Supply Chain im Darkweb ft. Joerg Schauff
Hallo und herzlich willkommen zurück mit einem, ja ich würde schon sagen alten
Gast, schaut mich schon an, ist nicht bezogen auf das Alter,
sondern tatsächlich, dass er einfach schon mal da war.
Ich habe ja angekündigt, dass wir zum Anfang des Jahres so eine kleine Runde
mit alten Bekannten machen, insbesondere um euch vielleicht so ein bisschen
Rückblick auf das letzte Jahr zu geben und auch nochmal ein bisschen Ausblick auf das Jahr 2024.
2024 natürlich wieder mit sehr viel Subjektivität und relativ wenig Objektivität.
Nein, Spaß beiseite.
2024 und natürlich insbesondere heute wird es wieder relativ stark um das ganze
Thema aktuelle Threat Landscape gehen. Also wo befinden wir uns?
Was ist besonders gefährlich?
Wir werden vielleicht auch mal so ein bisschen über aktuelle Vorfälle reden,
auch wenn ich da gar nicht so der Riesenfreund von bin.
Dieses ewige Teilen, der und der wurde angegriffen, das interessiert mich,
um ehrlich zu sein, gar nicht so stark. Wir werden vielleicht heute mal auf
einen Fall eingehen, weil der medial relativ stark begleitet wurde.
Aber im Grunde genommen interessiert mich eher das große Ganze.
Und dafür gibt es keinen besseren als den lieben Jörg, einen hoch,
hochqualifizierten Mann.
Den habe ich mir heute mal wieder dazu geholt. Er war schon mal da.
Deswegen, ich werde die Folge gleich nochmal so ein bisschen bewerben.
Aber Jörg, stell dich doch erstmal kurz selber vor.
Ja, danke, Robert. Zu viel der Ehre eigentlich.
Ja, mein Name ist Jörg Schauf. Ich bin Vice President for Thread Advisory bei
einem Startup aus Frankfurt hier in Deutschland. Deutschland.
Meine Aufgabe ist es, über die Bedrohungen den Kunden zu unterrichten und entsprechende
Maßnahmen herzuleiten, sodass man jenseits der Technik auch so ein bisschen
Prozesse und Strukturen anpassen kann.
Ganz ursprünglich komme ich vom Verfassungsschutz, aus der Spionageabwehr,
habe mich lange Jahre mit den Pandas und den Bären rumgeschlagen,
unter anderem den Bären im Bundestag und war dann für Bankenversicherung und so weiter tätig.
Aber das soll gut sein.
Danke. Also nochmal, wer es nicht gehört hat, ich kann es nur empfehlen,
geht nochmal ein paar Folgen zurück.
Es ist gar nicht so lange her, es war glaube ich im Herbst. Ich habe mich wieder gut vorbereitet.
Da habe ich damals mit Kim zusammen mit Jörg geredet und das ist eine sehr,
sehr interessante Folge.
Wir haben da sehr viel positives Feedback von euch bekommen.
Deswegen auch da immer, wenn ihr Feedback habt, besonders gutes,
immer bitte rübersenden.
In der Folge haben wir so ein bisschen im Allgemeinen darüber geredet,
was überhaupt Threat Intelligence ist, was sind typische Anwendungsfälle in
Firmen, was ist vielleicht nicht Threat Intelligence, auch wenn es immer so
dargestellt wird, was wird da so ein bisschen durcheinander gewürfelt.
Also ihr müsst diese Folge jetzt natürlich nicht hören, um die heutige zu verstehen,
aber es lohnt sich auf alle Fälle nochmal reinzuhören.
Ich habe auch ja vorhin noch gesagt, wir werden nicht so viel über spezifische Fälle reden.
Da ruder ich gleich mal so ein bisschen zurück. Wir wollen heute mal so ein
bisschen über das Südwestfalen-IT beispielsweise reden.
Gar nicht, weil ich da als hetzerisch irgendeine Diskussion aufmachen will,
sondern da ist einfach dieser Incident Response Report rausgekommen und ich
fand einfach mal interessant, in einem größeren Kontext darüber zu reden und
jetzt nicht Victim Blaming oder sonst irgendwas zu machen.
