Vor einer Woche hatte ein Hackerteam mit einem Erpressungstrojaner alle Systeme der Machjetztwas GmbH lahmgelegt. Telefon und Internet waren ebenfalls betroffen. Der Betrieb stand weitestgehend still. Inzwischen sind die Daten entschlüsselt und die Systeme wiederhergestellt. Heute kam die Mail mit dem „Report“, auf den wir seit Tagen gewartet haben

ÜBER EINE INFIZIERTE MAIL INS SYSTEM

„Ich hab dir eine Mail weitergeleitet.“ Der Gatte sah mich an und strahlte.
Eigentlich wollte ich grad etwas ganz anderes tun. Da war noch das Zertifikat, das eingebunden werden musste. Herr Kunde brauchte Zugangsdaten, weil er seine Webseite künftig selber pflegen wollte und dann war da noch der Shop, bei dem ich eigentlich noch ein paar Änderungen programmieren sollte.

Eigentlich.

Aber jetzt stand der Mann da neben mir und wartete darauf, dass ich die Mail öffnete, las, was er mir da zugedacht hatte.

DER REPORT DES HACKERS

„Report“ stand im Betreff.

Da war er also, der Report des Hackers, die Infos darüber, wie er in die Systeme der Machjetztwas GmbH kommen konnte.

Eigentlich hatte ich ganz andere Themen für meinen aktuellen Newsletter vorbereitet. Um die Installation von Windows 1 sollte es gehen. Eigentlich hatte der Kollege Windows 11 installieren wollen. Über den Verkehr in unserem Dorf und ob Homeoffice da helfen könnte, wollte ich ebenfalls schreiben.

Aber nun ist da der Bericht. Und ich weiß, dass Euch unser alles rund um unseren Cyberkrimi der vergangenen Woche aktuell viel mehr interessiert, als jedes andere Thema. Sogar Katzenvideos können da vermutlich nicht mithalten.

Diese Themen müssen also warten.

„WIR SIND ÜBER EINE INFIZIERTE E-MAIL IN IHR NETZWERK EINGEDRUNGEN“

Ich öffne nun die Mail.

„Wir sind über eine infizierte E-Mail in Ihr Netzwerk eingedrungen“, steht da.

Der Hacker empfiehlt: „Geben Sie also zunächst allen Ihren Mitarbeitern strenge Anweisungen zu Sicherheitsmaßnahmen.“

Meine Rede seit langem: Die Hacker werden immer geschickter mit Ihren Fake-Emails. Wie schnell klickt man auf eine Rechnung im Anhang, wenn einem der Absender bekannt vorkommt. Oder auf eine Bewerbung, wenn man tatsächlich gerade neue Mitarbeiter sucht. Die Seiten, die Mails, sehen oft täuschend echt aus. Deshalb ist das der wichtigste Punkt, an dem man Ansetzen muss: Mitarbeiter schulen und sensibilisieren. Ihnen Tipps geben, wie sie Fakemails besser erkennen und sich – und damit das Unternehmen – besser vor Schadsoftware schützen können.

ÄHNLICHE TIPPS VON HEISE WIE VON „UNSEREM“ ERPRESSER

Gerade heute hatte ich einen wirklich hilfreichen Link bei Heise online entdeckt:

E-Mail-Konto gehackt: Was Sie jetzt tun muessen

Die Tipps des Heisedienstes sind denen vom Erpresser der Machjetztwas GmbH sehr ähnlich. Vermutlich kennen sie dort „unseren“ Hacker ebenfalls. Schließlich war er schon bei einer Reihe anderer ziemlich großer Unternehmen und Organisationen erfolgreich.

7. Testen Sie Ihre Sicherheitssysteme gegen Angriffe von außen regelmäßig. Versuchen Sie sowohl von extern als auch von intern unberechtigt auf die Systeme zuzugreifen.
8. Setzen Sie EDR-Systeme (Endpoint Detection and Response Systeme) ein. 

