Ransomware und Cyber-Erpressung

Ransomware und Cyber-Erpressung

by Sherri Davidoff, Matt Durrin, Karen E. Sprenger
Released August 2023
Publisher(s): dpunkt
ISBN: 9783864908880

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

»Ransomware und Cyber-Erpressung« ist der ultimative praktische Leitfaden, um eine Ransomware-Erpressung, ein Denial-of-Service und andere Formen der Cyber-Erpressung zu u?berleben.Anhand ihrer eigenen, bisher unveröffentlichten Fallbibliothek zeigen die Cybersicherheitsexperten Sherri Davidoff, Matt Durrin und Karen E. Sprenger Ihnen, wie Sie schneller reagieren, den Schaden minimieren, effizienter ermitteln, die Wiederherstellung beschleunigen ... und von vornherein verhindern, dass so etwas u?berhaupt erst passiert.Bewährte Checklisten helfen Ihnen und Ihren Sicherheitsteams dabei, während des gesamten Lebenszyklus schnell und effektiv zusammenzuarbeiten. Sie lernen Folgendes:- Verschiedene Formen von Cyber-Erpressung und deren Entwicklung verstehen- Bedrohungen identifizieren, Angriffe eindämmen und »Patient Zero« ausfindig machen- Lösegeldverhandlungen erfolgreich fu?hren und, wenn nötig, Lösegeldforderungen sicher bezahlen- Das Risiko von Datenverlust und Neuinfektion verringern- Ein ganzheitliches Cybersicherheitsprogramm aufbauen, das Ihr Risiko, gehackt zu werden, minimiertDieser Leitfaden ist von unmittelbarem Nutzen fu?r alle, die mit Prävention, Reaktion, Planung oder Richtlinien zu tun haben, insbesondere CIOs, CISOs, Sicherheitsexperten, Administratoren, Verhandlungsführer, Fu?hrungskräfte und Ermittler.

