen bei Unterstützung eines Kunden

Nachstehend finden Sie eine detaillierte Darstellung eines IT-Zwischenfalls, zu dem wir - leider - erst nach Eintritt des worst case hinzugezogen wurden. Wir haben dem Kunden glücklicherweise recht gut helfen können. Wir müssen allerdings zugeben, dass wir (mit Blick auf die Folgen für den Kunden) viel lieber vorbeugend tätig sind... Deshalb betrachten wir die folgende Darstellung als eine Gelegenheit für unsere künftigen Kunden, über die Sicherheit ihrer Systeme rechtzeitig nachzudenken. Bei Bedarf helfen wir gern!



das Protokoll

aufgezeichnet gemeinsam mit und teilweise vom Kunden

Unser Kunde, dessen Unternehmen betroffen war, ist ein Freiberufler mit einigen Mitarbeitern und insgesamt ca. 10 Computerarbeitsplätzen. Darüber hinaus arbeitet der Kunde mit Branchensoftware, die von einem zentralen Rechner (Server) im lokalen Netzwerk zur Verfügung gestellt wird. Zum damaligen Zeitpunkt arbeitete der Kunde mit zwei Standorten, die mit einer VPN-Leitung verbunden waren, so dass insgesamt ca. 15 Arbeitsplätze mit dem Server
verbunden waren. An dieser Stelle setzen wir an...

18. 9.
Der Tag, an dem alles begann:

ca. 14.00 Uhr
Anruf Mitarbeiterin 1 (MA1), die am Standort 1 Büroarbeiten verrichtet: "Rechner geht nicht mehr". Anweisung, soll ausschalten und nach Hause gehen.

ca. 15.00 Uhr
Mehrfache Versuche, am Standort 1 den Windows-Server per Neustart (warm und kalt) hochzufahren. Erfolglos.
Anruf beim Dienstleister C (*).
(*) Der damalige Dienstleister des Kunden, C, hat wenige Wochen zuvor die komplette Infrastruktur neu eingerichtet.
Mitarbeiter von C kommt später vorbei und sieht sich die Sache an. Er verfügt über einen Schlüssel zu den Räumlichkeiten, kann es insofern allein tun.

ca. 16.57 Uhr
SMS von MA von C, 16.57 Uhr: "Alles geht wieder".

19. 9.

gegen 8.00
Server geht wieder nicht! Anruf bei C: MA kommt gleich vorbei. An den Server werden Monitor und Tastatur angeschlossen. Dateien mit neuen Endungen versehen (.Lazarus+) und verschlüsselt. Kein Betrieb möglich. Internet-Recherche: offensichtlich ein Ransomware-Angriff! Es existiert eine interne Datensicherungsfestplatte.
Externe Datensicherung von C zwar angeboten, aber bis dato nicht installiert worden.

anschließend
Telefonat mit der Polizei. Zuständiger Kommissar (K) nimmt den Sachverhalt zur Kenntnis. Bittet um Bildschirmfotos und Anzeige per Email. Empfiehlt die Webseite Nomoreransomware.com.

Betrieb muss unterbrochen werden
Alle Kunden werden vertröstet bzw. zu anderen Anbietern geschickt - der Betrieb des Unternehmens ist nicht möglich.

später
Erneutes Telefonat mit der Polizei, K. Schlechte Aussichten, die Daten zurückzuerhalten.
Danach ganzer Tag mit hektischen Telefonaten mit Datenrettungsfirmen (Ontrak) und Virusspezialisten verbracht, Kaspersky, Housecall etc., keine Hilfe in Aussicht.

20. 9.

am Morgen
Einzelne Kunden mit Papier und Bleistift am Standort 1 abgefertigt, Standort 2 komplett geschlossen. Dienstleister E (**) benachrichtigt.
(**) Dienstleister E sind wir - an dieser Stelle wurden wir tatsächlich in die Angelegenheit einbezogen.
Signalisiert Bereitschaft, zu helfen.

abends
Treffen Kunde bei C mit E. MA von C schildert als wahrscheinlichen Angriffspunkt Port 3389. Sei von ihm im Router geöffnet worden, um den VPN-Tunnel zwischen den Standorten 1 und 2 zu ermöglichen. Internes Backup auf dem Server ist leider unbrauchbar gemacht (offenbar nicht verschlüsselt, sondern mit 0000 überschrieben.

Taktik für die nächste Zeit:
  • kompromittierter Server wird ausgeschaltet;
  • E bereitet ein frisches, Linux-basiertes Serversystem;
  • dafür muss - mangels besserer Variante - der vorhandene Datenbestand vom 5. 7. aktiviert;

Zwischenstand
Das Unternehmen ist durch Zerstörung der aktuellen Datensicherung auf den Stand vom 5. 7. zurückgeworfen. Es fehlt die Arbeit vom 8. 7. bis 7. 8. sowie vom 2. 9. bis 18. 9. an beiden Standorten. Wert der verlorenen Arbeit, wenn Daten nicht wiederhergestellt werden können, beträgt ein Viertel des Jahresumsatzes. Die Auszeit durch Unmöglichkeit der weiteren Arbeit vergrößert den Schaden jeden Tag erheblich.




Auf dieser Seite sind keine Kommentare vorhanden