BLOG

20. August 2021 - Bleiben Sie am Ball! Auch im Herbst / Winter 2021 bieten wir Ihnen diverse Webinare und Weiterbildungsmöglichkeiten. Melden Sie sich jetzt an und bilden Sie sich weiter - es lohnt sich!

ARP-GUARD Webinar: Ihre Network Access Control Lösung (NAC)ARP-GUARD sorgt für Transparenz im Netzwerk und bietet eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sofort behandelt. Ganz unabhängig von Herstellern und Technologien schützt die NAC-Lösung Ihre Netzwerk-zugänge und unterbindet das Einbringen unerwünschter Geräte.

ARP-GUARD Webinar - mehr erfahren und anmelden

Palo Alto Networks Firewall 10.0 Essentials: Configuration and Management (EDU-210)
Der erfolgreiche Abschluss dieses 5-tägigen Kurses verbessert das Verständnis der Teilnehmer für die Konfiguration und Verwaltung von
Palo Alto Networks Next-Generation Firewalls. 

Palo Alto Networks Firewall 10.0 Essential - mehr erfahren und anmelden

Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz
Bei diesem 2-tägigen Workshop lernen Sie von der IT-Sicherheitsexpertin Paula Januszkiewicz einige Tricks und Vorgehensweisen eines Hackers kennen, um Ihre Sicherheitsumgebung in Ihrem Unternehmen besser zu konfigurieren und zu schützen.

Workshop by Paula - mehr erfahren und anmelden

Palo Alto Networks Firewall 10.0: Troubleshooting (EDU-330)
Dieses 3-tägige Training setzt auf den Kurs PAN-EDU-210 auf und befasst sich mit dem Troubleshooting der Palo Alto Networks Firewall.

Palo Alto Networks Firewall 10.0 Troubleshooting - mehr erfahren und anmelden

ARP-GUARD Webinar: Ihre Network Access Control Lösung (NAC)
ARP-GUARD sorgt für Transparenz im Netzwerk und bietet eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sofort behandelt. Ganz unabhängig von Herstellern und Technologien schützt die NAC-Lösung Ihre Netzwerk-zugänge und unterbindet das Einbringen unerwünschter Geräte.

ARP-GUARD Webinar - mehr erfahren und anmelden

Workshop Windows Security and Infrastructure Management mit Paula Januszkiewicz
Die behandelten Themen in diesem 2-tätigen Workshop mit der IT-Sicherheitsexpertin Paula Januszkiewicz helfen Ihnen dabei, in die Fussstapfen von Hackern zu treten und Ihre Infrastruktur aus dessen Sicht zu bewerten.

Workshop by Paula - mehr erfahren und anmelden

PRTG Produktschulung
Dieser 2-tägige Kurs vermittelt Ihnen umfangreiches Wissen zum Monitoring Tool PRTG von Paessler. Sie lernen das Produkt von A bis Z kennen. Dieser Kurs ist ideal für Einsteiger.

PRTG Produktschulung - mehr erfahren und anmelden

PRTG Advanced Training & Workshop
PRTG Advanced Training & Workshop ist ausgelegt für fortgeschrittene Anwender und Administratoren, welche ihre Kenntnisse vertiefen möchten. Sie haben zudem die Möglichkeit eigene Themen einzubringen.

PRTG Advanced - mehr erfahren und anmelden

Unsere Webinare, Kurse und Workshops werden laufend erweitert und sind unter Kurse/Events aufgeschaltet.

Wir freuen uns auf Sie - Mit Sicherheit! Und bleiben Sie gesund.

Ihr Omicron AG Team

10. August 2021 - Auch im Sommer 2021 up-to-date bleiben! Melden Sie sich noch heute für eines unserer Webinare an und schützen Sie Ihr Unternehmen künftig mit der Automated Penetration Testing Lösung Pentera vor fremden Fischen in Ihrem Netzwerk oder steuern Sie die internen und externen Zugriffe Ihres Netzwerkes ganz einfach mit der Network Access Lösung ARP-GUARD.

