A. Baggenstos & Co. AG, profile picture
Hochgeladen vonA. Baggenstos & Co. AG
PDF, PPTX642 aufrufe

Webinar: Cyberangriff - Frontbericht

Das Dokument beschreibt die Erfahrungen und Empfehlungen eines Unternehmens, das einen ernsthaften Cyberangriff durchlebte, wobei der Angriff durch Phishing und Malware-Techniken ausgeführt wurde und signifikante Auswirkungen auf die Unternehmensabläufe hatte. Es werden präventive Maßnahmen vorgestellt, um den Schutz vor solchen Angriffen zu verbessern, wie die Sensibilisierung der Mitarbeiter und die Notwendigkeit effektiver Sicherheitsstrukturen. Zudem werden konkrete Ratschläge zur Risikominderung und Krisenbewältigung gegeben.

Präsentation einbetten

Als PDF, PPTX herunterladen
Alarmstufe Rot Cyberangriff! 16.05.2021 / Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte • Was ist passiert? Welche Auswirkungen hatte der Angriff auf das Unternehmen • Weshalb ist das passiert? Wie sind die Hacker vorgegangen • Womit hätte der Angriff erschwert werden können? Präventive Vorkehrungen zum Schutz vor einem Cyberangriff • Welches sind meine Empfehlungen für Sie? Konkrete Ratschläge zur Risikominderung 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
Vorgeschichte 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4 Quelle: Meier Tobler AG Quelle: Meier Tobler AG
Ruhe vor dem Sturm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5 Quelle: LAAX / Danuser Quelle: shanemyersphoto
Die SMS, mit der mein Alptraum begann… 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6 06:45
Angriff! 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7 Quelle: James Thew
Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8 Information Geschäftsleitung Meier Tobler durch CFO Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den Ferien (u.a. CIO), Bezug «War Room» CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen Schadensbild ermittelt, Cyber Security Experten aufgeboten Priorisierung erstellt, Wiederherstellungsarbeiten gestartet Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
Reaktion der Medien: Beitrag SRF Börse vom 26.07.19 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9 Quelle: SRF Börse
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71 Liefer- und Servicebereitschaft in % Krisenbewältigung auf der Zeitachse 21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10 Telefonzentrale operativ EDR/SOC installiert SAP operativ auf 20 Clients Zentrallager 1 operativ Service App operativ Erste Kunden- lieferung 200 Arbeits- plätze operativ Zentrallager 2 operativ Verteilung neu aufgesetzte PCs Tag 130
Krisenstab im «War Room» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11 Quelle: Meier Tobler AG
Weshalb ist das passiert? Wie gingen die Täter vor? (Erklärung von Melani, Nationales Zentrum für Cybersicherheit) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12 oder CobaltStrike Quelle: melani.admin.ch
Wie gingen die Täter vor? (bitte eine Erklärung, die alle verstehen!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13 Bösewicht (Cyber-Angreifer) Haus (Unternehmung)
Zuerst etwas zum Thema Netzwerksicherheit: Zugriffsversuch von aussen 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14 Wachhund (Firewall) !#
Wie gingen die Täter vor? Phase «Delivery», Spear Phishing mit Schadprogramm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15 Postbote (E-Mail mit Attachment) Bewohner (Benutzer) Paket (Malware)
Wie gingen die Täter vor? Phase «Installation» der Malware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16 ??? ferngesteuerter Spielroboter (Emotet Malware)
Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17 Funkgerät zum Bösewicht (Beacon zum Command-and-Control Server) Bösewicht im Versteck (Professionelle Angreifergruppe mit Command-and-Control Server «C&C») «Wer im Haus ist, ist ein Freund, der darf raus und wieder rein» (Dynamischer Paketfilter der Firewall)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18 Werkzeugkasten (Cobalt Strike Pen-Test-Soft- ware)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21 ??? ✓ Funkgerät und Werkzeugkasten getarnt (Kommunikation limitiert, Domain Fronting, Malleable C2 Profiles)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22 Passepartout für alle Räume (Lateral movement) Ausweisfälschung (Privillege escalation) Kopierer von Bewohnern (Hash reverse decryption)
Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23 Bösewicht kopiert Bewohner, gibt ihm gefälschten Ausweis und Passepartout (Vertical privilege escalation, gestohlener Benutzer mit Domain-Admin-Rechten)
Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24 Angreifer gewinnt Zugang zur Haus- zentrale mit Passepartout und übernimmt damit die Kontrolle über das ganze Haus (Angreifer übernimmt Domain Controller, dann «Actions on Objective», d.h. Exfiltration von Daten, Sabotage, Spionage, Verschlüsselung) Hauszentrale (Domain Controller)
Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25 Wohnung wird unbewohnbar gemacht Schlüssel ausgewechselt Lösegeldforderung (MegaCortex-Verteilung, Verschlüsselung aller Server, Clients und Daten, Lösegeldforderung: Bitcoins)
Nun wissen Sie Bescheid! Kurze Zusammenfassung der Hauptdarsteller 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26 Bösewicht Cyber-Angreifer Wachhund Firewall Postbote E-Mail mit Attachment Spielroboter Emotet Malware Funkgerät Beacon zum C&C Server Cobalt Strike Pen-Test-Software Werkzeugkasten Privillege escalation Ausweisfälschung Passepartout Lateral movement
Weshalb ist das passiert? Wie gingen die Täter vor? (jetzt ist vieles klarer!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27 oder CobaltStrike Quelle: melani.admin.ch
Weshalb ist das passiert? Wie gingen die Täter vor? (Fortsetzung) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28 Quelle: melani.admin.ch oder MegaCortex
Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30 • Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage • Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden A N Quelle: CrowdStrike
• Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will. • Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil) • Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente. • Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk – im Notfall wiederherstellbar sind. • Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle" http://linkedin.com/in/andreas-plueer | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG Welches sind meine konkreten Empfehlungen für Sie? 31 16.06.2021
Informationen rund um Energie 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32 Andreas Plüer Bereichsleiter Digital Services Telefon 071 440 63 33 andreas.plueer@ekt.ch www.ekt.ch

