Normalerweise ist bei einem Befall folgendes Vorgehen Pflicht:
1. Stecker ziehen
2. Kaffee trinken / Spazieren gehen / eine Rauchen / whatever -> Kopf frei kriegen und Puls runter bringen
3. Anfangen zu überlegen was zu tun ist
Wenn davon in irgendeiner Form abgewichen wird, kann man das ganze eigentlich knicken. Hier wurde (wie fast immer) Punkt 1 nicht gemacht, statt dessen wurde im laufenden Betrieb erst einmal selber versucht zu retten was zu retten ist (dadurch wird es übrigens in 100% aller Fälle schlimmer, weil: Einloggen der Admins mit Adminaccount auf den befallen Maschinen! Während diese am Netz hängen! Während alles munter weiterarbeitet!), und erst als das CERT eintraf wurde der Stecker gezogen. Und nur weil die das dann wenigstens als erstes gemacht haben (afaik haben die das nichtmal selber gemacht sondern mit Beauftragung telefonisch angeordnet) wurde weiterer Datenabfluss und laut Medien eine Verschlüsselung verhindert. Zu dieser Verschlüsselung wäre es nie gekommen. Die hätten munter weiter abgesaugt, denn das war VIEL leckerer - das ergibt sich evidenz-basiert aus dem fehlenden log der betroffenen Maschinen - da hat jemand aktiv die angelaufenen "Wir lösen das selber" Massnahmen verhindert während die Jungs am stümpern waren. Das macht keine Schadroutine von Emotet oder der bekannten Trojs von selber, da das sofort auffällt - und Auffallen wollen die Dinger eigentlich nicht bis sie "YO GOT BUSTED!" auf den Bildschirm schmieren und die HDDs verschlüsselt haben.
So, jetzt kann man bei ner richtigen Forenseik nicht nur die betroffenen Systeme untersuchen (das haben sie ganz offensichtlich getan), sondern darüber hinaus gehend noch die betroffenen Transfersysteme und Entitäten untersuchen: Log-Dateien des Providers des Opfers, das selbe für den Angreifer - hierfür sind 1-x Rechtshilfebegehren notwendig, Betriebsräte müssen gehört werden, der Datenschutzbeauftragte muss gehört werden, (der Bundesdateschutzbeauftragte muss bei einer KRITIS mit ins Boot geholt werden), und und und - sowas kostet Zeit. Viel mehr Zeit als bisher vergangen ist. Wenn es jetzt eine ausgeklügelte "Cyberattacke" gewesen wäre, würde man das auch tun - ist hier aber aus 2 Gründen nicht sinnvoll:
1. Es war keine Cyberattacke, irgendjemand hat auf einen Link geklickt und alles vorher hat versagt - das hat das Niveau von "Ich leg einen Haufen Bargeld von der Straße sichtbar in der Wohnung aus und lass die Haustür auf, es wird schon keiner einbrechen und klauen weil das ist ja verboten11111!"
2. Man weiß das es manuelle "Eingriffe" während des Angriffs gegeben hat - die Jungs hatten alle Zeit der Welt die Exit-Nodes zu wechseln (Emotet versteckt sich ziemlich gut vor solcher Forensik), den Verkehr zu verschleiern und am Ende die lokalen Logs zu tilten - man müsste schiere Unmengen an Geld und vor allem politischen Druck aufwenden, und das sofort, binnen der nächsten Tage, um hier noch weitere Ergebnisse zu erzielen. Ich stelle in Frage das man das will.