Pentera Webinar:
Automated Penetration Testing and Security Validation am 18. August 2021 von 10.30 - 11.30 Uhr

Keine fremden Fische im eigenen Netz! Durch automatisiertes Penetration Testing mit Pentera schützen Sie sich proaktiv gegen aktuelle Cyberattacken, bevor Ihr Unternehmen davon betroffen ist. Wie Pentera auch in Ihrer IT-Infrastruktur die grossen und kleinen Löcher findet und Ihnen damit garantiert die Augen öffnet, erfahren Sie an unserem kostenlosen Webinar.

Jetzt anmelden und mehr erfahren!

ARP-GUARD by ISL Webinar:
Einfach, sicher, schnell, praktikabel und kostengünstig am 26. August 2021 von 11.00 - 11.45 Uhr

Sorgen Sie mit ARP-GUARD für Transparenz im Netzwerk und erhalten Sie eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sogleich behandelt. Unabhängig von Herstellern und Technologien schützt ARP-GUARD die Netzwerkzugänge - auch in heterogenen und grossen Netzwerken - und unterbindet das Einbringen unerwünschter Geräte.

Jetzt anmelden und mehr erfahren!

Auf unserer Webseite finden Sie alle unsere Webinare zu aktuellen Themen und produktspezifische Kurse und Trainings sowie auch verschiedene Workshops mit der IT-Sicherheitsexpertin Paula Januszkiewicz.

Wir freuen uns auf Sie - Mit Sicherheit!

Ihr Omicron AG Team

04. August 2021 - Unit 42 hat kürzlich auf der Black Hat Asia 2021 Informationen über eine neue Angriffsfläche geteilt, die auf Microsoft Internet Information Services (IIS) und SQL Server abzielt und dabei SQL-Injection- oder Ad-hoc-Szenarien ermöglicht. Unit 42 geht ausserdem auf drei typische Fälle ein, die aus etwa 100 Jet-Schwachstellen ausgewählt wurden, die in einem Zeitraum von drei Monaten entdeckt wurden. Hier werden die Details der Technik behandelt, die es Bedrohungsakteuren ermöglicht, IIS und SQL Server aus der Ferne anzugreifen, um SYSTEM-Berechtigungen zu erlangen, indem Sicherheitslücken in der Microsoft Jet Database Engine ausnutzt werden.

Als Reaktion auf diese Forschung hat Microsoft einen komplexen Patch veröffentlicht, um diese Angriffsfläche zu mildern. Der Patch ist jedoch standardmässig deaktiviert und die meisten Jet-Schwachstellen werden immer noch nicht gepatcht. Wir empfehlen unseren Kunden dringend, die Risikominderung proaktiv zu aktivieren, um den Zugriff auf Remotetabellen in der Registry zu deaktivieren um vor solchen Angriffen auf der Hut zu sein. Abgesehen davon ist die Abwehr der Angriffsfläche in der Access Connectivity Engine (ACE) immer noch unvollkommen. Die Unit 42 von Palo Alto Networks arbeitet hierbei mit Microsoft zusammen, um einen vollständigen Patch für MS Jet und ACE zu veröffentlichen.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/iis-and-sql-server/

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juli 2021 - Bei der Überwachung der Microsoft Exchange Server-Angriffe im März 2021 identifizierten die Forscher der "Unit 42" von Palo Alto Networks eine PlugX-Variante, die als Post-Exploitation-Remote-Access-Tool (RAT) an einen der kompromittierten Server ausgeliefert wurde. Die von "Unit 42" beobachtete Variante ist insofern einzigartig, als sie eine Änderung des Kernquellcodes enthält: die Ersetzung des Markenworts "PLUG" durch "THOR". Das früheste entdeckte THOR-Beispiel stammt vom August 2019 und ist die früheste bekannte Instanz des umbenannten Codes. Bei dieser Variante wurden neue Funktionen beobachtet, darunter verbesserte Mechanismen zur Payload-Delivery-Bereitstellung und dem Missbrauch vertrauenswürdiger Binärdateien.

PlugX wurde erstmals 2008 entdeckt und ist ein Implantat der zweiten Stufe, das von der chinesischen Cyberspionagegruppe PKPLUG (alias Mustang Panda) und anderen Gruppen verwendet wird. PlugX wurde im Laufe der Jahre nicht nur bei mehreren hochkarätigen Angriffen eingesetzt, darunter der bedeutende Angriff gegen das "US Government Office of Personnel Management" (OPM) im Jahr 2015, sondern ist auch für seine Modularität und seinen Plug-in-ähnlichen Ansatz bei der Malware-Entwicklung bekannt.