Table of contents

  1. Cover
  2. Titel
  3. Impressum
  4. Widmung
  5. Inhaltsverzeichnis
  6. Vorwort
  7. Wer sollte dieses Buch lesen?
  8. Wie dieses Buch aufgebaut ist
  9. Weitere Elemente
  10. Bleiben Sie auf dem neuesten Stand
  11. Danksagungen
  12. 1 Auswirkungen
    1. 1.1 Eine Cyberepidemie
    2. 1.2 Was ist Cybererpressung?
    3. 1.2.1 Die CIA-Triade
    4. 1.2.2 Arten digitaler Erpressung
    5. 1.2.3 Multikomponenten-Erpressung
    6. 1.3 Auswirkungen moderner digitaler Erpressung
    7. 1.3.1 Betriebsunterbrechung
    8. 1.3.2 Finanzielle Einbußen
    9. 1.3.3 Reputationsverlust
    10. 1.3.4 Gerichtsverfahren
    11. 1.4 Wahl der Opfer
    12. 1.4.1 Opportunistische Angriffe
    13. 1.4.2 Gezielte Angriffe
    14. 1.4.3 Hybride Angriffe
    15. 1.5 Verbreitung
    16. 1.5.1 Managed Services Provider
    17. 1.5.2 Technologiehersteller
    18. 1.5.3 Softwareschwachstellen
    19. 1.5.4 Cloud-Anbieter
    20. 1.6 Fazit
    21. 1.7 Sie sind dran!
  13. 2 Evolution
    1. 2.1 Herkunftsgeschichte
    2. 2.2 Kryptovirale Erpressung
    3. 2.3 Frühe Erpresser-Malware
    4. 2.4 Wesentliche technische Fortschritte
    5. 2.4.1 Asymmetrische Kryptografie
    6. 2.4.2 Kryptowährungen
    7. 2.4.3 Onion-Routing
    8. 2.5 Ransomware wird Mainstream
    9. 2.6 Ransomware-as-a-Service
    10. 2.7 Enthüllung
    11. 2.8 Doppelerpressung
    12. 2.9 Eine industrielle Revolution
    13. 2.9.1 Spezialisierte Rollen
    14. 2.9.2 Bezahlte Mitarbeiter
    15. 2.9.3 Automatisierte Erpresserportale
    16. 2.9.4 Franchising
    17. 2.9.5 Öffentlichkeitsarbeit
    18. 2.9.6 Standardisierte Playbooks und Toolkits
    19. 2.10 Fazit
    20. 2.11 Sie sind dran!
  14. 3 Anatomie eines Angriffs
    1. 3.1 Übersicht
    2. 3.2 Zugang
    3. 3.2.1 Phishing
    4. 3.2.2 Entfernter Login
    5. 3.2.3 Softwareschwachstellen
    6. 3.2.4 Angriffe auf Technologiezulieferer
    7. 3.3 Ausweitung
    8. 3.3.1 Persistenz
    9. 3.3.2 Erkundung
    10. 3.3.3 Ausbreitung
    11. 3.4 Bewertung
    12. 3.5 Vorbereitung
    13. 3.5.1 Antiviren- und Sicherheitssoftware
    14. 3.5.2 Laufende Prozesse und Anwendungen
    15. 3.5.3 Logging- und Monitoring-Software
    16. 3.5.4 Accounts und Zugriffsrechte
    17. 3.6 Durchführung
    18. 3.6.1 Ausführen der Ransomware
    19. 3.6.2 Ausschleusung
    20. 3.7 Erpressung
    21. 3.7.1 Passive Mitteilung
    22. 3.7.2 Aktive Mitteilung
    23. 3.7.3 Kontakt zu Drittparteien
    24. 3.7.4 Veröffentlichung
    25. 3.8 Fazit
    26. 3.9 Sie sind dran!
  15. 4 Die Krise beginnt!
    1. 4.1 Digitale Erpressung ist eine Krise
    2. 4.2 Erkennung
    3. 4.3 Wer muss eingebunden werden?
    4. 4.4 Triage
    5. 4.4.1 Warum ist Triage wichtig?
    6. 4.4.2 Beispielhaftes Triage-System
    7. 4.4.3 Den aktuellen Status einschätzen
    8. 4.4.4 Wiederherstellungsziele berücksichtigen
    9. 4.4.5 Die nächsten Schritte bestimmen
    10. 4.5 Ihre Ressourcen bewerten
    11. 4.5.1 Finanzen
    12. 4.5.2 Versicherung
    13. 4.5.3 Beweissicherung
    14. 4.5.4 Personal
    15. 4.5.5 Technische Ressourcen
    16. 4.5.6 Dokumentation
    17. 4.6 Eine Strategie für die initiale Reaktion entwickeln
    18. 4.6.1 Ziele festlegen
    19. 4.6.2 Einen Aktionsplan entwickeln
    20. 4.6.3 Verantwortlichkeiten zuweisen
    21. 4.6.4 Zeit- und Arbeitsaufwand sowie die Kosten schätzen
    22. 4.7 Kommunizieren Sie
    23. 4.7.1 Response-Team
    24. 4.7.2 Betroffene Parteien
    25. 4.7.3 Die Öffentlichkeit
    26. 4.8 Fazit
    27. 4.9 Sie sind dran!
  16. 5 Eindämmung
    1. 5.1 Warum Geschwindigkeit zählt
    2. 5.2 Sich Zugang verschaffen
    3. 5.3 Verschlüsselung/Löschung beenden
