Aktueller Stand: 17.08.2021, 12:15, Updates siehe unten!

Die häufigsten Fragen beantworten wir hier in einer Übersicht (Stand 06.07.2021, 20:40): https://www.bolde.de/faq/

Aktuelle Zusammenfassung:

Sollten Sie noch betroffene Systeme haben, melde Sie sich bitte bei uns!

Phase 1: Daten sichern, Systeme prüfen (Abgeschlossen: Freitag, 09.07.2021, 18:35)

Wir fahren zu allen Kunden vor Ort und prüfen sämtliche Server und Arbeitsplätze. Alle betroffenen Server werden wir sofort anfangen zu sichern. Diese Sicherung ist notwendig, damit später entschlüsselbare Daten wiederhergestellt werden können. Bei den Kunden, die auf den Servern nicht betroffen sind, prüfen wir die lokalen Arbeitsplätze. Sie können danach die von uns freigegebenen Arbeitsplätzen nutzen. Falls einzelne PCs betroffen sind, müssen diese bis zur Behebung ausgeschaltet bleiben. Bitte informieren Sie Ihre betroffenen Mitarbeiter!

Phase 2: Notbetrieb bei betroffenen Kunden herstellen (Abgeschlossen: Dienstag, 13.07.2021, 19:20, bis auf individuelle Sonderabsprachen)

Sobald die Datensicherung fertig ist, sichern wir die letzte Datensicherung vor Freitag, 02.07.2021, 9:00 Uhr zurück. Ein Techniker wird dann vor Ort den Server in Betrieb nehmen, so dass Sie mit den nicht betroffenen Arbeitsplätzen auf dem Stand der Datensicherung im Notbetrieb arbeiten können.

Phase 3: Instandsetzen der restlichen Arbeitsplätze (Zwischenstand mind. 25% nutzbar bis Freitag, 16.07.2021, Abgeschlossen: Dienstag, 03.08.2021)

Sobald alle Kunden im Notbetrieb sind, kümmern wir uns um die kompromittierten Arbeitsplätze, damit wieder alle Mitarbeiter arbeiten können. Bitte bringen Sie dazu die mobilen Arbeitsplätze Ihrer Mitarbeiter in Ihre Firma (Notebooks mit Netzteil, PCs nur den Tower!). Sollten Sie selbst die mobilen Arbeitsplätze prüfen (s. Update 07.07.2021, 14:10), benötigen wir nur die betroffenen Rechner. Sie beschleunigen den Vorgang auch, falls Sie lokale Rechner bereits sammeln und entsprechend unser Vorlage beschriften und entscheiden, ob eine Datensicherung notwendig ist. Vorlage: PC- Abholung

Phase 4: Rückspielen der Daten, Normalbetrieb (Abgeschlossen: Mehrheitlich bis Freitag, 13.08.2021)

Es gibt eine Entschlüsselungsmöglichkeit. Wir können Ihre anfangs gesicherten Daten (teilweise) wiederherstellen. Bei Dateien werden diese mit denen aus dem Notbetrieb zusammengeführt – bei Datenbanken kommt es auf die jeweilige Software an, ob eine Nacherfassung nicht ggf. der effektivere Weg ist.

Wichtig für die Datensicherungsmedien:

Bitte wechseln Sie täglich Ihre Datensicherungsmedien! Bitte beschriften Sie diese eindeutig („Verschlüsselt“, „Stand Rücksicherung“) und bewahren die auf! Sollten Sie dadurch zusätzliche RDX-Medien oder Festplatten benötigen, melden Sie sich bitte bei uns.

• Sicherung des kompromittierten Systems: Bei allen Kunden, bei denen eine Sicherung des befallenen Systems erstellt wurde, sollte diese beschriftet werden und sicher verwahrt werden!
• Rücksicherungsmedium: Bitte beschriften und bewahren Sie unbedingt das Medium der durchgeführten Rücksicherung auf, da dieses der aktuelle Stand ist.
• Tägliche Datensicherung: Wir planen die Datensicherungen um auf lokale Datensicherungen. Die Kontrolle erfolgt durch uns.
• Übrige Sicherungsmedien: Diese können wieder für die tägliche Datensicherung verwendet werden und sollten dann täglich gewechselt werden.

Stand: 03.07.2021, 1:51 Uhr:

Sehr geehrte Kunden,

der Hersteller Kaseya des von uns eingesetzten „Managed Service System“ wurde gehackt. Dabei wurde Zugriff auf Kaseyaserver der Systemhäuser in den Rechenzentren erlangt. Die Angreifer nutzten die Systeme um massenhaft Angriffe auf die Endgeräte der Kunden durchzuführen. Trotz aller Vorsichtsmaßnahmen wurden Systeme unserer Kunden verschlüsselt. Nun soll so Lösegeld erpresst werden. Wir stehen in ständigem Kontakt mit dem Hersteller um Ihnen so schnell wie möglich eine Lösung anbieten zu können und möchten Sie hier über den aktuellen Stand auf dem Laufenden halten.

Was wissen wir und was nicht?

Der Angriff begann bei uns am Freitag, 02.07.2021 um ca. 18:30 Uhr. Es gab parallel eine Attacke direkt auf eine Sicherheitslücke in Windows („PrintNightmare“), deren Ausnutzung wir gerade verhindern wollten. Dann stellte sich heraus, dass die Angriffe über Kaseya erfolgten. Wir haben um 19:50 Uhr sämtliche Verbindungen von und zu Kaseya gekappt. Daraufhin endeten die Attacken auf neue Geräte. Um 21:00 Uhr informierte uns der Hersteller, dass er vermutlich Opfer eines Hackerangriffes geworden ist. Im Laufe des Abends stellte sich heraus, dass der Angriff wesentlich umfangreicher ist als ursprünglich angenommen. Es wurden eine Vielzahl an Servern und Computern verschlüsselt, die zwischen 18:30 und 19:50 Uhr online waren. Die Verschlüsselung erfolgte mit einer sogenannten Ransomware die lokale Daten verschlüsselt und das ebenso im Netzwerk versucht. Es ist aktuell unklar, ob damit gezielt der Hersteller erpresst werden soll und es ein zentrales Entschlüsselungspasswort gibt.

Wie können Sie möglichst schnell wieder arbeiten?

Die schnellste Lösung wäre das Passwort, durch dass die verschlüsselten Daten wieder entschlüsselt werden können. Wir erwarten dort am Samstag, 03.07.2021 eine Aussage von Kaseya dazu, ob dieses eine Option werden könnte. Das könnte theoretisch sowohl vom Angreifer erlangt werden, wie auch Kaseya dieses mit Spezialisten eventuell knacken kann.

