Cyber Cyber Cyber

Wir hatten in der Unternehmensgruppe einen, wie heißt das heutzutage?, Sicherheitsvorfall. Die haben sich da einen Trojaner eingefangen, wohl ähnlich zu der bei Heise so erfolgreich eigesetzten. So weit so schlecht, großer Geschrei allerorten, die üblichen Aktionismen und Kompetenzgerangeleien (glücklicherweise habe ich die ersten zwei Wochen nicht mitgekriegt – weil mein Arbeitgeber selbst nicht direkt betroffen war, wurde ich nicht im Urlaub genervt). Die Nutzlast hat einerseits sehr zeitnah angefangen, Dateien zu verschlüsseln, hat sich aber auch durch’s Netz gefressen und Windosen geöffnet (angeblich auch voll gepatchte Win10-Kisten) – und dabei sehr wahrscheinlich auch ein Domadmin-Konto übernommen.

Beteiligt bin ich jetzt aber am Aufbau einer neuen Infrastruktur, damit die dort saubere Systeme neu aufsetzen können, die dann vielleicht auch sauber bleiben.

Auftritt $manager vom Mutterschiff. Mit einem Cyber im Funktionstitel.


Billie Grace Ward from New York, USA [CC BY 2.0 (https://creativecommons.org/licenses/by/2.0)]

Jetzt hatte aber Cyber Cyber überhaupt kein Problem damit, dass der Exchange-Server weiterhin voll in Betrieb ist, weil sich nach seinen Informationen „die Malware nicht per Mail verbreitet“. Ähm, whut? Der mit hoher Wahrscheinlichkeit kompromittierte Host darf weiterhin als Mailserver arbeiten? Weil das, mit Glück!, nicht dazu führt, dass sich der Trojaner weiterverbreitet? Und das Schlangenöl meinte, es sähe alles fuper aus?

🙈 🙉 🙊

Ist ja nur eine unter KRITIS fallende Klitsche. Kannste nix machen, ne?