Weitere ähnliche Inhalte

PPTX
SysWatch
vonCamData
 
PDF
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
vonSBA Research
 
PDF
Webinar Cyberangriff - Abwehrmöglichkeiten
vonA. Baggenstos & Co. AG
 
PDF
Webinar Cyberangriff - Abwehrmöglichkeiten
vonA. Baggenstos & Co. AG
 
PDF
Cyber Security im Cloud Zeitalter
vonA. Baggenstos & Co. AG
 
PDF
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
vonSBA Research
 
PPTX
Outpost24 webinar mit oder ohne agenten
vonOutpost24
 
PDF
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
vonSBA Research
 
SysWatch
vonCamData
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
vonSBA Research
 
Webinar Cyberangriff - Abwehrmöglichkeiten
vonA. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
vonA. Baggenstos & Co. AG
 
Cyber Security im Cloud Zeitalter
vonA. Baggenstos & Co. AG
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
vonSBA Research
 
Outpost24 webinar mit oder ohne agenten
vonOutpost24
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
vonSBA Research
 

Mehr von A. Baggenstos & Co. AG

PDF
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
vonA. Baggenstos & Co. AG
 
PDF
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Azure Virtual Desktop in der Praxis
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Microsoft Teams im Kundenservice
vonA. Baggenstos & Co. AG
 
PDF
Windows 365 oder Azure Virtual Desktop?
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
vonA. Baggenstos & Co. AG
 
PDF
Azure Migration and Modernization Program (AMMP)
vonA. Baggenstos & Co. AG
 
PDF
Datenverschlüsselung in der Praxis
vonA. Baggenstos & Co. AG
 
PDF
Webinar Darktrace: Fragen und Antworten
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
vonA. Baggenstos & Co. AG
 
PDF
Microsoft Teams im Unternehmen
vonA. Baggenstos & Co. AG
 
PPTX
Webinar: 99% mehr Sicherheit mit MFA
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Advanced Threat Protection für maximale Clientsecurity
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Gamechanger Microsoft Power Plattform
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Geodaten aus der Cloud - ready for the future?
vonA. Baggenstos & Co. AG
 
PDF
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
vonA. Baggenstos & Co. AG
 