Das „worst-case-Szenario“ wäre das Neuaufsetzen der Server und Rückspielen der Datensicherungen. Dieses würde bei der Masse an betroffenen Systemen und Daten jedoch mindestens zwei Wochen dauern.

Parallel sichern wir die Beweise und werden uns an die Polizei wenden und Strafanzeige stellen.

Wann geht es weiter?

Samstag, 03.07.2021: Wir warten auf die Aussage von Kaseya zu der Möglichkeit der Entschlüsselung. Dann kann entschieden werden, welcher Weg gegangen werden kann. Bis dato kann in vielen Systemen leider nicht gearbeitet werden.

Parallel planen wir den Fall der Rücksicherung. Sollten wir den Weg gehen müssen, benötigen wir von Ihnen die Datensicherungsmedien sowie eine Priorisierung der für Sie wichtigsten Programme. In dem Fall werden wir nicht alle betroffenen Kunden gleichzeitig bedienen können, daher werden wir zuerst bei allen betroffenen Kunden nur die für Sie absolut notwendigen Systeme und Programme wieder herstellen. Erst wenn alle wieder arbeitsfähig sind, kümmern wir uns um die restlichen Systeme.

Das ist der SUPER-GAU für uns alle und wir geben alles daran, Ihnen zu helfen und Sie stets informiert zu halten. Damit die Kollegen aus der  Technik Sie schnellstmöglich wieder arbeitsfähig bekommen, bitten wir Sie von Anrufen zum Zwischenstand abzusehen. Wir werden Sie hier stets über alle wichtigen Entwicklungen informieren.

Sollte ein Gespräch erforderlich sein, rufen Sie mich bitte direkt an oder schreiben mir eine Nachricht: Henrik Bolde, 0163-7908800.

Wichtig: Bitte wechseln Sie aktuell auf keinen Fall die Sicherungsmedien!!!

Offizielle Meldung von Kaseya: Important Notice July 2nd, 2021 – Kaseya

CISA zum Angriff: Kaseya VSA Supply-Chain Ransomware Attack | CISA

Heise zu den Angriffen in Windows: Jetzt handeln! Angreifer nutzen Drucker-Lücke PrintNightmare in Windows aus | heise online

Update 03.07.2021, 10:45

Der Hersteller Kaseya arbeitet mit Hochdruck an einer Lösung und hat neben der CISA auch das FBI eingeschaltet, da der Angriff scheinbar weltweit mit einer sehr großen Anzahl betroffener Geräte erfolgt ist. Wir haben sämtliche Verbindungen zu Kaseya blockiert und testweise einzelne Geräte online gesetzt und konnten keine weiteren Angriffe feststellen. Der Angriff war so hochprofessionell, dass das Risiko besteht, dass vorab bereits Angriffsvorbereitungen getroffen wurden. Zudem haben wir bei von uns untersuchten Geräten massive Eingriffe in Systeme und Dienste festgestellt, so dass selbst bei einem jetzt funktionierenden System das Risiko eines Folgeangriffes besteht.

Bitte vorerst NICHT in der IT arbeiten!

Bitte auf keinen Fall das Sicherungsband tauschen! Es kann im Laufwerk drin bleiben, damit wir es untersuchen können.

Wir warten auf Rückmeldung von Kaseya, was für eine Sicherheitslücke ausgenutzt wurde und was alles versucht wurde, damit wir alle Geräte prüfen können, ob und wie weit die Angreifer erfolgreich waren. Ebenso natürlich wie die Daten entschlüsselt werden können.

Wir arbeiten zeitgleich an einem Notfallkonzept („Worst-case-Szenario“) wie wir Ihre Netzwerke wieder lauffähig bekommen, für den Fall, dass eine zeitnahe Entschlüsselung nicht möglich ist. Dazu analysieren wir die uns bekannten Angriffe. Da wir selber ebenso angegriffen wurden, sind wir leider aktuell auch nur eingeschränkt erreichbar.

Update 03.07.2021, 15:30

Wir haben mittlerweile einige Kundennetzwerke untersucht und es gibt auch von anderen nun einige Informationen, was die Angreifer getan haben. Zuerst wurden bestimmte Dienste und Systemeinstellungen manipuliert und dann wurde eine Schadsoftware nachgeladen, die dann die Systeme verschlüsselt. Die Verschlüsselung läuft wohl über eine neue Ransomware von Sodinokibi aka REvil („v2“). Zum jetzigen Zeitpunkt ist kein Weg bekannt, die Verschlüsselung zu knacken. Die Angreifer versuchen „Lösegeld“ zu erpressen, damit die Daten mit einem Kennwort wieder entschlüsselt werden kann. Seitdem bei Kaseya das FBI übernommen hat, erhalten wir leider nur noch wenige Informationen zu der Verbreitung und dem aktuellen Stand. Wir können aber bei unseren Systemen – seit wir Freitag alle Verbindungen zu Kaseya gekappt haben – vorerst keine Neuinfektionen mehr feststellen.

Da nicht bekannt ist, wie lange es dauert bis seitens Kaseya eine Lösung kommt und ob die Daten überhaupt entschlüsselt werden können, haben wir uns auch an das Landeskriminalamt gewandt. Wir hoffen dort auf Mithilfe, auch um keine Beweise zu zerstören, da das Ausmaß immens ist.

Wir planen parallel das weitere Vorgehen nach drei Kategorien:

• Netzwerke, in denen keine Manipulation und Eindringen der Angreifer feststellbar ist und die weiter genutzt werden können. Das setzt voraus, dass alle versuchten Manipulationen bekannt sind.
• Netzwerke, in denen Manipulationen vorhanden sind, die jedoch rückgängig gemacht werden können und manuell repariert werden können.
• Netzwerke, die so stark zerstört wurden, dass es entweder seitens Kaseya eine Lösung und Entschlüsselung geben muss ODER die neu aufgesetzt werden müssen.

Für den letzten Fall muss ebenso individuell abgewogen werden, wie lange man auf eine Lösung seitens Kaseya wartet oder ob man lieber mit einem geringen Datenverlust eine Rücksicherung einspielt, um schneller wieder arbeitsfähig zu sein. Sowohl das reine Rücksichern als auch der manuelle Aufwand ist so groß, dass dieses nicht bei allen Kunden kurzfristig machbar ist.

Zu den weiteren Schritten werden wir Sie heute noch mal hier informieren und ebenso bis Sonntag, wie ab Montag gearbeitet werden kann.