Zusätzliche Suche und weitere Analysen führten zur Identifizierung mehrerer weiterer Proben zusammen mit einer zugehörigen PlugX-Befehls- und Kontrollinfrastruktur (C2). Die Blog-Quelle bietet einen technischen Überblick über die entdeckte PlugX-Variante, Indikatoren zur Kompromittierung (IOCs), um die Varianten in Netzwerken zu identifizieren, und ein von "Unit 42" entwickeltes Tool zur Entschlüsselung von Payload-Daten.

Kunden von Palo Alto Networks sind mit Cortex XDR oder der Next-Generation Firewall mit WildFire- und Threat Prevention-Sicherheitsabonnement vor PlugX geschützt. AutoFocus-Benutzer können die PlugX- und PKPLUG-Aktivität mithilfe der PlugX- bzw. PKPLUG-Tags verfolgen. Eine vollständige Visualisierung der beobachteten Techniken und ihrer relevanten Vorgehensweisen kann im Unit 42 ATOM Viewer angezeigt werden.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/thor-plugx-variant/

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juli 2021 - Denken wie ein Hacker? Interessiert es Sie auch, wie ein Hacker denkt und was sie in ihren abgedunkelten Zimmern so treiben? Ist es wirklich so einfach, Zugriff auf ein System zu erlangen? Wie sieht es mit Windows- und Hybridumgebungen aus? Verhindern die bestehenden Sicherheitsfeatures tatsächlich alle Angriffe, die zuvor möglich waren? Nun, das tun sie leider nicht! Und um auf der sicheren Seite zu sein, müssen wir wissen, wie die Standardfunktionen Ihrer Windows-Lösungen richtig implementiert und Einstellungen korrekt konfiguriert werden.

Bei unserem Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz vom 21. - 22. September 2021 nehmen Sie die Sicht eines Hackers ein, um Ihr Unternehmensnetzwerk von dessen Standpunkt aus zu betrachten. Denn viele der eingesetzten Hacker-Methoden sind auch für Ihre alltäglichen administrativen Aufgaben sehr hilfreich.

Über Paula Januszkiewicz
Die weltbekannte Sicherheitsexpertin liebt es, Penetration Tests und IT Security Audits durchzuführen. Sie ist Enterprise Security MVP und Trainer (MCT) sowie Microsoft Security Trusted Advisor. Ausserdem zählt sie zu den Top-Speakern bei weltbekannten Konferenzen wie der Microsoft Ignite, RSA oder der Black Hat Konferenz. Daneben wurde Paula schon mehrfach zur besten Referentin bei der Microsoft Ignite gewählt!

Agenda:

• Modul 1: Sicherheit On-Premises: Lösungen von Windows 10 / Windows Server 2016
• Modul 2: Böswillige Aktivitäten: Identitätsdiebstahl und Malware
• Modul 3: Sicherheit für Cloud- und Hybridlösungen: Verwaltung von Hybridumgebungen
• Modul 4: Angriff auf und Absicherung von Windows-Netzwerklösungen
• Modul 5: Zusammenfassung der Windows-Sicherheit

Zielgruppe:
IT- und Sicherheitsexperten, die ihr Wissen und Können auf das nächste Level bringen möchten. Nach diesem Workshop werden Sie mit verschiedenen Hacking Techniken vertraut sein, was Ihnen dabei hilft, sich selbst vor diesen zu schützen.

Paula meint dazu: "Diese Schulung zeigt, wie Fehler, die heutzutage in der Infrastruktur gemacht werden, ausgenutzt werden können. Ist es nicht grossartig, aus den Fehlern Anderer zu lernen? Ein echt cooler Workshop und dazu noch wertvoll für Sie und Ihr Unternehmen!"

Jetzt für den Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz vom 21. - 22. September 2021 anmelden und von ihrem Wissen profitieren!

Weitere Workshops mit Paula sowie Webinare zu aktuellen Themen und produktspezifische Kurse finden Sie auf unserer Webseite unter Kurse/Events.

Wir freuen uns auf Sie - Mit Sicherheit! Und bleiben Sie gesund.

