Ransomware-Attacke auf Media Markt

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3231

09.11.2021 - 21:23

Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-)

Earthshaker

Here to stay

Registered: Dec 2002
Location: .de
Posts: 8822

09.11.2021 - 21:32

Zitat aus einem Post von mr.nice.
Scriptingfähige attachments am mailgateway droppen ist wohl eine der effektivsten Maßnahmen die mir in den letzten Jahren untergekommen ist. Auch wenn der Aufschrei anfangs groß war, wir haben das dann einfach durchgezogen.

Was alles habt ihr weggehauen und was habt ihr an Alternativen geschaffen?

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2290

10.11.2021 - 06:51

Zitat aus einem Post von Neo-=IuE=-
Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-)

Das stimmt, aber ab einer gewissen Größe bist du immer interessant und automatisch ein Ziel.

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2290

10.11.2021 - 06:56

Zitat aus einem Post von mr.nice.
Mein Beileid den Admins die dort Nachtschichten schieben müssen, hoffentlich gibt es ein funktionierendes Backup. Und dennoch 3100 Server restoren ist kein Spaß.

.. meistens sind diese auch verschlüsselt und aus vertrauten Quellen weiß ich, dass einige von den österreichischen Unternehmen, welche diese Jahr betroffen waren, bezahlt haben.

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

10.11.2021 - 07:43

Die Frage ist sind das 3100 physische Server? Dann wirds fad.
Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19616

10.11.2021 - 07:58

Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 503

10.11.2021 - 08:00

Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2290

10.11.2021 - 08:07

Zitat aus einem Post von daisho
Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en

Zitat aus einem Post von .Gh#Z7
Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt

.. wollte es gerade schreiben, hilft dir alles nichts, wenn alles verschlüsselt ist ...

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

10.11.2021 - 08:13

Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame.

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3470

10.11.2021 - 08:17

Zitat aus einem Post von Obermotz
Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame.

This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8915

10.11.2021 - 08:17

nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch.
ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc)

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

10.11.2021 - 08:24

Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen.
Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen.

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2290

10.11.2021 - 08:25

Zitat aus einem Post von UnleashThebeast
This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh.

.. hast dich anscheinend noch nie mit der Geschäftsleitung diesbezüglich auseinandersetzen müssen

Zitat aus einem Post von Umlüx
nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch.
ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc)

This!

Du kannst es auch noch so gut meinen und auf alle Gefahren hinweisen, am Schluss entscheidet es die Geschäftsleitung.

freq

killed by Spunz

Registered: Sep 2003
Location: melk
Posts: 1371

10.11.2021 - 08:25

Zitat aus einem Post von Obermotz
Die Frage ist sind das 3100 physische Server? Dann wirds fad.
Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen.

einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war.

viele moderne Firmen haben halt nur noch Veeam mit physischem storage server dahinter und füttern die mit ihrem esxn. an offsite/offline cloud backups oder Tapes wird erst jetzt wieder gedacht.

Michi

¯\_(ツ)_/¯

Registered: Aug 2000
Location: nö
Posts: 2290

10.11.2021 - 08:30

Zitat aus einem Post von Obermotz
Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen.
Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen.

Wieso hier immer auf den DA eingangen wird, ich habe viel mehr Angst vor einer Sicherheitslücke welche derzeit noch unbekannt ist....
Wenn der Angreifer sich damit wochenlang oder monatelang rumtreibt, dann vertraue ich nichts mehr in der eigenen Landschaft ....

Zitat aus einem Post von freq
einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war.

.. so ist es, wer sagt auch hier, dass die nicht schon ewig im System aktiv sind/waren.

Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3231	09.11.2021 - 21:23 Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-)
Earthshaker Here to stay Registered: Dec 2002 Location: .de Posts: 8822	09.11.2021 - 21:32 Zitat aus einem Post von mr.nice. Scriptingfähige attachments am mailgateway droppen ist wohl eine der effektivsten Maßnahmen die mir in den letzten Jahren untergekommen ist. Auch wenn der Aufschrei anfangs groß war, wir haben das dann einfach durchgezogen. Was alles habt ihr weggehauen und was habt ihr an Alternativen geschaffen?
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2290	10.11.2021 - 06:51 Zitat aus einem Post von Neo-=IuE=- Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-) Das stimmt, aber ab einer gewissen Größe bist du immer interessant und automatisch ein Ziel.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2290	10.11.2021 - 06:56 Zitat aus einem Post von mr.nice. Mein Beileid den Admins die dort Nachtschichten schieben müssen, hoffentlich gibt es ein funktionierendes Backup. Und dennoch 3100 Server restoren ist kein Spaß. .. meistens sind diese auch verschlüsselt und aus vertrauten Quellen weiß ich, dass einige von den österreichischen Unternehmen, welche diese Jahr betroffen waren, bezahlt haben.
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	10.11.2021 - 07:43 Die Frage ist sind das 3100 physische Server? Dann wirds fad. Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19616	10.11.2021 - 07:58 Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 503	10.11.2021 - 08:00 Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2290	10.11.2021 - 08:07 Zitat aus einem Post von daisho Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en Zitat aus einem Post von .Gh#Z7 Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt .. wollte es gerade schreiben, hilft dir alles nichts, wenn alles verschlüsselt ist ...
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	10.11.2021 - 08:13 Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame.
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3470	10.11.2021 - 08:17 Zitat aus einem Post von Obermotz Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame. This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8915	10.11.2021 - 08:17 nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch. ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc)
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	10.11.2021 - 08:24 Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen. Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2290	10.11.2021 - 08:25 Zitat aus einem Post von UnleashThebeast This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh. .. hast dich anscheinend noch nie mit der Geschäftsleitung diesbezüglich auseinandersetzen müssen Zitat aus einem Post von Umlüx nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch. ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc) This! Du kannst es auch noch so gut meinen und auf alle Gefahren hinweisen, am Schluss entscheidet es die Geschäftsleitung.
freq killed by Spunz Registered: Sep 2003 Location: melk Posts: 1371	10.11.2021 - 08:25 Zitat aus einem Post von Obermotz Die Frage ist sind das 3100 physische Server? Dann wirds fad. Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen. einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war. viele moderne Firmen haben halt nur noch Veeam mit physischem storage server dahinter und füttern die mit ihrem esxn. an offsite/offline cloud backups oder Tapes wird erst jetzt wieder gedacht.
Michi ¯\_(ツ)_/¯ Registered: Aug 2000 Location: nö Posts: 2290	10.11.2021 - 08:30 Zitat aus einem Post von Obermotz Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen. Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen. Wieso hier immer auf den DA eingangen wird, ich habe viel mehr Angst vor einer Sicherheitslücke welche derzeit noch unbekannt ist.... Wenn der Angreifer sich damit wochenlang oder monatelang rumtreibt, dann vertraue ich nichts mehr in der eigenen Landschaft .... Zitat aus einem Post von freq einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war. .. so ist es, wer sagt auch hier, dass die nicht schon ewig im System aktiv sind/waren.

Ransomware-Attacke auf Media Markt

Forum Index > Real Life > Offtopic

Neo-=IuE=-

Earthshaker

Michi

Michi

Obermotz

daisho

.Gh#Z7

Michi

Obermotz

UnleashThebeast

Umlüx

Obermotz

Michi

freq

Michi