Update 03.07.2021, 17:05

Manche Geräte wurden verschlüsselt und dort kann man über die txt-Dateien Informationen zu den Erpressern erhalten. Bitte nutzen Sie unter keinen Umständen die Links in den Info-Dateien in den verschlüsselten Ordnern. Weder die zum Tor-Netzwerk noch die zu decoder.re! Kaseya hat sich gemeldet, dass das unbedingt verhindert werden muss, da dort neue Schadsoftware nachgeladen werden könnte. Meine persönliche Meinung: Damit kann der Angreifer auch besser erkennen, wie viele Geräte er infiziert hat, was für den Fall der Zahlung seitens Kaseya an den Erpresser das vermutlich erschwert.

„We have been advised by our outside experts, that if you experienced ransomware and receive a communication from the attackers, you should not click on any links — they may be weaponized.“ Paul V. Farr, Chief Product & Marketing Officer Kaseya

Ebenso erhielten wir die Information, dass es zum weiteren Vorgehen von den „Incident Response Experts“ des FBI bis Mittags EDT (ca. 22 Uhr) eine Erklärung geben soll.

Update 03.07.2021, 18:50

Da es noch keine Lösung von Kaseya gibt, verfolgen wir parallel einen zweiten Lösungsweg. Sollte es entweder keine oder viel zu spät eine Lösung von Kaseya geben, so können wir alternativ Server aus Sicherungen wiederherstellen. In dem Fall sollte zur Beweissicherung ein Backup des betroffenen Serversystems erfolgen. Zudem könnte man bei späterer Entschlüsselungsmöglichkeit so die Daten retten. Um bei einer eventuell erforderlichen Rücksicherung keine Zeit zu verlieren, erstellen wir ab sofort von betroffenen Systemen Datensicherungen bei Ihnen vor Ort.

Bitte senden Sie uns eine E-Mail an support@bolde.de mit Ihrer Handynummer sowie einem Zeitfenster, wann wir Sie am Sonntag erreichen können.

Wir wissen, dass es für alle eine katastrophale Situation ist, aber bitte haben Sie etwas Geduld, wir melden uns bei Ihnen.

Update 03.07.2021, 21:55

Wir haben ein Update von Kaseya bekommen, wie das weitere Vorgehen ist:

• Das FBI steht noch in Verhandlungen mit den Erpressern und eine Entschlüsselung ist noch nicht möglich.
• Der Angriffsweg ist mittlerweile weitgehend bekannt und die Softwareentwickler bei Kaseya entwickeln gerade ein Tool, womit man bei jedem Gerät testen kann, ob auch nur ggf. ein Teil des Angriffes erfolgreich war. Damit kann auch bei aktuell normal funktionierenden Geräten sichergestellt werden, dass diese nicht betroffen sind. Sobald das Tool verfügbar ist, werden wir alle Kundennetzwerke prüfen und alle Kunden informieren, was individuell zu tun ist.

Wir können hier keine Details nennen, jedoch hat der vermeindliche Angreifer in der Vergangenheit mehrfach erfolgreich Unternehmen erpresst aber dann die Entschlüsselungskennwörter herausgegeben. Dies erfolgte aber unterschiedlich schnell. Wir können hier keine Prognose abgeben und der Albtraum kann morgen bereits vorbei sein, da wir das jedoch nicht wissen, bereiten wir weiter eine Rücksicherung aus Datensicherungen vor um dann ggf. später die fehlenden Daten aus der Entschlüsselung zu ergänzen.

Bitte senden Sie uns eine E-Mail an support@bolde.de mit Ihrer Handynummer sowie einem Zeitfenster, wann wir Sie am Sonntag erreichen können. Alle anderen Kunden werden wir ab Montag anrufen und Termine vor Ort vereinbaren. Da alle Kundennetzwerke mindestens geprüft werden müssen, möchten wir den Sonntag nutzen, um möglichst wenig Zeit zu verlieren.

Update 04.07.2021, 06:55

Es gibt nun ein Tool von Kaseya, mit dem die Endgeräte getestet werden können. Wir prüfen es aktuell. Es hat noch keine Reparaturmöglichkeit der betroffenen Geräte. Dazu stehen wir gerade in Kontakt mit dem Support von Kaseya, wie wir angegriffene aber nicht verschlüsselte Arbeitsplätze reparieren und absichern können. Wir werden uns dazu später hier melden.

Update 04.07.2021, 10:30

Durch die Tests wissen wir, dass die Angriffe Freitag bereits früher als bekannt vorbereitet wurden, aber alle bisher getesteten Datenbestände von Freitag, 02.07.2021, 9:00 Uhr sind heil. Damit könnten Datensicherungen von Donnerstag Nacht genutzt werden.

Update 04.07.2021, 10:45

Liebe Kunden,

aktuell ist der Super-GAU und wir wissen, dass Sie dringend arbeiten müssen. Es sind bei unseren Kunden knapp 150 Netzwerke mit über 1000 Arbeitsplätzen betroffen, die geprüft und ggf. repariert oder zurückgesichert/neu aufgesetzt werden müssen, bevor diese wieder genutzt werden können. Wir arbeiten durchgehend aber können aufgrund der Masse nicht bei jedem sofort sein und sind vor allem auf Ihre Mithilfe angewiesen. Wir danken für Ihr Verständnis. Wenn Sie individuelle Fragen haben, erreichen Sie Henrik Bolde direkt unter 0163-7908800.

IST Zustand: Es darf NICHT in der IT gearbeitet werden und es dürfen unter keinen Umständen Sicherungsmedien getauscht werden! Bitte informieren Sie auch alle Ihre Mitarbeiter darüber!

Da noch unklar ist, wann und ob es eine Reparaturmöglichkeit gibt, schlagen wir folgenden Weg vor:

Phase 1: Daten sichern, Systeme prüfen

Wir fahren zu allen Kunden vor Ort und prüfen sämtliche Server und Arbeitsplätze. Alle betroffenen Server werden wir sofort anfangen zu sichern: Entweder auf ein bereits verschlüsseltes Medium oder auf Ersatzmedien, die wir direkt mitbringen.

Bei den Kunden, die auf den Servern nicht betroffen sind, prüfen wir die lokalen Arbeitsplätze. Sie können danach die von uns freigegebenen Arbeitsplätzen nutzen. Falls einzelne PCs betroffen sind, müssen diese bis zur Behebung ausgeschaltet bleiben. Bitte informieren Sie Ihre betroffenen Mitarbeiter, da ansonsten ggf. die Server erneut angegriffen werden könnten!

