Cyberangriff auf die Ruhr-Universität - Haiko te Neues DFN Nutzergruppe Hochschulverwaltung 04.05.2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cyberangriff auf die Ruhr-Universität Haiko te Neues DFN Nutzergruppe Hochschulverwaltung 04.05.2021
Agenda
• Ablauf und Auswirkungen
• Wiederaufbau und Notbetrieb
• Kommunikation und Information
• Lessons Learned
2 Cyberangriff | Haiko te Neues
Situation
• Corona Lockdown seit dem 16.03
• Alle im Homeoffice
• Ausrichtung und Arbeitsschwerpunkt:
• Digitalisierung und Homeoffice ermöglichen
• Sofortmaßnahme: Windows Systeme runterfahren
• Krisensitzung im Leitungskreis gegen 9:00 Uhr
• Analysebeginn mit externen Spezialisten ab 11:00 Uhr
3 Cyberangriff | Haiko te Neues
Prozess der Analyse
Videokonferenz nonstop
Wechselnde Teilnehmer
• Daten anfragen
• zur Verfügung stellen
• Auswerten
• weitere Daten nötig
Dauer: 1 Woche
4 Cyberangriff | Haiko te Neues
Active Directory der Ruhr-Universität Bochum
Domain Controler 2
Server ca. 500
PCs ca. 4.500
User ca. 185.000
Groups
Subdomains 9
5 Cyberangriff | Haiko te Neues
Ablauf des Angriffs auf die Ruhr Universität
• Vorbereitungen ab 27.02.2020 über einen lokalen PC
• Warnung des DFN-CERT dazu am 07.04.2020
• Weitere Vorbereitung ab 01.05.2020
• Aktiver Angriff auf Subdomänen Server ab 06.05.2020 5:11 Uhr
• Warnung des Bund-CERT am 06.05.2020 12:00 Uhr
(PC mit offenem RDP Port)
• Start des Cryptolaunchs auf zentralen Domänenserver
ab 07.05 0:30 Uhr
• Bemerkt am 07.05.2020 ca. 6:30 Uhr
6 Cyberangriff | Haiko te Neues
---=== Welcome. Again. ===---
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system
has extension t46rfq6d.
By the way, everything is possible to recover (restore), but you need to follow our instructions.
Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
t46rfq6d-readme.txt
If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our
interests.
To check the ability of returning files, You should go to our website. There you can decrypt one
file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time
and data, cause just we have the private key. In practice - time is much more valuable than
money.
[+] How to get access on website? [+]
You have two ways:
1) [Recommended] Using a TOR browser!
a) Download and install TOR browser from this site: https://torproject.org/
b) Open our website:
http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/1886464A26768E
34
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For
this:
a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
b) Open our secondary website: http://decryptor.cc/1886464A26768E34
Warning: secondary website can be blocked, thats why first variant much better and more
available.
When you open our website, put the following data in the input form:
Key:
Cpwub7nxNSclm5C52UdZRFxxcUxom9VbdTMmrC6VKUKfAa/QW1XaR7Rl5Na3HsQF
---=== Welcome. Again. ===--- [+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your system has extension
t46rfq6d.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you
cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do
our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That
is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause
just we have the private key. In practice - time is much more valuable than money.
7 Cyberangriff | Haiko te Neues
Auswirkungen des Cyberangriffs
Verschlüsselte Server: 60
(45 virtuell / 15 physisch)
• Alle DCs verschlüsselt
• Kein Active Directory Verwaltung quasi arbeitsunfähig
• Kein Exchange • Keine E-Mail / Kalender
• Kein SharePoint • Keine Personalverwaltung
• Keine SQL Server • Keine Finanzverwaltung
Verschlüsselte PCs: keine • Studierendenverwaltung stark
eingeschränkt
8 Cyberangriff | Haiko te Neues
Presse 9 Cyberangriff | Haiko te Neues
Was tun?