Ihr Omicron AG Team

30. Juni 2021 - Conti Ransomware sticht als eine der rücksichtslosesten der Dutzenden von Ransomware-Banden hervor, denen wir folgen. Die Gruppe hat mehr als ein Jahr damit verbracht, Organisationen anzugreifen, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Krankenhäuser, Notrufdienste, Rettungsdienste und Strafverfolgungsbehörden. Irland muss sich noch von einem Angriff Mitte Mai erholen, der zur Abschaltung des gesamten Informationstechnologienetzwerks des nationalen Gesundheitssystems führte – was zur Absage von Terminen, zur Abschaltung von Röntgensystemen und zu Verzögerungen bei COVID-Tests führte.

Conti sticht auch als unzuverlässig hervor. Wir haben gesehen, wie die Gruppe ihre Opfer, die Lösegeld zahlen und erwarten, ihre Daten wiederherstellen zu können, nach ersten Versprechen dann im Stich lässt.

Das FBI hat Conti mit mehr als 400 Cyberangriffen gegen Organisationen weltweit in Verbindung gebracht, von denen drei Viertel in den USA ansässig sind, mit Forderungen von bis zu 25 Millionen US-Dollar. Das macht Conti zu einer der gierigsten Gruppen da draussen.

Conti Ransomware-Übersicht

Wir begleiten Conti seit mehr als einem Jahr bei unserer Arbeit, um Unternehmen bei der Reaktion auf Ransomware-Angriffe zu unterstützen. Es scheint eine von vielen privaten Cybercrime-Gruppen zu sein, die ihren Betrieb durch die Nutzung des boomenden Ransomware-as-a-Service (RaaS)-Ökosystems aufgebaut haben. Solche Banden gewinnen in den Netzwerken ihrer Opfer Fuss, indem sie sich Zugang von anderen Bedrohungsakteuren erkaufen. Sie können auch Infrastruktur, Malware, Kommunikationstools und Geldwäsche von anderen RaaS-Anbietern beziehen. Die meisten dieser Akteure verwenden dieselben Zugangsmethoden wie bei vielen Ransomware-Angriffen, wie Phishing-E-Mails und die Ausnutzung ungeschützter Anwendungen mit Internetzugriff, das Fehlen einer Multi-Faktor-Authentifizierung (MFA) sowie weitere, typische Zugangswege, wie z. B. durch die Verwendung von Cobalt Strike oder PowerShell.

Diese Ansätze sind nicht besonders clever oder ausgereift, aber oft effektiv. Die Methodik von Conti folgt oft dem Ansatz der „doppelten Erpressung“, den viele führende Ransomware-Gruppen derzeit verwenden. Bei der doppelten Erpressung sperren Angreifer nicht nur die Dateien eines Opfers und verlangen Lösegeld, sondern sie stehlen auch Dateien und drohen, sie auf einer Website zu publizieren oder anderweitig zu veröffentlichen, wenn ihre ursprüngliche Lösegeldforderung nicht erfüllt wird.

Aber die Methoden von Conti haben atypische Elemente.

In der Regel unternehmen die erfolgreicheren Ransomware-Betreiber grosse Anstrengungen, um einen gewissen Anschein von „Integrität“ herzustellen und aufrechtzuerhalten, um Lösegeldzahlungen von Opfern zu erleichtern. Sie wollen einen hervorragenden Ruf für „Kundenservice“ aufbauen und halten, was sie versprechen – dass, wenn Sie ein Lösegeld zahlen, Ihre Dateien entschlüsselt werden (und sie nicht auf einer Leak-Website erscheinen). Nach unserer Erfahrung bei der Unterstützung von Kunden bei der Abwehr von Angriffen hat Conti jedoch keine Anzeichen dafür gezeigt, dass ihr Ruf bei potentiellen Opfern wichtig ist.