Anm. der Redaktion: EDR-Systeme überprüfen die Systeme in Echtzeit auf böswillige Aktivitäten und melden sie sofort an den Administrator

9. Überprüfen Sie die Gruppenrichtlinien, schränken Sie Domänen- und lokale Administratorrechte für bestimmte Benutzer ein.
10. Verbessern Sie Ihr DLP-Softwaresystem.

Anm. der Red.: Ein DLP-Softwaresystem – Data Loss Prevention Software – soll Ihre Daten nachhaltig vor Verlust schützen.

Das wars. Keine Zeile, kein Wort mehr als nötig.

KEIN FREUND GROSSER WORT

Und auch der Polizist, der uns die Zeilen des Erpressers hat zukommen lassen, scheint kein Freund großer Worte zu sein.

„Mit freundlichen Grüßen“ stand da. Mehr nicht.

Das wars.

Die Systeme der Machjetztwas GmbH sind neu aufgebaut, die Daten verfügbar, der Betrieb läuft wieder. Der Erpresser hat erreicht, was er wollte und uns freundlicherweise mitgeteilt, dass er über eine Benutzer-Email die IT der Machjetztwas GmbH geentert hat.

Damit müssen wir uns dann nun wohl zufriedengeben.

Donnerstagabend, 19.50 Uhr. Die Frist, die der Erpresser uns gegeben hatte, würde in den nächsten Stunden ablaufen. Ein Wettlauf mit der Zeit.
„Ich bleib erstmal hier“, kam die Nachricht des Lieblingsehemanns, „wir installieren die ERP-Programme auf den neuen Systemen.“ Die wichtigsten Anwendungen, über die Geschäfts- und Betriebsdaten zentral in einer Datenbank gespeichert werden, sind in diesem System integriert. Das ERP-System ist das Herzstück des Unternehmens.
Das Geschäftsleiterteam der Machjetztwas GmbH saß im Konferenzraum und beobachtete die Monitore. Angespannt warteten alle darauf, dass irgendetwas passierte. Auf die Nachricht, dass die Bitcoin-Überweisung erfolgreich sein würde, dass der Erpresser sich meldete.
Für das Team in den Büros der Machjetztwas GmbH würde es ein langer Arbeitstag werden.
Ich briet mir ein paar Maultaschen mit Zwiebeln, Pilzen und Paprika und stellte mich darauf ein, den Abend allein zu verbringen.
Gegen 23 Uhr ging ich ins Bett. Der Platz neben mir war leer.

„DIE SYSTEME SIND ENTSCHLÜSSELT“

Um 3:09 Uhr piepte mein Handy: „Systeme entschlüsselt“, stand da in einer Textnachricht.
Geschafft!
Gegen 4 Uhr hörte ich den Gatten die Treppe zum Schlafzimmer heraufkommen. Um 6 Uhr war er wieder weg.
Als ich um 8 Uhr ins Büro kam, war die Atmosphäre anders als sonst, doch von Entspannung war noch nichts zu spüren. Alle sahen müde aus.
„Die Systeme sind entschlüsselt“, erklärte Martin, als wir uns um 9 Uhr zur Besprechung trafen. Er gab einen kurzen Abriss darüber, was in der vergangenen Nacht geschehen war. Es war still im Raum. Das Team hörte aufmerksam zu. Man hätte eine Stecknadel fallen hören können.
„Die Machjetztwas GmbH kann wieder auf ihre Daten zugreifen. Der Vormittag wird das Arbeiten dort sicherlich noch etwas holprig sein. In den nächsten Stunden werden wir zunächst jeden einzelnen Arbeitsplatz überprüfen, einrichten und mit dem neuen System verbinden. Achtet darauf: Jede IP-Adresse ist zu ändern. Keine Mitarbeiter dort darf auf das alte System zugreifen können.“
Ab Mittag sollten schließlich die Kabel neu verlegt und die Peripherie-Geräte wie Drucker und Co angeschlossen werden.
Das Team war bereit. Jeder wusste, was er zu tun hatte und tat, was nötig war. Die Arbeit lief Hand in Hand. Ruhig.

