Und wie will man das verschlüsseln ohne Schreibrechte?
Krautmaster schrieb:
Was heißt auf alles Schreibzugriff? Es wurde offensichtlich das Code Repository zugegriffen. Das zerlegt man nicht Mal eben beliebig klein mit granularen Rechten.
Gerade in der Corona HO Zeit hat man sich da ggf zu weit aus dem Fenster gelehnt und nicht mit 2FA oder so nachgeholfen. Ich will nicht wissen wie viele Firmen da ne halbgabe Schnellschuss Lösung gebastelt haben.
Mal ne andere Theorie. Es reicht schon wenn einer der MA affig wurde und im HO die Daten neben dem daily Business abgezweigt hat und nun über 3. auch sein Teil des Kuchen rauspressen...
Und wie will man das verschlüsseln ohne Schreibrechte? In der Meldung steht, dass die Server verschlüsselt wurden. Mutmaßlich wird man erst verschlüsseln und dann die Daten rausziehen. Weil dann kann das Unternehmen nicht nachvollziehen was wirklich kopiert wurde. Auch hat der Angreifer mehrere Druckmittel, kopierte Daten und gesperrte Systeme. Dann kann man als Opfer auch nicht mehr nachvollziehen wie der Angriff ablief, d.h. alle Systeme neu machen bzw. einzeln prüfen wobei prüfen nie 100 Prozent funktionieren wird. Ist es verschlüsselt kann der Angreifer machen was er will, von mir aus noch in jede VM Schadcode packen als Anker für spätere Angriffe.
Würden man sofort kopieren und jemand merkt es, hat man weder eine vollständige Kopie noch ist was verschlüsselt... Und das Opfer kann womöglich recht schnell wieder die Arbeit aufnehmen, den Angriff nachvollziehen und befallene Systeme abklemmen...
Und bezahlt man bzw. lässt sich erpressen beruht die Sicherheit auf Vertrauen in die Gaunerehre von Kriminellen.
Einzige Möglichkeit ist Backup einspielen und neuen IT Sicherheitsdienst beauftragen. Je nach beteiligten Ländern darf man nicht mal bezahlen wenn der Angreifer in einem Land sitzt, gegen das z.B. Sanktionen verhängt sind.
Ob es ein Mitarbeiter gewesen sein könnte? Ich bezweifle es. Wer das durchzieht und nicht erwischt wird, würde woanders wahrscheinlich mehr verdienen und verbaut sich seine Zukunft. Auch schadet er allen Kollegen, also auch Freunden. Und wer so einen Groll gegen die eigene Firma hegt, der geht doch eher zu denen, die dafür verantwortlich sind. Also Baseball Schläger und Auto vom Vorgesetzten zertrümmern, sowas halt.
Es ist ja gar nicht klar ob hier überhaupt aktiv eingebrochen wurde oder automatisch Malware alles verschlüsselt hat und die Angreifer dann dachten, das Opfer ist ja ganz nett, da kann man noch mehr rausholen und haben dann die Daten kopiert. In den meisten Fällen ist das nämlich genau so und ich halte das für wahrscheinlich.
Ob die Schreibrechte bestanden oder über Umwege, also Sicherheitslücken, erlangt wurden ist nicht klar, spielt aber keine wesentliche Rolle - Schreibzugriff ist Schreibzugriff. System kompromittiert ist System kompromittiert.
Um andere Unternehmen geht's ja hier nicht. Ob unsere IT einem Angriff standhält? Ich denke nicht, aber die Entscheidung treffe nicht ich sondern unser IT Dienstleister und die, die das Geld für den Dienstleister ausgeben. Aber wir haben zumindest eine Backup Strategie und unsere Infrastruktur ist mehrfach gespiegelt*, auch außerhalb. Da sind wir weiter als viele vergleichbar große Unternehmen, deren einzige Infrastruktur weitaus schlechter ist.
*Ob allerdings unser Backup Prozess isoliert läuft und nicht verändert werden kann und die Backups nur inkrementell erweitert werden können und niemals überschrieben werden - traue ich unserem Dienstleister nicht zu.
Aber so sollte die Strategie aufgebaut sein. Ein System, das nicht veränderbar ist und nur den Backup Prozess ausführt und nur ein Schreibrecht auf dem freien Platz auf dem Backup Server hat. Und bestenfalls eben mehrere Backup Strategien, also stündlich, täglich, wöchentlich etc. auf verschiedene Server.
Bei vielen wird die Strategie aber einfach auf Glück beruhen. Es ging ja bisher alles, warum investieren?