Die Sicherungen laufen je nach Datenmenge sehr unterschiedlich lange und können von uns nicht online kontrolliert werden, da betroffene Systeme offline bleiben. Diese Sicherung ist notwendig, damit später entschlüsselbare Daten wiederhergestellt werden können.

Phase 2: Notbetrieb bei betroffenen Kunden herstellen

Sobald die Datensicherung fertig ist, schicken Sie uns bitte eine E-Mail an support@bolde.de mit dem Betreff: „Datensicherung erfolgreich“. Wir werden dann vor Ort die Rücksicherung beginnen, dazu schreiben Sie uns bitte den Namen und die Handynummer des Mitarbeiters in die E-Mail, der das zuletzt gewechselte Datensicherungsmedium hat, damit wir mit Ihm unkompliziert einen Termin vereinbaren können.

Sollte E-Mail bei Ihnen ausgefallen sein, schicken Sie bitte eine Nachricht an Henrik Bolde, 0163-7908800.

Wenn die Rücksicherung abgeschlossen ist, schreiben Sie uns bitte eine E-Mail an support@bolde.de mit dem Betreff: „Rücksicherung erfolgreich“. Ein Techniker wird dann vor Ort den Server in Betrieb nehmen, so dass Sie mit den nicht betroffenen Arbeitsplätzen auf dem Stand der Datensicherung im Notbetrieb arbeiten können.

Phase 3: Instandsetzen der restlichen Arbeitsplätze

Sobald alle Kunden im Notbetrieb sind, kümmern wir uns um die kompromittierten Arbeitsplätze, damit wieder alle Mitarbeiter arbeiten können. Bitte bringen Sie dazu die HomeOffice-Arbeitsplätze Ihrer Mitarbeiter in Ihre Firma (Notebooks mit Netzteil, PCs nur den Tower!).

Phase 4: Rückspielen der Daten, Normalbetrieb

Sobald es von Kaseya eine Entschlüsselungsmöglichkeit gibt, können Ihre anfangs gesicherten Daten wiederhergestellt werden. Bei Dateien werden diese mit denen aus dem Notbetrieb zusammengeführt – bei Datenbanken kommt es auf die jeweilige Software an, ob eine Nacherfassung nicht ggf. der effektivere Weg ist.

Bei Fragen bitte immer zuerst www.bolde.de/aktuelles nutzen und sonst Henrik Bolde 0163-7908800 anrufen.

Ihr Team der Bolde IT

Update 04.07.2021, 18:55

Sehr geehrte Kunden,

wir sind bisher bei so vielen Kunden wie möglich gewesen, um Netzwerke zu prüfen und zu sichern. Nach unserem bisherigen Eindruck sind die Schäden immens und leider völlig unterschiedlich, so dass es keinen einheitlichen Lösungsweg gibt.

Aktuell gibt es immer noch keine Lösung von Kaseya, um die Daten zu entschlüsseln. Das Testtool von Kaseya erkennt leider auch nicht jede Manipulation, so dass wir sämtliche Server und Arbeitsplätze manuell prüfen müssen. Bei der jetzigen Lösung würde nur die Überprüfung auf Kompromittierung mindestens eine Woche dauern. Daher hoffen wir dringend auf eine bessere Version.

Kaseya empfiehlt nun bei verschlüsselten Servern die Datensicherungen zurückzuspielen. Daher gehe ich persönlich für die verschlüsselten Systeme nicht mehr von einer kurzfristigen Lösung seitens Kaseya aus. Wann es eine Lösung für manipulierte, aber lauffähige Systeme gibt, ist ebenso unbekannt.

Für Sie bedeutet das, dass alle kompromittierten (und ungeprüften) Netzwerke nicht genutzt werden können! Bitte überlegen Sie sich Möglichkeiten, vorerst ohne die IT zu arbeiten. Es ist aktuell völlig unklar, wie lange es dauern wird, bis die Nutzung der IT wieder uneingeschränkt möglich ist. Im allerschlimmsten Fall müssen alle Netzwerke manuell geprüft, gesichert und rückgesichert werden, sowie alle betroffenen Rechner neuinstalliert werden. Dann müsste man im Durchschnitt von ein bis zwei Wochen Ausfall bei jedem Kunden ausgehen.

Wir sollen morgen von Kaseya ein besseres Tool und eine Idee erhalten, ob man automatisiert die Systeme prüfen kann. Danach werden wir das weitere Vorgehen planen und Sie morgen informieren, wie das Vorgehen beschleunigt werden kann. Bitte haben Sie Geduld und schauen Sie regelmäßig auf www.bolde.de/aktuelles, wo wir Sie stets über den aktuellen Stand informieren. Parallel fahren wir weiter zu Ihnen hin, um Netzwerke zu prüfen und Daten zu sichern.

Update 05.07.2021, 06:40

Es bleibt leider seitens Kaseya bei der manuellen Überprüfung. Die Kaseyaserver bleiben weltweit down und laut Paul V. Farr („Chief Product & Marketing Officer“ bei Kaseya) wird ein Reparieren und Hochfahren der Kaseyaserver der Kunden frühestens am Mittwoch geplant. Damit ließe sich dann die Analyse massiv beschleunigen. Es gibt weiterhin weder eine Reparaturmöglichkeit der betroffenen Systeme noch eine Entschlüsselungsmöglichkeit.

Wir haben beschlossen unsere Telefonie ausgeschaltet zu lassen und alle Techniker ausnahmslos zu Kunden zur Überprüfung der Netzwerke zu schicken, um Ihnen schnellstmöglich zu helfen. Sollten Sie Termine mit uns wegen anderer Themen haben, so werden wir diese nicht wahrnehmen! Bitte lassen Sie Ihre IT ausgeschaltet und wechseln Sie unter keinen Umständen die Datensicherungsmedien! Die Techniker rufen Sie an und prüfen die Netzwerke vor Ort.

Sollte Ihre Telefonie gestört sein, schicken Sie uns bitte eine E-Mail an support@bolde.de mit Ihrem Namen, der Firma und der Handynummer, unter der wie Sie erreichen können.

Wir werden hier eine weitere Seite mit den häufigsten Fragen zum Notbetrieb einrichten. Sollten Sie weitergehende Fragen haben, erreichen Sie Henrik Bolde unter 0163-7908800. Wir können keinerlei Auskünfte zu Terminen und Dauer machen, die Techniker rufen selbstständig die Kunden an und fahren direkt von Kunde zu Kunde.