Das werde ich aber nochmal so ein bisschen nach hinten schieben. Es ist was für später.
Jörg, ich möchte jetzt erstmal einsteigen mit so einem kleinen Rückblick auf 2023.
Du, der den Friend Landscape tagtäglich in seinem Job beobachtet.
Was hat sich für dich wirklich verändert im letzten Jahr? Also vielleicht auch
so ein bisschen eingehen auf ein, zwei Threat-Attacker-Gangs,
die vielleicht hochgenommen wurden, dass wir da ein bisschen drauf zurückblicken.
Aber vielleicht erstmal allgemein, was waren für dich so die großen News letztes
Jahr? Was waren die großen Änderungen in der Threat-Landscape?
Oder sagst du vielleicht sogar, es ist eigentlich alles relativ beim Alten geblieben?
Aus meiner Sicht würde ich sagen, es ist beim Alten geblieben.
Es wurde nur mehr darüber geredet.
Es gab vielleicht mehr sogenannte spektakuläre Fälle, die sich aber aus Sicht
der Betroffenen eigentlich nicht unterscheiden.
Weil ob ich jetzt eine Bank bin oder eine Versicherung oder der Bäcker an der
Ecke, der erwischt wird,
das ist zwar von der Schadenssumme dann unter Umständen unterschiedlich,
aber für die Auswirkungen auf das betroffene Unternehmen, die sind natürlich die gleichen.
Ob der Bäcker jetzt mit seinen sechs Angestellten nicht produzieren kann oder
der Mittelständler mit seinen 2.000 Mitarbeitern nicht produzieren kann,
für das Unternehmen selbst ist die Auswirkung die gleiche.
Nur natürlich ist es ein Unterschied, ob wir 2.000 Leute ihr Gehalt nicht bekommen
oder sechs, aber das sind eher die Auswirkungen auf der finanziellen Ebene,
weniger beim Opfer selbst.
Und ansonsten, was ich glaube so die großen Akteure angeht, da ist meine Meinung
ja auch immer, ich habe das schon oft im Podcast kundgetan, da wird immer relativ
viel drüber geschrieben,
aber was da wirklich hinter den Kulissen passiert, wissen wir natürlich alles nicht.
Also ich meine, es gibt Gangs, denen werden Namen zugeordnet,
die geben sich selbst Namen,
denen können wir ganz oft eine bestimmte Malwert zuordnen, wir können der Malwert
irgendwelche IOCs zuordnen, was da wirklich im Hintergrund passiert,
welche Leute da im Gange sind, ob vielleicht Leute auch in verschiedenen Gangs
sind, ob die die Gangs wechseln, wie auch immer, das werden wir wahrscheinlich
alles nicht so richtig erfahren.
Gab es da irgendwas vielleicht wirklich von Relevanz für dich letztes Jahr?
Ähm, grundsätzlich gibt es diese Gruppen in, auch mit ihren Affiliates,
das, das sind also keine Repudention-Szenarien, sondern es ist tatsächlich so,
dass diese sogenannten Big Game Hunter, also diese großen, gefährlichen Gruppen,
die eben in der Regel nicht auf den kleinen Bäcker an der Ecke gehen,
sondern auf Unternehmen,
ich sag mal, mit einem bestimmten Jahresumsatz, damit sich dann auch,
ähm, das Lösegeld lohnt.
Und in der Regel haben die dann auch eine Cyber Security Versicherung,
eine Ransomware Versicherung, sodass dann auch die Zahlung gewährleistet wird unter Umständen.
Und diese Gruppen haben ja bis zu 40 Partnergruppen, diese sogenannten Affiliates.
Und wenn wir jetzt mal sagen, es gibt 40 bis 50 von diesen Gruppen mit 40 bis
50 Affiliates, dann haben wir es eben global mit 2000 Gruppen zu tun,
mit denen wir uns rumzanken müssen.
Da gibt es dann hin und wieder mal Polizeiaktionen, wenn die Leute, wenn diese Gangs,
über einen gewissen Schwellwert kommen an erpressten Geldern.