In einem kürzlich aufgetretenen Fall hat Conti die Daten eines Kunden, der das Lösegeld bezahlt hatte, nicht zurückgegeben. Dieser Kunde erhielt nur einen kleinen Bruchteil der versprochenen Dateiwiederherstellungen, bevor die Vertreter der Conti-Ransomware wieder im Dark Web verschwanden. In einem anderen Fall benötigte unser Mandant eine Bestandsaufnahme aller abgerufenen Dateien, um Dritte zu benachrichtigen, deren Daten betroffen waren. Conti stimmte zu, diese Informationen weiterzugeben, wenn eine Zahlung geleistet wurde, änderte dann die Meinung und sagte: „Wir besitzen diese Daten nicht mehr. Sie wurden gelöscht und es gibt keine Möglichkeit, diese wiederherzustellen.“ Wie viele Ransomware-Gangs passt sich Conti ständig an Veränderungen an, einschliesslich der jüngsten verstärkten Kontrolle durch Strafverfolgungsbehörden und politische Entscheidungsträger nach hochkarätigen disruptiven Angriffen auf die Colonial Pipeline und Gesundheitsorganisationen. Als sich das irische Gesundheitssystem weigerte, Lösegeld zu zahlen, stellte Conti der Behörde einen angeblich kostenlosen Entschlüsselungsschlüssel zur Verfügung. Aber es gab eine Wendung: Die Gruppe behauptete, dass sie ihre Drohung zur „doppelten Erpressung“ wahr machen würden und gestohlene Daten auf ihrer Leak-Site veröffentlichen.

Fazit

Leider ist es oft nicht einfach, Conti aus Ihrem Netzwerk herauszuhalten. Ein primärer Infektionsweg scheint Phishing-Betrug zu sein, und Angreifer verbessern in diesem Bereich ständig ihr Spiel. Während Phishing-E-Mails früher für fast jeden leicht zu erkennen waren, insbesondere nach einigen Sensibilisierungsschulungen, sehen wir immer raffiniertere Angriffe, bei denen die Bedrohungsakteure viele Hausaufgaben zu ihren beabsichtigten Opfern gemacht haben. Manchmal senden sie eine Flut von Betrugs-E-Mails an Mitarbeiter im gesamten Unternehmen, und es braucht nur Einen, um den Anhang zu öffnen und die Malware im Netzwerk freizugeben.

Ransomware-Angriffe werden immer einfacher, und die Belohnungen für die Angreifer steigen immer noch sprunghaft an. Dementsprechend bleibt es eine Wachstumsbranche, die eine Vielzahl neuer Praktiker anziehen wird, und es ist wahrscheinlich, dass hochkarätige Ziele weiter attackiert werden.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/conti-ransomware-gang/ 

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Natürlich zeigen wir Ihnen Cortex XDR auch gerne live im Einsatz. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juni 2021 - Sie haben über uns eine PRTG-Lizenz bezogen oder verlängert? Wir möchten dazu beitragen, dass Sie noch lange mit Ihrer PRTG-Installation zufrieden sind. Deswegen bieten wir Ihnen die einmalige Gelegenheit für einen Review Ihrer PRTG-Installation an. Lassen Sie Ihre PRTG-Installation durch unsere Spezialisten in einer Remote-Session prüfen und sich dabei noch den einen oder anderen Tipp geben oder Verbesserungspotential aufzeigen.

Je nach Grösse Ihrer PRTG-Installation rechnen wir mit 2 bis 4 Stunden Aufwand. Wenn Sie möchten können Sie die Resultate des Reviews auch noch in schriftlicher Form erhalten.

Sie möchten von dieser PRTG-Review-Aktion profitieren?

Zögern Sie nicht uns zu kontaktieren und eine Offerte für Ihre PRTG-Umgebung anzufordern. Sie erreichen uns unter der Telefonnummer +41 44 839 11 11 oder per E-Mail.

Übrigens:

Sie haben PRTG im Einsatz und möchten sich weiterbilden? Dann melden Sie sich für unsere PRTG Produktschulung oder das PRTG Advanced Training an. Es lohnt sich.

Wir freuen uns über Ihre Kontaktaufnahme für Ihren PRTG-Review oder Ihre Anmeldung zu einem unserer PRTG-Kurse.

Bei Fragen oder einem persönlichen Termin, stehen wir Ihnen ebenfalls gerne zur Verfügung.

Wir wünschen Ihnen einen tollen Sommer und bleiben Sie gesund.

Ihr Omicron AG Team

16. Juni 2021 - Pentera™ (ehemals Pcysys), der führende Anbieter von automatisierter Sicherheitsvalidierung, hat heute RansomwareReady™ vorgestellt - ein neues Modul der Pentera-Plattform, das die zerstörerischsten Ransomware-Stämme der Welt emuliert. Pentera bietet Sicherheitsteams einen vollständigen Überblick über die schwerwiegendsten Schwachstellen, die Angreifer und Ransomware ausnutzen, um kritische Assets zu gefährden und den Geschäftsbetrieb zu stören.