Nachtrag 09:40: Ich rufe jeden Kunden zurück! Bitte auf keinen Fall doppelt anrufen, da Sie dann in meiner Liste automatisch nach hinten rutschen!

Nachtrag 19:10: Ich habe nun alle Kunden zurückgerufen, die sich heute bei mir telefonisch gemeldet haben. Vielen Dank für Ihre Geduld, dass es teilweise bis zu drei Stunden gedauert hat. Wenn ich jemanden vergessen habe, rufen Sie mich gerne an. Ich werde auch diese Anrufer alle heute noch zurückrufen! Es sind auch immer noch Techniker bei Kunden vor Ort, wir fahren aber keine neuen Kunden heute mehr an. Später mehr zum aktuellen Stand.

Update 05.07.2021, 21:55

Seitens Kaseya gibt es weiterhin nichts neues. Es gibt keine Entschlüsselungsmöglichkeit, keine Reparaturmöglichkeit und keine automatische Analysemöglichkeit der Netzwerke.

Wir hatten am Samstag Strafanzeige bei der Cybercrime-Abteilung des LKA Schleswig-Holstein gestellt. Heute haben wir mit diesem den aktuellen Stand besprochen. Das LKA hat heute mit uns bei Kunden vor Ort eine forensische Beweissicherung durchgeführt. Wir werden nun die nächsten Tage einen Strafantrag mit dem uns begleitenden IT-Fachanwalt Niels Köhrer stellen. Das LKA hat uns gebeten, eine Liste mit allen betroffenen Kunden sowie dem ungefähren Ausmaß der Schäden in der IT zu übermitteln. Zu späterer Zeit wird das LKA auf die betroffenen Kunden zukommen, so dass Sie sich auf Wunsch unkompliziert dem Strafantrag anschließen können.

Wir möchten uns ganz herzlich bei allen Kunden für die Geduld und die aufmunternden Worte an unsere Techniker bedanken. Ebenso ein großer Dank an HF-Computersysteme aus Itzehoe, die uns mit zusätzlichem Personal unterstützen. Zudem konnten wir aus dem privaten Umfeld noch weitere Mitarbeiter aktvieren. Daher wundern Sie sich bitte nicht, wenn zum Teil neue Gesichter bei Ihnen auftauchen. Ebenso vielen Dank an die vielen weiteren Helfer in verschiedensten Belangen! Last but not least sind wir unsagbar stolz auf unsere Kollegen, die gerade Unglaubliches leisten!

Update 06.07.2021, 20:35

Es gibt seitens Kaseya keine Neuigkeiten.

Alle Techniker sind nach wie vor dabei zu allen Kunden zu fahren und die Netzwerke zu prüfen.

Wichtig für die Datensicherungsmedien bei Kunden im Notbetrieb:

• Sicherung des kompromittierten Systems: Bei allen Kunden, bei denen eine Sicherung des befallenen Systems erstellt wurde, sollte diese beschriftet werden und sicher verwahrt werden!
• Rücksicherungsmedium: Bitte beschriften und bewahren Sie unbedingt das Medium der durchgeführten Rücksicherung auf, da dieses der aktuelle Stand ist.
• Tägliche Datensicherung: Wir hoffen, dass ab Donnerstag die reguläre Datensicherung in Betrieb genommen werden kann. Aktuell ist keine automatische Datensicherung möglich.
• Übrige Sicherungsmedien: Diese können voraussichtlich ab Donnerstag wieder für die tägliche Datensicherung verwendet werden und sollten dann täglich gewechselt werden.

Sollten Sie dadurch zu wenig Sicherungsmedien haben, können Sie ab morgen welche bei uns erhalten. Wir erwarten die RDX-Cartridges bis 10 Uhr morgen früh, genaue Ankunft wie immer hier.

Viele Kunden haben mobile Geräte, die zum Zeitpunkt der Angriffe abgeschaltet waren und daher mit Glück gar nicht betroffen sind. Wir bereiten aktuell einen Test-USB-Stick vor, mit dem Sie selbst diese Geräte prüfen können. Alle nicht betroffenen Geräte können für den Notfallbetrieb genutzt werden. Diese USB-Sticks werden voraussichtlich morgen Nachmittag verfügbar sein. Wir melden uns hier, sobald diese bei Bedarf abgeholt werden können.

Update 07.07.2021, 10:25

Nach Rücksprache mit dem Landeskriminalamt Schleswig-Holstein erstellen wir eine Dokumentation für alle Kunden, ob eine Betroffenheit und/oder Verschlüsselung durch den Angriff feststellbar war. Zudem hat das LKA eine Liste aller möglicherweise betroffenen Kunden von uns erhalten und wird nun stichprobenartig vor Ort Prüfungen vornehmen. Sollten bei Ihnen Server bereits in der Rücksicherung sein, werden die Mitarbeiter des LKA (nach Entfernen des Netzwerkkabels) alternativ sich betroffene Arbeitsplätze ansehen. Sie selbst dürfen die mit dem Totenkopf versehenden Rechner weiterhin unter keinen Umständen nutzen! Das machen nur die Mitarbeiter des LKA, die den PC auch wieder ausgeschaltet hinterlassen!

RDX Tapes mit 4 TB sind nun bei uns verfügbar. 2 TB Tapes sollen in den nächsten Stunden kommen. Wenn Sie welche benötigen, prüfen Sie bitte auf den jetzigen Tapes die benötigte Größe. Bitte noch warten, bis auch die Test-USB-Sticks verfügbar sind, was wir hier bekannt geben.

Update 07.07.2021, 14:10

Es sind nun Test-USB-Sticks verfügbar zur Überprüfung mobiler Geräte, die zum Zeitpunkt der Angriffe abgeschaltet waren. Sie können bei uns ab sofort Test-USB-Sticks samt Anleitung erhalten, ebenso 2 TB und 4 TB RDX-Tapes sowie 4 TB USB-Festplatten.

Sie können alternativ sich selbst so einen Test-USB-Stick erstellen. Hier gibt es das Testtool samt Originalanleitung des Herstellers:

https://kaseya.app.box.com/s/p9b712dcwfsnhuq2jmx31ibsuef6xict/folder/140491129562

Hier können Sie unsere Anleitung bei der Nutzung als Test-USB-Stick herunterladen: Anleitung Test-USB-Stick

Update 07.07.2021, 21:40

Aufgrund der vielen Anfragen möchten wir uns trotz der besonderen Situation weit aus dem Fenster lehnen und einen Zeitplan veröffentlichen.

