Veröffentlichter Verhandlungsverlauf: Das US-Reiseunternehmen CWT zahlte nach einem Ransomware-Angriff rund 4,5 Mio. US-Dollar

 (threadreaderapp.com)
13 Punkte von xguru 2020-08-04 | 6 Kommentare | Auf WhatsApp teilen

  • Nach einer Infektion mit der Ragnar-Locker-Ransomware wurde der Fall durch eine Zahlung von 4,5 Mio. US-Dollar in Bitcoin gelöst

  • Auffällig ist, dass die Verhandlungen mit den Hackern fast wie ein Gespräch zwischen Geschäftspartnern verlaufen

  1. Sie fordern 10 Mio. US-Dollar mit der Begründung, dass 30.000 Geräte infiziert wurden, und bieten dafür die Entschlüsselung sowie das Löschen aller von ihnen heruntergeladenen Daten von ihren Servern an

  2. 10 Mio. US-Dollar seien im Vergleich zu möglichen Klagen oder Reputationsschäden nach einer Veröffentlichung der Daten sogar günstig

  3. Sie entschlüsseln einige Dateien „kostenlos“, um zu beweisen, dass sie tatsächlich entschlüsseln können

  4. Wenn man sich innerhalb von zwei Tagen meldet, gebe es einen Sonderpreisrabatt, und sie fragen, ob 10 Mio. US-Dollar wirklich zu teuer seien

  5. (Nicht im Screenshot sichtbar, aber vermutlich wurde ein um 20 % reduzierter Preis von 8 Mio. US-Dollar vorgeschlagen)

  6. 8 Mio. US-Dollar seien schwer aufzubringen, es sei denn, der Umsatz würde sich verdoppeln. Sofort verfügbar seien nur 3,7 Mio. US-Dollar in bar

  7. Die 20 % seien bereits ein großer Rabatt, zusätzlich seien vielleicht noch 5 % möglich, aber dieser Preis sei schwierig. Wie wäre es mit etwa 4 Mio. US-Dollar: zuerst das Entschlüsselungstool, der Rest später, und dafür würden die vorhandenen Daten gelöscht?

  8. Nach der Zahlung geben sie sogar Sicherheitstipps mit dem Hinweis: „Damit so etwas künftig nicht wieder passiert, empfehlen wir Folgendes“

  • Lokale Passwörter deaktivieren.

  • Administrator-Sitzungen zwangsweise beenden.

  • In der Gruppenrichtlinie den WDigest-Wert auf 0 setzen. Wenn UseLogonCredential auf 0 steht, wird nichts im Speicher abgelegt

  • Passwörter monatlich ändern.

  • Die an Benutzer vergebenen Rechte prüfen, minimieren und den Zugriff nur auf die Anwendungen beschränken, die sie wirklich brauchen

  • In den meisten Fällen reicht Applocker aus, um alles zu schützen

  • Nur unbedingt notwendige Anwendungen zur Ausführung freigeben

  • Sich nicht nur auf Antivirus verlassen. Bei langfristigen Infektionen oder Angriffen mag es helfen, in den meisten Fällen aber nicht

  • EDR (Endpoint Detection and Response Security) installieren und die IT-Administratoren dazu anhalten, es zu nutzen

  • Für große Unternehmen werden mindestens drei Systemadministratoren empfohlen, die rund um die Uhr arbeiten; ausreichend wären wohl vier Administratoren in drei Schichten zu je acht Stunden pro Tag

  • CWT ist ein spezialisiertes B2B-Reisemanagementunternehmen, das Geschäftsreisen, Meetings, Incentives und Messen für Firmen organisiert. Das 1994 gegründete Unternehmen beschäftigt 18.000 Mitarbeiter, ist in 145 Ländern aktiv und erzielt einen Jahresumsatz von ungefähr 1,8 Billionen KRW.

Verwandte Beiträge

6 Kommentare

 
red123 2020-08-06

Die einen schuften wie die Deppen und verdienen so ihr Geld,

andere nehmen es sich einfach und verdienen damit Geld, hahaha
 
red123 2020-08-06

Subtile EDR-Werbung oder was? lol
 
sduck4 2020-08-04

Das ist wohl eine sehr teure Sicherheitsberatung.
 
ohjongin 2020-08-04

Das scheint ein Sicherheitshinweis für Windows zu sein …
 
xguru 2020-08-04

Die meisten Ransomware zielen ja auf Windows ab, haha.
 
xguru 2020-08-04

Vor Kurzem geriet auch Garmin durch Ransomware in Schwierigkeiten, wodurch die Systeme mehrere Tage lang heruntergefahren waren und großes Chaos entstand; gelöst wurde das Ganze dann wohl mit einer Zahlung von mehreren Millionen Dollar. Je größer ein Unternehmen ist, desto mehr sollte es offenbar auf Sicherheit achten.

https://engadget.com/garmin-cyber-attack-ransomware-payment-180211805.…