    4. 5.3.1 Dateizugriffsrechte ändern
    5. 5.3.2 Den Stecker ziehen
    6. 5.3.3 Bösartige Prozesse beenden
    7. 5.4 Persistenzmechanismen deaktivieren
    8. 5.4.1 Monitoring-Prozess
    9. 5.4.2 Terminaufgaben
    10. 5.4.3 Automatischer Start
    11. 5.5 Ausschleusen von Daten beenden
    12. 5.6 Denial-of-Service-Angriffe abwehren
    13. 5.7 Die Hacker aussperren
    14. 5.7.1 Remote-Dienste beenden
    15. 5.7.2 Passwörter lokaler Accounts und von Cloud-Accounts zurücksetzen
    16. 5.7.3 Accounts überprüfen (Audit)
    17. 5.7.4 Multi-Faktor-Authentifizierung
    18. 5.7.5 Perimeter-Kommunikation einschränken
    19. 5.7.6 Minimierung des Drittpartei-Zugangs
    20. 5.7.7 Die Risiken kompromittierter Software minimieren
    21. 5.8 Suche nach Bedrohungen
    22. 5.8.1 Methodik
    23. 5.8.2 Beweisquellen für das Threat Hunting
    24. 5.8.3 Tools und Techniken
    25. 5.8.4 Mitarbeiter
    26. 5.8.5 Ergebnisse
    27. 5.9 Bestandsaufnahme
    28. 5.10 Fazit
    29. 5.11 Sie sind dran!
  17. 6 Untersuchung
    1. 6.1 Täterrecherche
    2. 6.1.1 Umsetzungsfähige Sicherheitsinformationen
    3. 6.1.2 Techniken der Identifizierung
    4. 6.1.3 Malware-Stämme
    5. 6.1.4 Taktiken, Techniken und Prozeduren
    6. 6.2 Scoping
    7. 6.2.1 Zu beantwortende Fragen
    8. 6.2.2 Prozess
    9. 6.2.3 Timing und Ergebnisse
    10. 6.2.4 Ergebnisse
    11. 6.3 Einbruch untersuchen oder nicht?
    12. 6.3.1 Rechtliche, regulatorische und vertragliche Pflichten ermitteln
    13. 6.3.2 Entscheidung zur weiterführenden Untersuchung
    14. 6.3.3 Weitere Untersuchung
    15. 6.3.4 Ergebnisse
    16. 6.4 Beweissicherung
    17. 6.4.1 Beweisquellen
    18. 6.4.2 Prioritätenfolge der Volatilität
    19. 6.4.3 Beweissicherung bei Drittparteien
    20. 6.4.4 Gesicherte Beweise speichern
    21. 6.5 Fazit
    22. 6.6 Sie sind dran!
  18. 7 Verhandlung
    1. 7.1 Es ist ein Geschäft
    2. 7.2 Die Ziele der Verhandlung festlegen
    3. 7.2.1 Budget
    4. 7.2.2 Zeitrahmen
    5. 7.2.3 Informationssicherheit
    6. 7.3 Ergebnisse
    7. 7.3.1 Kauf eines Dekryptors
    8. 7.3.2 Veröffentlichung oder Verkauf von Daten verhindern
    9. 7.4 Formen der Kommunikation
    10. 7.4.1 E-Mail
    11. 7.4.2 Webportal
    12. 7.4.3 Chat-Anwendung
    13. 7.5 Druck aufbauen
    14. 7.6 Ton, Pünktlichkeit und Vertrauen
    15. 7.6.1 Ton
    16. 7.6.2 Pünktlichkeit
    17. 7.6.3 Vertrauen
    18. 7.7 Erstkontakt
    19. 7.7.1 Erste Nachricht
    20. 7.7.2 Erste Antwort
    21. 7.8 Informationen teilen
    22. 7.8.1 Was man nicht teilt
    23. 7.8.2 Was man teilt
    24. 7.8.3 Was man für später zurückhält
    25. 7.9 Typische Fehler
    26. 7.10 Lebenszeichen
    27. 7.10.1 Ziele und Grenzen
    28. 7.10.2 Bei Zugriffsverweigerung
    29. 7.10.3 Bei möglichen Enthüllungen
    30. 7.10.4 Was tun, wenn die Täter den Nachweis ablehnen?
    31. 7.11 Feilschen
    32. 7.11.1 Preisnachlässe
    33. 7.11.2 Den Preis festlegen
    34. 7.11.3 Ein Gegenangebot machen
    35. 7.11.4 Kompromisse
    36. 7.12 Den Handel abschließen
    37. 7.12.1 Wie man den Handel abschließt
    38. 7.12.2 Ihre Meinung ändern
    39. 7.12.3 Nachdem der Handel abgeschlossen wurde
    40. 7.13 Fazit
    41. 7.14 Sie sind dran!
  19. 8 Zahlung
    1. 8.1 Zahlen oder nicht zahlen?
    2. 8.1.1 Ist die Zahlung überhaupt eine Option?
    3. 8.1.2 Argumente gegen eine Zahlung
    4. 8.1.3 Argumente für die Zahlung
    5. 8.2 Zahlungsarten
    6. 8.3 Verbotene Zahlungen
    7. 8.3.1 Compliance
    8. 8.3.2 Ausnahmen
    9. 8.3.3 Mildernde Umstände
    10. 8.4 Intermediäre
    11. 8.5 Zeitliche Aspekte
    12. 8.5.1 Verzögerung bei der Überweisung