Phase 1: Daten sichern, Systeme prüfen

Wir sind zuversichtlich, dass wir die Phase 1 bis Freitag, 09.07.2021 um 22 Uhr abgeschlossen und jedes Netzwerk untersucht haben. Ausgenommen sind lediglich Netzwerke, die vom LKA noch nicht freigegeben wurden.

Phase 2: Notbetrieb bei betroffenen Kunden herstellen

Nach jetziger Planung möchten wir alle Kunden bis Mittwoch, 14.07.2021 um 22 Uhr in einen Notbetrieb versetzen.

Phase 3: Instandsetzen der restlichen Arbeitsplätze

Danach werden wir die befallenen Arbeitsplätze bearbeiten können. Je nachdem, ob es eine Reparaturmöglichkeit von Kaseya gibt und ob diese automatisch ausrollbar ist, wird die Dauer stark variieren.

Um den Vorgang zu beschleunigen, bitten wir um Ihre Mithilfe! Bitte prüfen Sie alle nicht im Betrieb befindlichen, mobilen Arbeitsplätze mit dem Test-USB-Stick von Kaseya (s.o.). Bitte bringen Sie dann alle kompromittierten Arbeitsplätze in Ihre Firma (bei Notebooks inkl. Netzteil, bei PCs reicht der Tower).

Phase 4: Rückspielen der Daten, Normalbetrieb

Wir können nicht einschätzen, ob und wann es eine Entschlüsselungsmöglichkeit gibt.

Update 08.07.2021, 15:05

Kaseya bzw. Fred Voccola (CEO) hat entschieden, sämtliche Server bis Sonntag, 22 Uhr (4 PM ET) offline zu lassen. Dadurch laufen auch davon abhängige Dienste noch nicht und wir erarbeiten mit deren Support gerade eine Lösung für die automatische Durchführung und Kontrolle der Datensicherungen. Quelle: https://www.kaseya.com/potential-attack-on-kaseya-vsa/

Es gibt nichts neues zum Thema Entschlüsselung.

Für einen Fix, mit dem nur teilweise manipulierte PCs repariert werden können, hat Kaseya nun technische Details des Angriffes veröffentlicht. Daher hoffen wir dort auf eine baldige Lösung.

Aktuell sind wir in dem veröffentlichten Zeitplan. Wir werden nächste Woche anfangen, die PCs der Kunden zu reparieren oder neu aufzusetzen. Bitte denken Sie daran, die mobilen Arbeitsplätze zu testen und/oder in Ihren Betrieb zu bringen. Sollte bekannt sein, dass aus Versehen wichtige Daten lokal auf den Rechnern liegen, dann erstellen Sie bitte eine Liste mit den PC-Namen und Daten, damit wir diese – sofern möglich – sichern können.

Update 09.07.2021, 08:50

Warnung vor gefälschten Mails zu dem Kaseya-Angriff!

Uns erreichte die Warnung von Kaseya, dass Dritte die Situation nutzen und gefälschte E-Mails versenden, die Links oder Anhänge mit weiterer Schadsoftware erhalten. Ich befürchte, dass dieses Vorgehen auch bald mit gefälschten Absendern der involvierten Behörden wie LKA, BKA, BSI, FBI, CISA etc. erfolgen wird. Bitte öffnen Sie auf keinen Fall die Anhänge oder Links! Bitte informieren Sie alle anderen Kollegen!

Nach Rücksprache mit dem LKA bitte wir Sie in den Fällen die E-Mail aufzubewahren und uns zu informieren. Sollten Sie E-Mails vom LKA direkt erhalten, werden wir Ihnen telefonisch den Namen und die Durchwahl des Ansprechpartners nennen, der die Echtheit bestätigt. Wir haben dem LKA keine E-Mail-Adressen weitergeleitet.

Kaseya schreibt Endkunden nicht direkt an. Die offiziellen Verteiler von Kaseya enthalten ab sofort keine Anhänge. Die offiziellen Seiten von Kaseya:
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
https://www.kaseya.com/potential-attack-on-kaseya-vsa

Update 09.07.2021, 14:20 Uhr

Da Kaseya weltweit bis mindestens Sonntagnacht offline bleiben wird, planen wir gerade alle Datensicherungen auf lokale Steuerung um. Die Kunden, die bereits im Notbetrieb sind, erfassen momentan Daten nach. Daher ist es besonders wichtig, dass diese nun umgehend gesichert werden. Wir möchten wir alle Kunden bitten, auch am Samstag die Sicherungsmedien zu wechseln! Der jetzige Vorfall hat gezeigt, wie wichtig die Datensicherungen sind. Auch wenn es Zusatzarbeit ist, wechseln Sie bitte täglich Ihre Datensicherungsmedien!

Bitte beachten Sie das aktuelle Handling der Festplatten und beschriften Sie diese! Sollten Sie RDX-Medien oder Festplatten benötigen, kommen Sie bitte unangemeldet vorbei.

Update 09.07.2021, 18:35 Uhr

Auf Kundenwunsch besuchen wir ein paar Kunden nächste Woche. Die Netzwerke aller anderen Kunden haben wir wie geplant untersucht und die Phase 1 abgeschlossen. Dabei konnten wir schon Kunden in den Notbetrieb versetzen. Der nächste Schritt, alle Kunden bis Mittwoch, 14.07.2021 um 22 Uhr in den Notbetrieb zu setzen, bleibt unverändert.

Wir werden wie geplant nächste Woche mit der Instandsetzung der restlichen Arbeitsplätze beginnen. Bitte haben Sie bis dato alle (betroffenen) mobilen Arbeitsplätze im Betrieb. Sollten Geräte noch fehlen, werden wir diese nach dem Besuch aller Kunden am Ende in Betrieb nehmen.

Kaseya warnt neben betrügerischen Mails nun auch vor Telefonanrufen, die angeblich von Kaseya stammen und bei denen per Fernwartung geholfen werden soll. Kaseya wird mit keinem Kunden direkt Kontakt aufnehmen! Es ist anzunehmen, dass die Anrufer ebenfalls Schadsoftware auf die Rechner spielen wollen.

Update 10.07.2021, 21:15

Wir konnten heute weitere Kunden in den Notbetrieb nehmen und sind morgen ebenso bei unseren Kunden unterwegs. Der Zeitplan bleibt unverändert. Ausnahmen werden Kunden sein, bei denen es auf Kundenwunsch durch individuell abweichende Wege später geplant ist.