Dann hat man Auswirkungen auf die Politik. Politik hat wiederum Auswirkungen
auf Staatsanwaltschaft und Polizei.
Und dann kommt es eben zu einer Zerschlagung unter Umständen.
Und solange es eben nur die Infrastruktur betrifft, also irgendwelche Botnetze
werden zerschlagen, im Darknet wird ein Ransomware-Leak-Side-Server übernommen.
Dann hat das im Prinzip auf die kriminelle Landschaft fast keine Auswirkungen.
Also wenn die Leute nicht verhaftet werden, dann gehen die zu anderen Gruppen,
vielleicht nicht alle, aber doch der Großteil.
Viel wichtiger ist, dass dann der Source-Code, der Ransomware,
sich unter Umständen verbreitet, sodass wir so eine Art Proliferationseffekt
haben, wie bei Massenvernichtungswaffen.
Erst weiß es nur einer, wie man Atomwumme baut, dann zwei, dann vier,
irgendwann sind es zehn oder 15. Und so ist es auch mit dem Source-Code bei
Schadsoftware im Allgemeinen.
Irgendwann gelangt dann, die Öffentlichkeit wird verbreitet und integriert,
andere nutzen, große Gruppen nutzen vielleicht
ein Snippet von irgendeinem Ransomware-Tool oder was auch immer.
Und dann ändert sich für uns als Verteidiger in der Regel eher nichts.
Wir hatten ja sogar letztes Jahr einen relativ großen Fall, der auch medial
relativ begleitet wurde.
Da wurde ich, ich glaube es war irgendwann im Sommer oder im Spätsommer,
wurden mit riesen, riesen Traraten gekündigt, dass man jetzt Quackbord hochgenommen hat.
Ich glaube, das war sogar ein internationaler Effort, wenn ich mich zurückerinnere.
Man muss natürlich sagen, Quackbot hat uns auch in der Incident Response zu
der Zeit ordentlich oft beschäftigt.
Also es war einfach Teil von ganz, ganz vielen Attacken und natürlich im ersten
Moment denkt man sich, oh ja, cool, natürlich ist man Realist genug und weiß,
da wird dann wieder irgendwas anderes hochkommen,
schlagt den einen Kopf ab, es wachsen sechs nach, es wird nicht allzu lang brauchen.
Aber für den Moment kann man erstmal sagen, natürlich, cool, besser als nix.
Jetzt wurde das online sehr gefeiert, auch die Ermittlungsbehörden haben sich
natürlich dafür sehr gefeiert und das möchte ich Ihnen jetzt auch gar nicht
mal in Frage stellen oder absprechen.
Es war dann nur irgendwann im Herbst, Spätherbst, ich glaube irgendwann im Oktober,
als dann schon wieder die ersten Meldungen kamen, da ist schon wieder irgendwas aktiv,
vielleicht hat man gar nicht irgendwas Großes hochgenommen, sondern eher nur
die Command & Control Infrastruktur.
Vielleicht gar nicht so viel wie zumindest damals gedacht. Erstens,
hast du da vielleicht irgendwelche Informationen dazu? Kannst du da vielleicht
ein bisschen mehr Fleisch an den Knochen machen?
Weil es war ja doch ganz interessant, wie groß die Meldungen waren und wie klein
sie dann doch wurden über die Zeit.
Also, wie du sagst, bei den Takedowns, bei den sogenannten Takedowns,
die Zerschlageoperationen der Behörden, das ist, sehe ich, wie heißt das schön, ambivalent.
Einerseits ist es wichtig, dass es gemacht wird. Dass die Kriminellen halt merken,
die Law Enforcement oder die Polizeibehörden, wie auch immer,
Strafverfolgungsbehörden, sind es oft mit Fersen.
Sonst, das ist im Prinzip wie mit kleinen Kindern, wenn es keine Strafen gibt,
schlagen sie irgendwann über die Stränge.
Und so ist es hier auch. Aber wie ich eingangs sagte, solange es nicht zu Verhaftungen
kommt, sind die Auswirkungen eher klein, gerade auch bei QuackBot.