Mit dieser Version unterbricht Pentera herkömmliche Ansätze zum Schwachstellenmanagement, indem es CISOs genau zeigt, wie Angreifer und Ransomware-Bedrohungen ihr Netzwerk und ihre Infrastruktur ausnutzen. Pentera ist die einzige Plattform, die echte gegnerische Taktiken und Techniken innerhalb des Netzwerks sicher automatisiert. Dies unterstützt den CISO, die kritischen Schwachstellen in Sicherheitsprogrammen zu identifizieren und zu priorisieren, welche systemische Risiken verursachen und die Angreifer ausnutzen, um den Geschäftsbetrieb zu beenden.

"Vulnerabilitätsorientierte Programme und Simulationen schlagen fehl, weil sie CISOs nicht zeigen, wo sie am stärksten exponiert sind, basierend auf der Denk- und Handlungsweise der Gegner, sobald sie sich in einem Netzwerk befinden. Sie können tagelang Schwachstellen patchen und jagen und sind immer noch nicht bereit für einen Ransomware-Angriff", sagte Amitai Ratzon, CEO von Pentera. "RansomwareReady ist eine Zusammenstellung der bösartigsten Ransomware in der Wildnis - von REvil bis Maze. Wir emulieren diese sicher in den Umgebungen unserer Kunden, um ihnen genau zu zeigen, wie sich Ransomware in ihrem Netzwerk bewegt. Auf diese Weise können sie die kritischen Schwachstellen priorisieren, die Angreifer ausnutzen."

Die Macht von Pentera - Unterstützung von Unternehmen bei der Vorbereitung auf Ransomware

Bestehende Legacy-Tools für das Schwachstellenmanagement überfluten CISOs und Sicherheitsteams mit unkritischen Warnungen - im Jahr 2020 wurden mehr als 15.000 Schwachstellen gefunden, während nur 8 % von Angreifern ausgenutzt wurden. Penetrationstests können effektiv sein, sind jedoch manuell und geben nur eine Momentaufnahme des Sicherheitsstatus einer Organisation zu einem bestimmten Zeitpunkt. Die Umsetzung von Best Practices erfordert die kontinuierliche Sicherstellung der Sicherheitsbereitschaft einer Organisation.

Die Pentera-Plattform automatisiert Echtzeit-Penetrationstests in grossem Massstab und führt sicher die Aktionen durch, die ein böswilliger Gegner durchführen würde - Aufklärung, Sniffing, Spoofing, Cracking, (harmlose) Malware-Injektion, dateilose Ausbeutung, Post-Exploitation, Lateral Movement und Privilegieneskalation - bis hin zur Datenexfiltration. Pentera bietet Sicherheitsteams einen vollständigen Überblick über die Angriffsoperation, um eine echte Einschätzung ihrer Widerstandsfähigkeit gegen echte Angriffe zu liefern, wobei der Schwerpunkt auf der Behebung liegt, die wichtig ist.

Die neueste Version der Pentera-Plattform umfasst leistungsstarke neue Funktionen, darunter: 

• RansomwareReady™: Pentera erstellt eine sichere Version der zerstörerischsten Ransomware der Welt - einschliesslich Ryuk, WannaCry, Maze, REvil und mehr. Die Plattform stellt diese Ransomware-Versionen sicher in internen Umgebungen bereit und überwacht sie, um einen vollständigen Überblick über die wahrscheinlichsten Schwachstellen und seitlichen Pfade zu bieten, um kritische Assets anzugreifen und den Betrieb zu stören. Auf diese Weise können CISOs ihre Organisationen gegen Ransomware-Angriffe impfen, bevor sie auftreten.
  
  
• MITRE ATT&CK-Validierung: Unternehmen können ihre Sicherheitslage kontinuierlich anhand des MITRE ATT&CK-Frameworks validieren und so die Widerstandsfähigkeit gegenüber den neuesten gegnerischen Taktiken und Techniken basierend auf realen Beobachtungen testen.
  
