Ransomware-Attacke auf Media Markt
Umlüx 08.11.2021 - 16:39 5793 34
Neo-=IuE=-
Here to stay
|
Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-)
|
Earthshaker
Here to stay
|
Scriptingfähige attachments am mailgateway droppen ist wohl eine der effektivsten Maßnahmen die mir in den letzten Jahren untergekommen ist. Auch wenn der Aufschrei anfangs groß war, wir haben das dann einfach durchgezogen. Was alles habt ihr weggehauen und was habt ihr an Alternativen geschaffen?
|
Michi
¯\_(ツ)_/¯
|
Aber meist suchen sich Angreifer die Unternehmen aus, wo sie leicht und schnell vorankommen und das verhindert man schnell ;-) Das stimmt, aber ab einer gewissen Größe bist du immer interessant und automatisch ein Ziel.
|
Michi
¯\_(ツ)_/¯
|
Mein Beileid den Admins die dort Nachtschichten schieben müssen, hoffentlich gibt es ein funktionierendes Backup. Und dennoch 3100 Server restoren ist kein Spaß. .. meistens sind diese auch verschlüsselt und aus vertrauten Quellen weiß ich, dass einige von den österreichischen Unternehmen, welche diese Jahr betroffen waren, bezahlt haben.
|
Obermotz
Fünfzylindernazi
|
Die Frage ist sind das 3100 physische Server? Dann wirds fad. Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen.
|
daisho
SHODAN
|
Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en
|
.Gh#Z7
Addicted
|
Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt
|
Michi
¯\_(ツ)_/¯
|
Das würde halt voraussetzen dass sie jeden Tag ein Backup fahren ... wieso muss ich bei dem Gedanken "lol"en Oder es geht dir wie der Porr und die Backups sind auch mitverschlüsselt .. wollte es gerade schreiben, hilft dir alles nichts, wenn alles verschlüsselt ist ...
|
Obermotz
Fünfzylindernazi
|
Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame.
|
UnleashThebeast
Mr. Midlife-Crisis
|
Also wenns die Backups mitverschlüsselt, dann hat die IT wirklich versagt und verdient den Shame. This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh.
|
Umlüx
Huge Metal Fan
|
nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch. ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc)
|
Obermotz
Fünfzylindernazi
|
Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen. Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen.
|
Michi
¯\_(ツ)_/¯
|
This, dann müssen eigentlich mittlerweile alle in der Media-Saturn-IT beim AMS angemeldet sein tbh. .. hast dich anscheinend noch nie mit der Geschäftsleitung diesbezüglich auseinandersetzen müssen nicht immer ist die IT schuld. das letzte wort hat meist die GF. und die entscheidet sich oft falsch. ich würde bei uns auch gerne so einiges ändern und strengere linie fahren. leider wirds von oben geblockt (brauch ma ned, zu teuer, ging bisher auch, darf sich nicht ändern... etc) This! Du kannst es auch noch so gut meinen und auf alle Gefahren hinweisen, am Schluss entscheidet es die Geschäftsleitung.
|
freq
killed by Spunz
|
Die Frage ist sind das 3100 physische Server? Dann wirds fad. Wenn das wirklich gscheid gemacht ist, dann setzt die ESX Nodes neu auf und holst dir die Snapshot Backups von gestern. Wareneingang/Ausgang von heute ausm Audit log wiederherstellen. einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war. viele moderne Firmen haben halt nur noch Veeam mit physischem storage server dahinter und füttern die mit ihrem esxn. an offsite/offline cloud backups oder Tapes wird erst jetzt wieder gedacht.
|
Michi
¯\_(ツ)_/¯
|
Um zu verhindern, dass Backups mitverschlüsselt werden, brauchst keine teuren Maßnahmen. Dafür brauchst im simplifizierten Fall nur ein eigenes Share auf einer eigenen Maschine, die nicht mit dem Domain Admin zugänglich ist, sondern mit einem eigenen User, dessen Credentials nur zwei Leute kennen die sich nicht Social Engineeren lassen. Wieso hier immer auf den DA eingangen wird, ich habe viel mehr Angst vor einer Sicherheitslücke welche derzeit noch unbekannt ist.... Wenn der Angreifer sich damit wochenlang oder monatelang rumtreibt, dann vertraue ich nichts mehr in der eigenen Landschaft .... einer unsere wichtigsten Lieferanten war "Kunde" von so einem Angriff und die waren schon Monate vor der verschlüsselung im System... daher war nie ganz klar welche backups noch sauber war. .. so ist es, wer sagt auch hier, dass die nicht schon ewig im System aktiv sind/waren.
|