QuackBot ist ja so groß geworden, wie er dann am Ende jetzt ist oder war,
durch den zweimaligen Takedown von Emotet.
Und es gibt eben auf der dunklen Seite des Teilwass eine Kooperation,
das ist das Dark Web Ökosystem, wie es so schön heißt.
Und das ist eben ein Spiegel der echten Welt, der echten Wirtschaft.
Jedes Unternehmen hat einen Plan für die Lieferkette, wenn ein Unternehmen,
von dem ich abhängig bin, ausfallen sollte.
Ja, also sich VW kauft seine Sitze bei irgendeinem Unternehmen,
dieses Unternehmen kann aus irgendeinem Grund nicht mehr liefern,
dann kommen die Sitze halt von einem anderen Lieferanten.
Und so ist es im kriminellen Ökosystem halt auch.
Emotet gibt einen Takedown, die Emotet-Infrastruktur wird zerschlagen,
die C2-Server werden übernommen von Polizeibehörden. und in dem Fall hat es
halt genau zwei Tage gedauert, bis Emotet durch Quackbot ersetzt wurde.
Das ist genau diese Lieferanten-Supply-Chain-Klamotte, wie wir sie in der echten
Welt haben, eben in der kriminellen Welt.
Es gibt Lieferanten und es gibt Lieferanten, die ausfallen und es gibt eben
Kunden, die von diesen Lieferanten abhängen und einen Plan B haben.
Kriminelle wissen, dass die Polizei hinter ihnen her ist und bereiten sich entsprechend
auf die Maßnahmen vor, vor, insbesondere, weil es eben immer öfter passiert.
Und ich glaube, das ist auch da wieder wichtig, dieser Kontext,
der kommt mir persönlich ganz oft wirklich in der Medienlandschaft zu kurz und
nicht nur in der Medienlandschaft, auch in den Kommentarfunktionen.
Natürlich weiß ich, dass man jetzt beispielsweise in einem Breitmedium wie der
Tagesschau nicht in jedes Detail gehen kann.
A, weil man nicht die Zeit dafür hat und B, weil es einfach keinen Sinn macht
für die Audienz, die man da bespielt.
Und trotzdem finde ich es natürlich immer wieder schwierig, weil ich glaube,
wenn ich als Laie das Ganze lesen würde, würde ich mir denken,
die Welt wurde hier halb gerettet und das ist natürlich absolut nicht der Fall.
Also wie du auch schon gesagt hast, Supply Chain, das sind weltweit operierende
Ransomware-Gangs, da ist ein Teil der Lieferkette weggebrochen.
Und das ist ein Teil der Lieferkette, der meistens leider, realistisch gesehen,
relativ einfach wieder ersetzt werden kann durch irgendwas anderes.
Man hat ja halt nicht irgendwelche riesigen Gruppen, Netzwerke oder sonst was hochgenommen.
Und wie gesagt, dass man das für die breite Öffentlichkeit nicht richtig aufbereiten kann.
Okay, wenn das halt in Fachmedien teilweise dann auch nicht so wirklich sauber
aufbereitet ist und realistisch mal dargestellt ist, dann tue ich mich damit immer schwer.
Schwer, ich tue mich besonders schwer, wenn Leute das dann wiederum auf irgendeinen
Repost-Button klicken und eine verkürzte Meldung nochmal weiter verkürzen und
die Leute, die das lesen, nehmen sich nicht mal die, sorry, übertrieben gesagt,
30 Sekunden Zeit, diese doppelt verkürzte Meldung sich durchzulesen und schreiben
irgendeinen verkürzten, halbgaren Kommentar dazu.
Und das sind dann Leute aus unserer Branche, wo ich mir teilweise denke,
oh ja, die könnten das schon, die könnten das schon besser wissen.
Dem stimme ich dir absolut zu. Auch weil, wie du sagst, die Zeit ist nicht da.
Viele freuen sich über diese Erfolge, aber auch viele in der Security-Szene
haben eben nicht den Überblick, oder den Überblick ist vielleicht das falsche
Wort, das Verständnis für die Kooperation auf der dunklen Seite der Macht.