    13. 8.5.2 Genehmigung durch die Versicherung
    14. 8.5.3 Preisschwankungen bei Kryptowährungen
    15. 8.6 Nach der Zahlung
    16. 8.7 Fazit
    17. 8.8 Sie sind dran!
  20. 9 Wiederherstellung
    1. 9.1 Backup wichtiger Daten
    2. 9.2 Aufbau der Wiederherstellungsumgebung
    3. 9.2.1 Netzwerksegmente
    4. 9.2.2 Netzwerkgeräte
    5. 9.3 Monitoring und Logging einrichten
    6. 9.3.1 Ziele des Monitorings
    7. 9.3.2 Timing
    8. 9.3.3 Komponenten
    9. 9.3.4 Erkennung und Response
    10. 9.4 Die Wiederherstellung einzelner Computer
    11. 9.5 Reihenfolge der Wiederherstellung
    12. 9.5.1 Domain Controller
    13. 9.5.2 Wichtige Server
    14. 9.5.3 Netzwerkarchitektur
    15. 9.5.4 Arbeitsplatzrechner
    16. 9.6 Daten wiederherstellen
    17. 9.6.1 Datentransfer
    18. 9.6.2 Wiederherstellung aus Backups
    19. 9.6.3 Aktuelle Produktionssysteme
    20. 9.6.4 Daten neu erstellen
    21. 9.7 Entschlüsselung
    22. 9.7.1 Übersicht über den Entschlüsselungsprozess
    23. 9.7.2 Arten von Entschlüsselungstools
    24. 9.7.3 Risiken bei Entschlüsselungstools
    25. 9.7.4 Test des Dekryptors
    26. 9.7.5 Entschlüsseln!
    27. 9.7.6 Integrität prüfen
    28. 9.7.7 Auf Malware prüfen
    29. 9.7.8 Daten ins Produktionsnetzwerk transferieren
    30. 9.8 Es ist noch nicht vorbei
    31. 9.9 Anpassung
    32. 9.10 Fazit
    33. 9.11 Sie sind dran!
  21. 10 Prävention
    1. 10.1 Ein effektives Cybersicherheitsprogramm betreiben
    2. 10.1.1 Wissen, was man zu schützen versucht
    3. 10.1.2 Ihre Pflichten verstehen
    4. 10.1.3 Das Risiko verwalten
    5. 10.1.4 Das Risiko überwachen
    6. 10.2 Zugang verhindern
    7. 10.2.1 Phishing-Abwehr
    8. 10.2.2 Starke Authentifizierung
    9. 10.2.3 Sichere Remote-Access-Lösungen
    10. 10.2.4 Patch-Management
    11. 10.3 Bedrohungen erkennen und blockieren
    12. 10.3.1 Endpunkterkennung und -reaktion
    13. 10.3.2 Netzwerkerkennung und -reaktion
    14. 10.3.3 Suche nach Bedrohungen
    15. 10.3.4 Kontinuierliches Prozess-Monitoring
    16. 10.4 Betriebliche Systemstabilität
    17. 10.4.1 Business-Continuity-Plan
    18. 10.4.2 Nollfallwiederherstellung
    19. 10.4.3 Backups
    20. 10.5 Das Risiko eines Datendiebstahls reduzieren
    21. 10.5.1 Datenreduktion
    22. 10.5.2 Data-Loss-Prevention-Systeme
    23. 10.6 Das Problem der Cybererpressung lösen
    24. 10.6.1 Sichtbarkeit erzeugen
    25. 10.6.2 Erkennung und Monitoring fördern
    26. 10.6.3 Proaktive Lösungen fördern
    27. 10.6.4 Die Macht der Täter reduzieren
    28. 10.6.5 Das Risiko für die Täter erhöhen
    29. 10.6.6 Den Profit der Täter verringern
    30. 10.7 Fazit
    31. 10.8 Sie sind dran!
  22. Nachwort
  23. Checkliste A
    1. Response auf Cybererpressung
    2. Die Krise beginnt
    3. Eindämmung
    4. Untersuchung
    5. Verhandlungen
    6. Zahlung
    7. Wiederherstellung
  24. Checkliste B
    1. Im Vorfeld zu entwickelnde Ressourcen
    2. Response-Pläne
    3. Krisenkommunikationspläne
    4. Weitere Vorgehensweisen
    5. Kontaktinformationen
    6. Während der Response zu nutzende Vorlagen
    7. Die Response unterstützende Technik
    8. Referenzmaterial
  25. Checkliste C
    1. Die Response planen
  26. Checkliste D
    1. Ein effektives Cybersicherheitsprogramm betreiben
    2. Wissen, was Sie zu schützen versuchen
    3. Ihre Pflichten verstehen
    4. Das Risiko steuern
    5. Das Risiko überwachen
  27. Fußnoten
  28. Index

Product information

  • Title: Ransomware und Cyber-Erpressung
  • Author(s): Sherri Davidoff, Matt Durrin, Karen E. Sprenger
  • Release date: August 2023
  • Publisher(s): dpunkt
  • ISBN: 9783864908880