  
• Angriffsoperation für hybride Workloads: Pentera deckt Sicherheitslücken in Cloud-Workloads auf und emuliert Schwächen bei der lateralen Expansion von On-Prem in die Cloud bis hin zu Remote-Mitarbeitern. Dies versetzt Sicherheitsteams in die Lage, die Sicherheitsgarantie auf Cloud-Workloads auszudehnen.
  
  
• Agentenlose Architektur auf Unternehmensebene: Pentera ist innerhalb von Minuten aktiv und betriebsbereit und ermöglicht eine nahtlose unternehmensweite Sicherheitsvalidierung ohne Bereitstellung von Agenten. Diese skalierbare Architektur dient Hunderten von MSSPs weltweit, die Remote-Sicherheitsvalidierungsdienste bereitstellen.
  
  
• Vulnerability Surgical Remediation™: Pentera führt die Angriffsoperation fort, um alle möglichen Angriffsvektoren und die kosteneffektivsten Behebungspunkte zu entdecken. Auf diese Weise können Sicherheitsteams auf die Ursache und eine optimale Behebung von Schwachstellen eingehen, was zu einer Zeitersparnis durch unnötige Behebungszyklen führt, die die Entwicklung des Angriffs verhindern.

Über Pentera

Pentera ist der Kategorieführer für automatisierte Sicherheitsvalidierung, die es jedem Unternehmen ermöglicht, die Integrität aller Cybersicherheitsebenen einfach zu testen und echte, aktuelle Sicherheitsrisiken zu jedem Zeitpunkt und in jeder Grössenordnung aufzudecken. Tausende von Sicherheitsexperten und Dienstanbietern auf der ganzen Welt verwenden Pentera, um Abhilfe zu schaffen und Sicherheitslücken zu schliessen, bevor sie ausgenutzt werden. Weitere Informationen finden Sie unter: https://www.pentera.io

Lesenswert, schmackhaft und ebenfalls kein Käse:

Unsere Pentera-Erfolgsgeschichte beim Premium-Feingebäckhersteller Kambly.

Selbstverständlich stehen wir Ihnen von der Omicron AG, als Ihr Pentera-Partner in der Schweiz, bei Fragen oder einem Pentera-POC direkt bei Ihnen vor Ort jederzeit zur Seite. Sie erreichen uns telefonisch unter +41 44 839 11 11.

Wir freuen uns auf Sie - Mit Sicherheit!

Ihr Omicron AG Team

15. Juni 2021 - "Unit 42" von Palo Alto Networks hat die letzten vier Monate damit verbracht, die Aktivitäten von Prometheus zu verfolgen, einem neuen Player in der Ransomware-Welt, der ähnliche Malware und Taktiken wie Ransomware-Veteran Thanos verwendet.

Prometheus nutzt Taktiken der doppelten Erpressung und hostet eine Leak-Site, auf der es neue Opfer benennt und gestohlene Daten zum Kauf anbietet. Es behauptet, gegen 30 Organisationen in den Bereichen Regierung, Finanzdienstleistungen, Fertigung, Logistik, Beratung, Landwirtschaft, Gesundheitsdienste, Versicherungsagenturen, Energie- und Anwaltskanzleien in den Vereinigten Staaten, Südamerika, Grossbritannien und einem Dutzend weiterer Länder aktiv zu sein.

Wie viele Ransomware-Gangs läuft Prometheus wie ein professionelles Unternehmen. Es bezeichnet seine Opfer als "Kunden", kommuniziert mit ihnen über ein Kundenservice-Ticketing-System, das sie vor Zahlungsfristen warnt und sogar mit einer Uhr die Stunden, Minuten und Sekunden bis zu einer Zahlungsfrist herunterzählt.

"Wir schliessen das Ticket und haben eine Versteigerung Ihrer Daten gestartet", droht der Konzern, wenn die Opfer nicht zahlen. Aber es gibt noch eine Möglichkeit: Opfer können klicken, um ein neues "Ticket" zu öffnen, wenn sie bereit sind, zu zahlen, um die Auktion zu stoppen und ihre Daten wiederherzustellen.

Laut der Leak-Site der Gruppe haben bisher nur vier Opfer bezahlt. Ein peruanisches Agrarunternehmen, ein brasilianischer Gesundheitsdienstleister sowie ein Transport- und Logistikunternehmen in Österreich und Singapur hätten Lösegeld gezahlt. Wir können die Lösegeldbeträge jedoch nicht bestätigen.