PDF
5 Schritte zu mehr Cybersecurity
vonA. Baggenstos & Co. AG
 
PPTX
Webinar: Information Governance in Microsoft 365
vonA. Baggenstos & Co. AG
 
PPTX
Erfahrungsaustausch nach einem Monat Homeoffice
vonA. Baggenstos & Co. AG
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
vonA. Baggenstos & Co. AG
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
vonA. Baggenstos & Co. AG
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
vonA. Baggenstos & Co. AG
 
Webinar: Azure Virtual Desktop in der Praxis
vonA. Baggenstos & Co. AG
 
Webinar: Microsoft Teams im Kundenservice
vonA. Baggenstos & Co. AG
 
Windows 365 oder Azure Virtual Desktop?
vonA. Baggenstos & Co. AG
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
vonA. Baggenstos & Co. AG
 
Azure Migration and Modernization Program (AMMP)
vonA. Baggenstos & Co. AG
 
Datenverschlüsselung in der Praxis
vonA. Baggenstos & Co. AG
 
Webinar Darktrace: Fragen und Antworten
vonA. Baggenstos & Co. AG
 
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
vonA. Baggenstos & Co. AG
 
Microsoft Teams im Unternehmen
vonA. Baggenstos & Co. AG
 
Webinar: 99% mehr Sicherheit mit MFA
vonA. Baggenstos & Co. AG
 
Webinar: Advanced Threat Protection für maximale Clientsecurity
vonA. Baggenstos & Co. AG
 
Webinar: Gamechanger Microsoft Power Plattform
vonA. Baggenstos & Co. AG
 
Webinar: Geodaten aus der Cloud - ready for the future?
vonA. Baggenstos & Co. AG
 