Zum Ende der Phase 2 hin wird jeder Kunde, der noch nicht im Notbetrieb ist, einen Techniker exklusiv für sich erhalten. Sobald dann Techniker frei sind, werden wir uns parallel bereits um die Phase 3 – „Instandsetzen der restlichen Arbeitsplätze“ kümmern. Wir hoffen, dass wir damit am Dienstag, 13.07.2021 beginnen werden. Bitte denken Sie daher daran, die mobilen Arbeitsplätze in den Betrieb zu bringen!

Kaseya empfiehlt aktuell ausnahmslos alle manipulierten Systeme aus Sicherheitsgründen neu zu installieren. Das gilt auch, wenn das System manipuliert wurde, aber die Schadsoftware noch nicht aktiv geworden ist. Wir haben dort unsere Ergebnisse geschildert und das wird nun mit dem unterstützenden IT-Sicherheitsunternehmen FireEye geprüft. Da unter Umständen noch nicht alle Details des Angriffes bekannt sind, werden wir in jedem Fall der Empfehlung von Kaseya folgen. Wir können dann bei manipulierten, aber nicht verschlüsselten Rechnern die lokalen Daten sichern, installieren dann das System und sämtliche Software neu und richten den PC ein. Am Ende können Ihre Daten wieder eingespielt werden. Für Sie gehen dadurch keine zusätzlichen Daten verloren. Wir halten es für sinnvoll, lieber den längeren, aber dafür sichereren Weg zu gehen!

Update 11.07.2021, 18:20

Wir konnten heute erfreulich viele Kunden auch am Sonntag besuchen und haben weitere Netzwerke in den Notbetrieb versetzt. Wir werden heute Nacht noch ein weiteres Netzwerk in Betrieb nehmen.

Vielen Dank für die Hinweise, dass heute unser SSL-Zertifikat der Webseite abgelaufen war und dadurch eine Fehlermeldung kam. Das haben wir aufgrund der aktuellen Situation übersehen und jetzt behoben.

Seitens Kaseya gibt es keine Neuigkeiten zur Entschlüsselung der Daten oder Freigabe der Reparaturmöglichkeit von Arbeitsplätzen. Kaseya fährt heute ab 22 Uhr weltweit die Server wieder an. Trotz dessen ein Mitarbeiter von Kaseya unseren Server geprüft und freigegeben hat, haben wir uns entschieden das zu verschieben.

Update 12.07.2021, 20:05

Es gibt seitens Kaseya keine Neuigkeiten. Wir warten auf die Entscheidung zu der Reparaturmöglichkeit von nur teilweise betroffenen Arbeitsplätzen.

Wir sind im Zeitplan und rechnen damit, ab voraussichtlich morgen Abend uns um lokale Arbeitsplätze kümmern zu können (Phase 3).

Sollten Sie noch Wünsche und Besonderheiten zu einzelnen Arbeitsplätzen haben, sammeln Sie diese bitte intern auf einer Liste und geben Sie diese dem Techniker vor Ort.

Update 13.07.2021, 19:10

Wir sind im Zeitplan und alle Kunden, die noch nicht im Notbetrieb sind, haben nun einen Techniker, der sich exklusiv um den Vorgang kümmert. Ab sofort bearbeiten wir lokale Arbeitsplätze (Phase 3). Im ersten Schritt heute und morgen bei Kunden, bei denen weniger als ein Viertel der Arbeitsplätze nutzbar sind. Danach beginnen wir bei allen anderen Kunden.

Es gibt seitens Kaseya keine Neuigkeiten. Wir sollen heute Abend um 23 Uhr eine Entscheidung von Cesar Perez (Leiter Support Kaseya) zu der Reparaturmöglichkeit von nur teilweise betroffenen Arbeitsplätzen erhalten. Wir werden ein etwaiges Tool testen und uns dann intern morgen um 8 Uhr zusammensetzen und das weitere Vorgehen entscheiden. Das Ergebnis werden wir hier morgen veröffentlichen, ebenso den daraus resultierenden Zeitplan.

Das LKA prüft aktuell stichprobenartig auch betroffene Rechner. Alle unsere betroffenen Kunden werden aber vom LKA kontaktiert. Auf Empfehlung des LKA hin werden wir das Aktenzeichen hier nicht veröffentlichen, damit kein Missbrauch betrieben werden kann. Dazu vom LKA:

„Unter diesem Sammelaktenzeichen werden auch Ihre Kunden bearbeitet, bei denen wir selbst vor Ort waren bzw. mit denen wir schon direkt Kontakt hatten. Allerdings gibt es auch für diese Kunden ein Unteraktenzeichen, was wir einigen bereits mitgeteilt haben. Die übrigen Kunden, die wir hier direkt bearbeiten, bekommen von uns schnellstmöglich im Laufe dieser Woche weitergehende Informationen.

Alle übrigen Kunden werden […] über die örtlichen Kriminalpolizeidienststellen kontaktiert. Dies wird in der Regel per Telefon erfolgen, ggf. in Einzelfällen auch postalisch. Grundsätzlich steht es […] jedem Ihrer Kunden frei, bei der örtlichen Polizeidienststelle oder online (Auswahl: „Strafanzeige allgemein“) Anzeige zu erstatten. Eine Kontaktaufnahme der betroffenen Kunden wird aber wie gesagt von Seiten der örtlichen Dienststelle erfolgen.“

Anmerkung: Die beiden entfernten Passagen betreffen die namentliche Nennung der Ansprechpartner beim LKA, die hier nicht veröffentlicht werden sollen.

Update 14.07.2021, 9:55

Wir haben heute Morgen um 1 Uhr die schriftliche Entscheidung von Kaseya erhalten, dass eine Reparatur betroffener Arbeitsplätze nicht möglich ist. Sollte selbst ein einzelner Arbeitsplatz weiter genutzt werden, entsteht ein Risiko für das gesamte Netzwerk. Wie am 10.07. angekündigt, werden wir der Empfehlung von Kaseya und deren Berater (FireEye) folgen und nun alle betroffenen Arbeitsplätze neu installieren. Wir kümmern uns zuerst um Kunden, die weniger als ein Viertel der Arbeitsplätze nutzen können. Wir werden hier noch einen konkreten Zeitplan veröffentlichen.

Update 20.07.2021, 14:15

Wir arbeiten wie gehabt gemäß unserem Zeitplan. Aktuell installieren wir voraussichtlich bis Ende nächster Woche sämtliche betroffenen Arbeitsplätze neu. Wir gehen davon aus, dass alle Kunden (und wir) ab Anfang August weitestgehend normal arbeiten werden. Danach wird es sicherlich noch Themen z.B. bei individueller Software geben, die wir dann aber größtenteils per Fernwartung lösen können. Unsere Hotline ist seit gestern auch wieder besetzt, jedoch vorerst in Minimalbesetzung und die meisten Kollegen sind vor Ort unterwegs. Wenn Sie offene Punkte haben, geht es aktuell am schnellsten, wenn Sie diese sammeln und dann an support@bolde.de mailen.