Ja, die kommen halt überwiegend von der Technik, sind technikorientiert,
das heißt, sind malwarefokussiert.
Und dann ist ganz klar der Schluss, irgendeine Malware funktioniert jetzt nicht
mehr, weil Law Enforcement irgendwas gemacht hat, Polizeibehörden haben hier
Infrastruktur beschlagnahmt, heißt dann für mich technologisch gesehen,
bin ich jetzt sicherer als vorher.
Problem ist hier, hinter jedem Stück Software steckt immer noch ein Mensch.
Es gibt keine sich selbst entwickelnde Malware, jedenfalls noch nicht.
Das heißt, solange die Personen hinter der Schadsoftware, hinter den Operationen
nicht verhaftet werden und ihre Tätigkeit fortführen können,
sind wir nicht sicherer dadurch, dass QuarkBot jetzt weg ist.
Ja, auch da stimme ich dir wieder völlig, völlig zu.
Und wir haben ja auch ein bisschen über Emotet geredet oder Emotet erwähnt.
Und das wurde ja relativ häufig als Access-as-a-Service eingesetzt.
Das heißt, da hat man sich dann wirklich einen vorhandenen Access gekauft.
Das war für die eigentlichen Angreifer am Ende natürlich oft das Allereinfachste.
Ich hatte schon eine aktive Verbindung.
Ich musste im Grunde genommen danach nur noch meine Magic machen,
die meistens gar nicht so magisch war.
Wir können ja später mal über Südwestfalen-IT beispielsweise reden.
Und die Sache war gegessen.
Was wir jetzt letztes Jahr ganz oft gesehen haben, Oder zumindest,
was man immer wieder vermutet hat.
Ich meine, man wird die Ursache nicht ganz gerichtsfest darstellen können,
aber dass geklaute Credentials tatsächlich immer größeres Problem werden.
Und wie gesagt, wir wissen nie, ob es das dann wirklich ist,
aber wir glauben schon, dass viel auf ein Credential Theft zurückzuführen ist.
Und da habe ich schon das Gefühl, man möchte sich da vielleicht auch gar nicht
mehr so abhängig machen von irgendwelchen vorhandenen Botnetzen,
wo ich mir ein Access kaufen kann und ganz viel mittlerweile tatsächlich eher
über gestohlene Credentials laufe,
weil meistens habe ich da nicht so eine große finanzielle Hürde, aber ich komme leider,
wenn man sich die Schutzmechanismen in den Firmen anschaut, trotzdem relativ weit.
Siehst du diesen Trend auch und was können wir da überhaupt machen?
Ja, ich sehe den Trend, wenn man sich jetzt mal die Jahresrückblicke oder die
Jahresbedrohungslandschaft des letzten Jahres anschaut.
Im Prinzip schreiben alle IT-Security-Firmen das Gleiche.
Das heißt, zwischen 60 und 80 Prozent aller Eingriffe laufen,
je nachdem, wie man fragt, je nachdem, welchen Bericht man liest,
eben übergestohlener Credentials.
Und auch hier haben wir wieder, es ist Business, es ist diese arbeitsteilige
Landschaft, die wir in der echten Wirtschaft haben.
Es gibt einen Bäcker, es gibt einen Metzger, es gibt eine Autowerkstatt.
Bei der Autowerkstatt haben wir den Lackierer, wir haben den Motorspezialisten und so weiter.
Und das bildet sich eben auch im Cybercrime ab. Es gibt die sogenannten Initial
Access Brokers oder die Access Broker, ganz einfach.
Also Personen und Gruppen, die mit Zugängen in Infrastruktur handeln,
angefangen von meinem WebDE-Account bis hin zum Admin-Account von großen Unternehmen.
Und sofern sich Kriminelle die Mühe machen, den Account zu bewerten nach dem
Motto, was habe ich denn hier, was ja relativ einfach ist, Web.de ist privater Account,
gmx.net ist auch ein privater Account, aber firmenname.com.de,
das ist ganz klar, da kann ich Geld verdienen.