EINE WOCHE IM AUSNAHMEZUSTAND

Die ganze Woche schon hatte sich das Team der ms computer GmbH im Ausnahmezustand befunden. Alltag war anders. Nichts lief wie gewohnt. Wenn ich morgens zur Arbeit kam, war in allen Büros gähnende Leere. Außer im Verwaltungsbüro. Meine Kollegin war da.
Die täglichen Besprechungen um 9 Uhr fanden nicht statt. Es war niemand da, mit dem man sich hätte besprechen können.
Täglich wurde ein Team zusammengestellt, das sich ausschließlich mit den IT-Systeme der Machjetztwas GmbH beschäftigte. Dieser Teil des Teams hatte auch über die regelmäßige Arbeitszeit hinaus Bereitschaft. Die übrigen Mitarbeiter kümmerten sich um das Tagesgeschäft. Schließlich konnte es ja nicht sein, dass der Erpresser außer der Machjetztwas GmbH auch unseren Betrieb lahmlegte und wir unsere Kunden, die ebenfalls unsere Unterstützung brauchten, im Regen stehen ließen.
Alle Versuche, die Daten zu entschlüsseln, machten von Anfang an Probleme. Die Übertragung auf eine externe Platte für unseren Datenwiederherstellungspartner in Leipzig sollte drei Stunden dauern. Wir bestellten den Kurier, der sie dorthin bringen wollte, entsprechend. Der war pünktlich. Die Daten nicht. Nach drei Stunden zählte das System lediglich die voraussichtliche Übertragungsdauer weiter hoch. Sie lag bei 14 Stunden, als der Kurier eintraf. Er musste später wiederkommen.

DATENRETTUNG ZU 99 % MÖGLICH – BENÖTIGTE ZEIT: 2 MONATE – NOCH 4 TAGE BIS ZUM ABLAUF DES ERPRESSERULTIMATUMS

Die Diagnose dauerte zwei Tage. Montag kam schließlich die Nachricht aus Leipzig: Die Server konnten bis auf die Metadaten zu 99% wiederhergestellt werden. Das würde zehn Tage dauern. Die Datensicherungen waren mehrfach überschrieben und dadurch unbrauchbar gemacht worden. Aber auch hier sah das Leipziger Datenrettungsteam eine Chance. Allerdings würde das etwa 2 Monate in Anspruch nehmen.
Eine Möglichkeit von 99 % für die Wiederherstellung der Serverdaten klang vielversprechend. Doch was, wenn nicht jedes Bit einwandfrei funktionierte? Würden die virtuellen Maschinen mit 99% der Daten und ohne Metadaten tatsächlich wieder laufen?
Zehn Tage zu Wiederherstellung der Backups. Der Erpresser hatte uns eine Siebentagefrist gesetzt. Danach wollte er alle Daten der Machjetztwas GmbH veröffentlichen.
Täglich, wenn wir die Service-Seite des Erpesserportals öffneten, poppte als erstes der Hinweis auf „Noch 6 Tage…“, „noch 5 Tage …“ Am Montag waren es noch 4 Tage bis zum Ablauf der Frist.

„Diese verdammten …. %§%“%@!!!!“ 

Donnerstagabend gegen 23 Uhr. 

Eigentlich wollten wir ins Bett. Morgen war Freitag. Und danach freuten wir uns aufs Wochenende. Die Wetterfrösche hatten Sonne vorausgesagt. Man könnte über den Wochenmarkt bummeln, Wandern, Fahrradfahren, irgendwohin wo es schön war. 

Doch jetzt saß der Mann da unten im Büro am Rechner und fluchte. 

„Da hat doch schon wieder jemand die Passwörter geändert und keine Dokumentation geschrieben“, schimpfte er. 

FEHLERMELDUNG VOM BACKUPSYSTEM 

„Was machst du?“, wollte ich wissen. 

„Das Backupsystem von der Machjetztwas GmbH hat mir gerade eine Nachricht geschickt. Irgendwas scheint da nicht zu funktionieren…“, sprach mein mich liebender Ehegatte und wandte sich wieder seinem Bildschirm zu. 