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
vonA. Baggenstos & Co. AG
 
5 Schritte zu mehr Cybersecurity
vonA. Baggenstos & Co. AG
 
Webinar: Information Governance in Microsoft 365
vonA. Baggenstos & Co. AG
 
Erfahrungsaustausch nach einem Monat Homeoffice
vonA. Baggenstos & Co. AG
 

Webinar: Cyberangriff - Frontbericht

  • 1.
    Alarmstufe Rot Cyberangriff! 16.05.2021 /Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
  • 2.
    Alarmstufe Rot: Wieich einen Hackerangriff (üb)erlebte • Was ist passiert? Welche Auswirkungen hatte der Angriff auf das Unternehmen • Weshalb ist das passiert? Wie sind die Hacker vorgegangen • Womit hätte der Angriff erschwert werden können? Präventive Vorkehrungen zum Schutz vor einem Cyberangriff • Welches sind meine Empfehlungen für Sie? Konkrete Ratschläge zur Risikominderung 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
  • 3.
    Vorgeschichte 16.06.2021 | AlarmstufeRot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4 Quelle: Meier Tobler AG Quelle: Meier Tobler AG
  • 4.
    Ruhe vor demSturm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5 Quelle: LAAX / Danuser Quelle: shanemyersphoto
  • 5.
    Die SMS, mitder mein Alptraum begann… 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6 06:45
  • 6.
    Angriff! 16.06.2021 | AlarmstufeRot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7 Quelle: James Thew
  • 7.
    Zeitlicher Ablauf nachdem Angriff am 23./24.07.2019 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8 Information Geschäftsleitung Meier Tobler durch CFO Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den Ferien (u.a. CIO), Bezug «War Room» CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen Schadensbild ermittelt, Cyber Security Experten aufgeboten Priorisierung erstellt, Wiederherstellungsarbeiten gestartet Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
  • 8.
    Reaktion der Medien:Beitrag SRF Börse vom 26.07.19 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9 Quelle: SRF Börse
  • 9.
    0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Tag 1 Tag2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71 Liefer- und Servicebereitschaft in % Krisenbewältigung auf der Zeitachse 21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10 Telefonzentrale operativ EDR/SOC installiert SAP operativ auf 20 Clients Zentrallager 1 operativ Service App operativ Erste Kunden- lieferung 200 Arbeits- plätze operativ Zentrallager 2 operativ Verteilung neu aufgesetzte PCs Tag 130
  • 10.
    Krisenstab im «WarRoom» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11 Quelle: Meier Tobler AG
  • 11.
    Weshalb ist daspassiert? Wie gingen die Täter vor? (Erklärung von Melani, Nationales Zentrum für Cybersicherheit) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12 oder CobaltStrike Quelle: melani.admin.ch
  • 12.
    Wie gingen dieTäter vor? (bitte eine Erklärung, die alle verstehen!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13 Bösewicht (Cyber-Angreifer) Haus (Unternehmung)
  • 13.
    Zuerst etwas zumThema Netzwerksicherheit: Zugriffsversuch von aussen 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14 Wachhund (Firewall) !#
  • 14.
    Wie gingen dieTäter vor? Phase «Delivery», Spear Phishing mit Schadprogramm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15 Postbote (E-Mail mit Attachment) Bewohner (Benutzer) Paket (Malware)
  • 15.
    Wie gingen dieTäter vor? Phase «Installation» der Malware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16 ??? ferngesteuerter Spielroboter (Emotet Malware)
  • 16.
    Wie gingen dieTäter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17 Funkgerät zum Bösewicht (Beacon zum Command-and-Control Server) Bösewicht im Versteck (Professionelle Angreifergruppe mit Command-and-Control Server «C&C») «Wer im Haus ist, ist ein Freund, der darf raus und wieder rein» (Dynamischer Paketfilter der Firewall)
  • 17.
    Wie gingen dieTäter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18 Werkzeugkasten (Cobalt Strike Pen-Test-Soft- ware)
  • 18.
    Wie gingen dieTäter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
  • 19.
    Wie gingen dieTäter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
  • 20.
    Wie gingen dieTäter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21 ??? ✓ Funkgerät und Werkzeugkasten getarnt (Kommunikation limitiert, Domain Fronting, Malleable C2 Profiles)
  • 21.
    Wie gingen dieTäter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22 Passepartout für alle Räume (Lateral movement) Ausweisfälschung (Privillege escalation) Kopierer von Bewohnern (Hash reverse decryption)
  • 22.
    Wie gingen dieTäter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23 Bösewicht kopiert Bewohner, gibt ihm gefälschten Ausweis und Passepartout (Vertical privilege escalation, gestohlener Benutzer mit Domain-Admin-Rechten)
  • 23.
    Wie gingen dieTäter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24 Angreifer gewinnt Zugang zur Haus- zentrale mit Passepartout und übernimmt damit die Kontrolle über das ganze Haus (Angreifer übernimmt Domain Controller, dann «Actions on Objective», d.h. Exfiltration von Daten, Sabotage, Spionage, Verschlüsselung) Hauszentrale (Domain Controller)
  • 24.
    Wie gingen dieTäter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25 Wohnung wird unbewohnbar gemacht Schlüssel ausgewechselt Lösegeldforderung (MegaCortex-Verteilung, Verschlüsselung aller Server, Clients und Daten, Lösegeldforderung: Bitcoins)
  • 25.
    Nun wissen SieBescheid! Kurze Zusammenfassung der Hauptdarsteller 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26 Bösewicht Cyber-Angreifer Wachhund Firewall Postbote E-Mail mit Attachment Spielroboter Emotet Malware Funkgerät Beacon zum C&C Server Cobalt Strike Pen-Test-Software Werkzeugkasten Privillege escalation Ausweisfälschung Passepartout Lateral movement
  • 26.
    Weshalb ist daspassiert? Wie gingen die Täter vor? (jetzt ist vieles klarer!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27 oder CobaltStrike Quelle: melani.admin.ch
  • 27.
    Weshalb ist daspassiert? Wie gingen die Täter vor? (Fortsetzung) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28 Quelle: melani.admin.ch oder MegaCortex
  • 28.
    Welche Vorkehrungen hättenden Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
  • 29.
    Welche Vorkehrungen hättenden Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30 • Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage • Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden A N Quelle: CrowdStrike
  • 30.
    • Gewinnen Siedie Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will. • Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil) • Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente. • Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk – im Notfall wiederherstellbar sind. • Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle" http://linkedin.com/in/andreas-plueer | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG Welches sind meine konkreten Empfehlungen für Sie? 31 16.06.2021
  • 31.
    Informationen rund umEnergie 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32 Andreas Plüer Bereichsleiter Digital Services Telefon 071 440 63 33 andreas.plueer@ekt.ch www.ekt.ch