Eine interessante Anmerkung ist, dass Prometheus behauptet, Teil der berüchtigten Ransomware-Gang REvil zu sein. Unit 42 hat keinen Hinweis gefunden, dass diese beiden Ransomware-Banden in irgendeiner Weise verwandt sind. Die Behauptung kann ein Versuch sein, den Namen von REvil auszunutzen, um die Opfer zur Zahlung zu bewegen, oder es könnte eine falsche Fährte sein, um die Aufmerksamkeit von Thanos abzulenken.

Wir haben diesen Bericht zusammengestellt, um die Bedrohung durch das Aufkommen neuer Ransomware-Gangs wie Prometheus zu beleuchten, die in der Lage sind, neue Operationen schnell zu skalieren, indem sie das Ransomware-as-a-Service (RaaS)-Modell übernehmen, in dem sie Ransomware-Code, Infrastruktur und Zugang zu kompromittierten Netzwerken von externen Anbietern beschaffen. Das RaaS-Modell hat die Eintrittsbarriere für Ransomware-Banden gesenkt.

Fazit

Prometheus ist eine neue und aufstrebende Ransomware-Bande, die eine personalisierte Variante der Thanos-Ransomware verwendet. Die Betreiber dieser Ransomware zielen aktiv auf mehrere Branchen weltweit ab. Wie viele andere Ransomware-Gruppen hostet Prometheus eine Leak-Site, um zusätzlichen Druck zu erzeugen und die Opfer dazu zu bringen, das Lösegeld zu zahlen. Während Prometheus behauptet, Teil der REvil-Ransomware-Gang zu sein, fanden wir während unserer Recherchen zum Zeitpunkt der Erstellung dieses Berichts keine solide Verbindung zwischen den beiden Ransomware-Gruppen.

Kunden von Palo Alto Networks sind vor dieser Bedrohung geschützt durch:

• WildFire: Alle bekannten Beispiele werden als Malware identifiziert.
  
  
• Cortex-XDR mit:
  - Indikatoren für Prometheus/Thanos.
  - Anti-Ransomware-Modul zur Erkennung von Prometheus/Thanos-Verschlüsselungsverhalten.
  - Lokale Analyseerkennung zur Erkennung von Prometheus/Thanos-Binärdateien.
  
  
• AutoFocus: Verfolgen verwandter Aktivitäten mithilfe des Thanos-Tags.

Lesen Sie den den ganzen Bericht dazu hier bei der "Unit 42" von Palo Alto Networks.

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Natürlich zeigen wir Ihnen Cortex XDR auch gerne live im Einsatz. Wir freuen uns auf Ihre Kontaktaufnahme.

10. Mai 2021 - Als Firma Omicron AG, welche sich seit Jahren tagtäglich mit Malware, Angriffsvektoren und Risikoabschätzungen im IT-Sicherheitsumfeld für Unternehmen beschäftigt, sehen wir uns veranlasst, unseren "Omicron IT Security Day" welcher am 9. Juni 2021 in Wallisellen geplant war, erneut zu verschieben.

Aufgrund der aktuellen Lageeinschätzung sowie der Entwicklung zur weltweiten Covid-19/Corona-Pandemie, erachten wir dies als weiterhin nötige und wichtige Schutzmassnahme. Die momentane Risikobewertung lässt es nach bestem Wissen und Gewissen nicht zu, Sie oder Ihre Nächsten einer entsprechenden Gefahr auszusetzen oder zur aktiven Verbreitung des Virus beizutragen. Wir zählen dabei auf Ihr Verständnis und Ihre Unterstützung.

Wir werden die Lage in den nächsten Wochen mit Argusaugen weiter beobachten und Ihnen zu gegebener Zeit ein entsprechendes Verschiebedatum unseres "Omicron IT Security Day" für das Jahr 2022 kommunizieren.

Ich persönlich möchte Ihnen für Ihre Kenntnisnahme und Ihr Verständnis nochmals herzlichst danken. Bleiben Sie, Ihre Familie und Ihr Umfeld gesund.

Bis bald und beste Grüsse aus Wallisellen

Ihr
Thomas Stutz
Owner & CEO - Omicron AG