Er wollte noch „gschwind“ danach schauen. 

„Gschwind“ das kannte ich. Das konnte dauern. Ich ging ins Bett. 

Gegen 2 Uhr wurde ich geweckt. 

„Wo hast du die Firmenschlüssel?“, fragte mein Gatte. „Ich muss die Systeme vor Ort zurücksetzen“, erklärte er. 

„Rucksack“, murmelte ich verschlafen. „vorderes Fach“, drehte mich um und schlief weiter. 

Am Morgen fand ich den Mann unten am Frühstückstisch. Telefonierend. 

Ich hörte Wortfetzen wie „Kripo“, „Anzeige erstatten“, „Cybercrime“, „alle Systeme verschüsselt“, “ja wirklich alle!“ 

BETRIEB STEHT STILL – MITARBEITER MÜSSEN  NACH HAUSE GESCHICKT WERDEN 

Martin telefonierte mit dem Inhaber der Machjetztwas GmbH und musste ihn darüber informieren, dass er seine 80 Mitarbeiter nun gleich wieder nach Hause schicken konnte, sobald sie zur Arbeit kamen. 

ALLE 8 SERVER WAREN AUSSER BETRIEB. INTERNET UND TELEFONANLAGE TOT 

Die Ursache waren keine geänderten und nicht dokumentierten Passwörter. 

Hier waren Profis am Werk, Erpresser, eine kriminelle Vereinigung mit durchweg fähigen und geschulten Fachleuten in allen Bereichen. 

„Was der Typ da geleistet hat, ist unvorstellbar“, sagte mein Göttergatte anerkennend. „Den würde ich sofort einstellen.“ 

Ich nicht. Fachlich mochte er hervorragend sein, doch menschlich hatte er gewisse Schwächen. 

Martin hatte die Telefonanlage der Machjetztwas GmbH am Donnerstag upgedated. So etwas machte er meist spätabends, weil dann im betroffenen Unternehmen niemand gestört wurde. 

ANMELDUNG NICHT MÖGLICH 

Während er da saß und den Fortschrittsbalken des Updates beobachtete, kam die Meldung „Datensicherung gestört“. 

Er wollte danach sehen, konnte sich aber mit seinen Zugangsdaten nicht anmelden. Über das Wartungsportal war es zunächst trotzdem möglich, sich auf das System aufschalten. 

Doch dann meldete sich eine Maschine nach der anderen einfach ab. 

Beim Neustart über die Konsole war dann sofort wieder alles aus: das Passwort passte nicht. 

Ob da Wartungsarbeiten am Internet stattfanden?, überlegte Martin. Da hatte es doch vor kurzem eine Meldung vom Provider gegeben… 

Aber Firewall, Telefon und Drucker waren noch erreichbar. Das konnte es also nicht sein. 

Dann waren auch diese Geräte weg. 

Damit die Mitarbeiter der Machjetztwas GmbH am nächsten Tag arbeiten konnten, sah Martin nur noch eine Möglichkeit: sich ins Auto setzen, sich vor Ort in die Systeme einwählen und richten, was zu richten war. 

ERPRESSERBRIEF PER README.TXT-DATEI 

Doch kaum hatte er im Serverraum den Monitor eingeschaltet, erschien im Display: „No Hypervisor found. Press any key to continue“. 

Die Hardware war in Ordnung. Alle Lichter blinkten grün. 

Nach einer Stunde lief die virtuelle Maschine wieder. Doch alle Systeme waren verschüsselt. 

Der Erpresser meldete sich in einer readme.txt-Datei zu Wort, die inmitten des Datenchaos auf dem Monitor angezeigt wurde zu Wort. 

„Guten Tag“, stand da. Und 

„Wir haben 50 GB Ihrer sensiblen Daten zu uns übertragen und alle Systeme verschlüsselt. Sie können Sich über eine gesicherte Leitung in unser System einloggen, um weitere Anweisungen zu erhalten.“, lautete der Text.