Die Kärntner Landesregierung und Blackcat
Wie schon im Interview dargelegt, gehe ich aufgrund der Höhe der Lösegeldforderung von EUR 5.000.000 davon aus, dass eine Vielzahl der Produktivserver mit der Malware verschlüsselt worden sind.
Erfahrungsgemäß wird es der Landesregierung circa zwischen EUR 1.000.000 und EUR 1.500.000 kosten wird, bis der Zustand erreicht ist, welcher vor dem Malware Befall bestanden hat.
Noch nicht eingepreist sind die zusätzlichen IT-Sicherheitsmaßnahmen, welche die Landesregierung umsetzen wird.
Die zwei aus meiner Sicht heutzutage wichtigsten Punkte zum Schutz gegen Ransomware/Malware wurden gut umgesetzt, da die Backups, wie aus den Medien bekannt, von den Hackern nicht zerstört werden konnten.
Jedoch dürfte es Schwachstellen im Monitoring geben, da die Hackergruppe rund 10 Tage unerkannt in den Systemen nach Passwörtern und nach privilegierten Benutzern Ausschau halten konnte. Nach dem Befall einer erheblichen Anzahl von Serversystemen muss davon ausgegangen werden, dass die Hacker nicht in der Sackgasse endeten sondern höchst erfolgreich waren.
Es wird immer etwas passieren, und IT-Systeme wie hier mit 3.700 Rechnern 100%ig gegen Malware zu schützen, ist definitiv eine Mammut-Aufgabe.
Ein effizientes aktives LogManagement kann zwar einen Befall eines Rechners nicht verhindern, aber die Hacker würden entdeckt und isoliert werden können. Dieser Fall zeigt, dass Hacker wochen- oder monatelang unentdeckt bleiben und sich in den Systemen einnisten können.
Es war sicherlich nicht einfach, auf all diese Benutzerdaten der Landesregierung zu kommen, um diesen Schaden anzurichten, aber schlussendlich waren die Hacker erfolgreich.
Meiner Erfahrung nach hatten die Hacker nach zirka 5 Tagen die ausreichende Berechtigung erlangt, um am 24. Mai 2022 gut vorbereitet zuzuschlagen.
Jedoch muss das Live-Loggingsystem mit entsprechendem Know-How eingerichtet werden.
Es können auch YARA Signaturen integriert werden, welche Malware im Netzwerk erkennen können.