Wir halten es nach wie vor für sinnvoll, die verschlüsselten Daten der Server (bzw. die verschlüsselte Datensicherung) aufzubewahren. Ob und wann es einen Schlüssel für das Entschlüsseln der Daten gibt, ist völlig offen.

Wie Sie vielleicht der Presse entnommen haben, sind die Angreifer aktuell nicht mehr erreichbar. Es ist noch unklar, woran das liegt und was das bedeutet. Ein Kunde schickte mir diesen Artikel, in dem der aktuelle Stand beschrieben ist:

https://www.rnd.de/politik/russland-und-usa-russischer-hacker-sollen-besser-bekaempft-werden-EVU65VJLVVFKVO2OM7Q65ASDMM.html

Update 28.07.2021, 17:40

Wir haben heute die letzten PCs bei Kunden abgeholt. Sollte es noch mobile Arbeitsgeräte (auf denen Kaseya installiert ist) geben, melden Sie sich bitte unter support@bolde.de, damit wir diese auch noch abholen können. Wir werden bis Freitag alle PCs in der Werkstatt bearbeitet haben, so dass wir hoffentlich wie geplant am Freitagabend die letzten Geräte wieder ausliefern.

Nächste Woche stehen dann mehr Mitarbeiter für Nacharbeiten und Installationen von Individualsoftware per Fernwartung zur Verfügung, so dass es dann deutlich schneller geht. Bitte sammeln Sie offene Punkte und mailen Sie an support@bolde.de.

Wir können nun mitteilen, dass es eine (teilweise) Entschlüsselungsmöglichkeit für verschlüsselte Daten gibt und aktuell dazu Folgendes sagen:

Es können keine Systeme repariert werden, d.h. es können nur aus Datensicherungen von verschlüsselten Systemen die Dateien zum Teil wiederherstellt werden und müssen dann manuell in neuinstallierte Systeme importiert werden. Konkret gibt es sehr gute Erfolge mit reinen Dateien (z.B. Word, Excel, PDF, Bilder etc.), die nur einmal und vollständig verschlüsselt wurden. Wenn Dateien von einem Server freigegeben waren und mehrfach und/oder nur teilweise verschlüsselt wurden, kann trotzdem meist ein Teil wiederhergestellt werden. Bei Datenbanken (z.B.: SQL) und Archiven (z.B. ZIP, TIB-Datensicherungen) ist eine Funktionsfähigkeit nach Entschlüsselung nicht immer gegeben.

Wenn Ihre Systeme inkl. Individualsoftware wieder im Betrieb sind und Sie elementar wichtige Daten benötigen, melden Sie sich bitte vorab bei Henrik Bolde unter 0163-7908800 um diese Möglichkeit zu besprechen. Aus rechtlichen Gründen kann sich ausschließlich die Geschäftsführung melden. Ihre Server wurden bereits zurückgesichert. Sollte die Sicherung nur wenige Tage alt sein, lohnt es i.d.R. nicht, die verschlüsselten Daten vom Server zu entschlüsseln. Der manuelle Aufwand ist groß und wir können nur Daten wiederherstellen, die wirklich für Sie elementar wichtig sind und unbedingt benötigt werden. Sollten Daten wiederherstellt werden, müssen diese manuell von Ihnen mit den zurückgesicherten Daten zusammengeführt werden, da Sie mittlerweile darin bereits weitergearbeitet haben und wir die unterschiedlichen Stände nicht bewerten können. Bei Datenbanken kann das ausschließlich Ihr Softwareanbieter machen, daher ist oft eine manuelle Nacherfassung der effektivere Weg.

Bitte bewahren Sie die Medien mit den verschlüsselten Daten auf – da nun klar ist, dass ein Zugriff möglich ist, können später vermisste Daten auch dann noch wiederhergestellt werden.

Wir können nichts zu den technischen Hintergründen sagen und die Software wird nur bei uns als „Black Box“ betrieben, d.h. wir können ausschließlich Daten bei uns im Haus entschlüsseln.

Update 04.08.2021, 13:30

Leider haben wir einige Hardwareschäden bei PCs in der Werkstatt feststellen müssen, so dass wir unser Ziel vom Freitag nur zu 99% erreicht haben und gestern die letzten Geräte ausliefern konnten. Teilweise fehlen nun noch einzelne PCs oder Notebooks von Kunden, die in Urlaub waren oder sind.

Wir arbeiten mit Hochdruck nun die Individualsoftware ab, wobei wir bei manchen Anbietern nicht sofort Termine bekommen können. Ebenso entschlüsseln wir Daten und spielen die bei den Kunden ein. Je nach Datenmenge dauert es teilweise mehrere Tage. Wir gehen davon aus, dass die große Mehrheit bis nächste Woche Freitag, 13.08.2021 erledigt sein wird.

Danach werden wir noch mal auf jeden Kunden zugehen und nach offenen Punkten fragen und auch ein Gespräch zur Nachbereitung anbieten.

Update 17.08.2021, 12:15

Wir haben den Übergang zum Normalbetrieb wie geplant am Freitag abgeschlossen. Sollten Sie noch offene Punkte haben, melden Sie sich bitte in der Technik unter 0431-220344-20 oder per Mail an support@bolde.de. Wir werden uns heute im Laufe des Tages bei Ihnen per E-Mail mit einem Fazit des Vorfalls und den daraus gelernten Dingen melden.

Aktuell gehen Schreiben verschiedener Polizeidienststellen an unsere Kunden. Nach Rücksprache mit der Bezirkskriminalinspektion Kiel ist eine Beantwortung der Fragen durch Sie gewünscht. Hier ein paar Punkte zusammengefasst zur Vereinfachung:

Infektionszeitpunkt: Am 02.07.2021 über den Tag hinweg.

Beginn Verschlüsselung: 02.07.2021 ab 18:30 Uhr

Ende Verschlüsselung: Nach 02.07.2021 19:50 Uhr keine Neubeginne mehr, die bereits gestarteten Verschlüsselungen liefen individuell unterschiedlich lange weiter.

Lösegeldforderung: rund 45.000 USD bzw. rund 218 XMR (=Monero).

Vorhandene Fernwartungszugänge und externe Netzwerkzugriffsmöglichkeiten: Dort reicht es aus Kaseya anzugeben, da der Angriffsweg bekannt ist.