Krisenstab & Taskforce
Neu-/Wiederaufbau
Notbetrieb
Information / Kommunikation
10 Cyberangriff | Haiko te NeuesKrisenstab
Rektor Entscheidungen
Kanzlerin Erpressung wird nicht nachgegeben
Kanzlervertreter Wiederaufbau und kein Neuaufbau des ADs
Dezernent für Hochschulkommunikation Subdomänen werden nicht weiter betrieben
Dezernent für Personalwesen und Recht Reihenfolge für Wiederanlauf der Systeme
Direktorin IT.SERVICES
2 Abteilungsleiter IT.SERVICES
11 Cyberangriff | Haiko te NeuesTaskforce – Technologie & ...
• 8 Personen
• 1 – 3 ext Experten
• 85 m2 Raum
• 18 Werktage
• Pizza
• Kaffee
• Kekse
• Wasser
12 Cyberangriff | Haiko te NeuesWiederaufbau
• Entscheidung zum Wiederaufbau (nicht Neuaufbau) am 12.05
• Aufruf zum Passwortwechsel am 12.05
• 3 Tage prüfen und dann 5 Tage Konzeptionierung
• Ab 18.05 Neue Domänen Controller mit Backup der AD Struktur bespielt
• Alle Nutzer & Computer gesperrt; Alle Tickets gelöscht
• Neue Struktur gemäß (Brandschutz-) Konzept ist aufgebaut (27.05)
• Fileshares und AD am 02.06 wieder zur Nutzung freigegeben
• 22.06 Exchange und SharePoint freigegeben
13 Cyberangriff | Haiko te NeuesNotbetrieb
Reihenfolge für Notbetrieb am 12.05 getroffen
Ab 19.05 kontrollierter Start des Notbetriebes mit Ampelfunktion
1. Studierendenservices
2. Personal- / Finanzwesen
3. E-Mail (alternatives System)
14 Cyberangriff | Haiko te NeuesKommunikation
• Riot / Element
• IT.SERVICES-intern
• Technische Ansprechpartner (Moderiert; Täglich bzw. bei Bedarf aktualisiert)
• Technische Ansprechpartner (Bulletinboard; Täglich bzw. bei Bedarf aktualisiert)
• Videokonferenz (Zoom) & WhatsApp im Krisenstab
• Webseiten (täglich aktualisiert)
• Öffentlich für alle (Studierende)
• Für Bedienstete intern
• E –Mail (RUB/Privat) für bilaterale Kommunikation
15 Cyberangriff | Haiko te Neues16
2000
4000
6000
8000
0
10000
12000
05/13/2020 14000
05/16/2020
05/19/2020
05/22/2020
05/25/2020
05/28/2020
05/31/2020
06.03.2020
06.06.2020
Cyberangriff | Haiko te Neues
06.09.2020
1. Anschreiben
06.12.2020
06/15/2020
06/18/2020
06/21/2020 2. Anschreiben
06/24/2020
Sperrtermin
06/27/2020
06/30/2020
07.03.2020
07.06.2020
07.09.2020
07.12.2020
07/15/2020
07/18/2020
07/21/2020
07/24/2020
07/27/2020
07/30/2020
08.02.2020
08.05.2020
70.857 Passwortänderungen
08.08.2020
08.11.2020
08/14/2020
08/17/2020
08/20/2020
08/23/2020
08/26/2020
08/29/2020
09.01.2020
09.04.2020
09.07.2020
09.10.2020
09/13/2020
09/16/2020
09/19/2020
09/22/2020
09/25/2020
09/28/2020
10.01.2020
10.04.2020
10.07.2020
10.10.2020
10/13/2020
10/16/2020
10/19/2020
10/22/2020Helpdesk 17 Cyberangriff | Haiko te Neues
Lessons Learned (persönliche Statements)
• Enorme Überstundenanhäufung – starke Belastung !
• Personal lässt nicht parallelisieren
• Kommunikation ist sehr vielschichtig
• Gute Experten sind das A & O
• Teamwork und gute Kollegen bewegen sehr viel und fangen viel auf
• Sehr gute Rückendeckung der Hochschulleitung
18 Cyberangriff | Haiko te NeuesLessons Learned
• Verwendung von privilegierten und hoch-privilegierten Konten
• Erweiterung der Speicherung von Logdateien
• Flächendeckende Installation von Antiviren-Software
• Schutz der Fernzugriffe
• Einführung einer Sicherheitsüberwachung
• Segmentierung und weitere Absicherung des internen Netzes
• Einführung organisatorischer Strukturen zur Behandlung von Sicherheitsvorfällen
• Awareness / Schulung
Es wird wieder passieren!
19 Cyberangriff | Haiko te NeuesDanke!
Fragen?Sie können auch lesen
