Unterstützung Cybercrime / IT-Forensik
Unterstützung Cybercrime / IT-Forensik
Anfang August kam eine telefonische Anfrage zu einem möglich Cybercrime Fall, da auf dem Laptop des Kunden eine Meldung kam, dass sein Gerät gesperrt ist und nicht mehr weiter verwendet werden könne.
Noch während des Telefonats wurde der Kunden angewiesen, dass Gerät sofort „hart“ auszuschalten, das Ladekabel abzuziehen und wenn beim Gerät noch möglich, den Akku zu entfernen.
Das Gerät wurde noch am selben Tag zur Analyse gebracht und der Kunde sofort über weitere notwendige Maßnahmen informiert. Laut Kundenschilderung hatte der Angreifer an bereits vorher Fernzugriff auf das Gerät.
Anfang Juni erscheinte am Bildschirm eine Meldung mit Telefonnummer, dass der PC bzw. das Microsoft Konto gesperrt sei und ein Kontakt zu Microsoft erforderlich ist.
Der Kunde wählte die angezeigte Telefonnummer und hatte Kontakt zu einem „angeblichen“ Microsoft Mitarbeiter. Vermutlich auf Aufforderung hat der Kunde ein Fernwartungsprogramm auf den Laptop geladen und auch ausgeführt.
Für ca. 45 Minuten bestand ein aktiver Fernzugriff wo unklar ist, welche und ob Daten abgegriffen wurden, da sich laut Kunde hat der Mauszeiger „selbst“ bewegt hat und Eingaben gemacht wurden.
Der „angebliche“ Microsoft Mitarbeiter bot eine Lösung des Problems an. Angeboten wurde ein „3-Jahre Computer Service“ mit Kosten von ca. 600€. Diese Rechnung wurde durch den Kunden über Online Banking während des Telefonats und dem Fernzugriff durchgeführt.
Anfang August erfolgte eine weitere Kontaktaufnahme durch einen „angeblichen“ Microsoft Mitarbeiter erneut mit Fernzugriff und der Aufforderung zu einer weiteren Zahlung und den Kauf von sog. Xbox Wertkarten.
Das Gespräch wurde dauerte ca. 30-45 Minuten und wurde durch den Kunden diesmal ohne weitere durchgeführten Maßnahmen oder Handlungen beendet.
Erstmaßnahmen:
Als Erstmaßnahme wurde der Datenträger aus dem Laptop ausgebaut und eine 1:1 (Bit-Bit) Kopie im .E01 Format davon erstellt. Verwendet wurde hierzu ein Hardware-Schreibschutz Blocker der Firma Logicube, Model WriteProtect Portable sowie die Software FTK Imager mit Hash Funktion zur Sicherung und Nachvollziehbarkeit der Datenintegrität.
Analyse:
Bei der Analyse zu möglicher Schadsoftware bzw. Malware wurde eine Schadsoftware in einer Archivdatei festgestellt, „redist.tar“ (Trojan.Win32.Refroso) ,sowie mehrere Software Tools zur Fernwartung, u.a. UltraViewer, AnyDesk und ZoHoMeeting, welche aktiv im Hintergrund ausgeführt wurden.
Bei der weiteren tiefergehenden Analyse kam eine Software für Digitale Forensik und Incident-Response zur Untersuchung von Cyberbedrohungen sowie die Erkennung und Entschärfung von laufenden Cyberangriffen zum Einsatz.
Nach vorliegenden Erkenntnissen fand der vom Kunden angegebene Fernzugriff definitiv Mitte Juni sowie Anfang August für ca. 30-bis 45 Minuten statt.
Hier wurde auch die Webcam aktiviert, welche aber durch den Kunden abgeklebt wurde.
Die Post-Mortem-Analyse erfolgte mit einer Forensik Software die im Anschluss zahlreiche Daten aufbereitet zur Verfügung stellt. Angefangen vom Details des Betriebssystems, der zuletzt genutzten Programme bis hin zu den Aktivitäten im Internet.
Bei der Analyse der Online Aktivitäten, hauptsächlich durch den Firefox Browser, wurde verschiedenen gespeicherte Zugangsdaten teils mit gleicher Email / Kennwort Kombination festgestellt.
Es besteht hier immer die Möglichkeit, dass Zugangsdaten (Email / Passwortkombination) zu Online Diensten abgefangen wurden. Der Kunde wurde dazu informiert mit dem Hinweis zum Ändern der betroffenen Pass-/bzw. Kennwörter.
Da das System kompromittiert war, sollte dieses aus Sicherheitsgründen komplett neu aufgesetzt werden.
Das Gerät mit Windows 10 war aufgrund des Alters aber nicht Windows 11-fähig, sodass hier gleich ein neuer Laptop beschafft wurde. Persönliche Daten wurde in einer sicheren Umgebung abgespeichert und im Anschluss auf dem neuen Gerät wiederhergestellt.
Zum Abschluss der Arbeiten wurde der Fall in einem Bericht dokumentiert, welcher dann im Zuge einer Anzeige bei der zuständigen Polizei den Ermittlungsbehörden zur Verfügung gestellt wurde.