BLOG

03. September 2021 - Pentera ist weltweit die einzige Plattform, die Penetration Tests komplett automatisiert durchführen kann. In der Produktivumgebung, sicher, kontrolliert und ohne Schaden anzurichten. Dadurch ermöglicht Pentera die Infrastruktur konstant, wiederkehrend und vergleichbar mit internen Ressourcen zu testen und Fortschritte kontinuierlich zu validieren.

Wir sind stolz, das nächste Level anzukündigen: RansomwareReady™
Die Spatzen pfeifen es bereits von den Dächern – die Anzahl der Ransomware Angriffe hat signifikant zugenommen.

• Neun von zehn Unternehmen wurden laut einer aktuellen Studie in den Jahren 2020 und 2021 Opfer von Cyberkriminellen.
  
  
• „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Grössen“, sagte Achim Berg (Präsident Bitkom).
  
  
• Die Angreifer habe es auf Kommunikationsdaten, Patente, Forschungsergebnisse abgesehen, auf Geld, manche Angriffe sind ausschliesslich Sabotageakte.
  
  
• Neun Prozent der Unternehmen sehen ihre geschäftliche Existenz durch Cyberattacken bedroht.
  
  
• 24 Prozent der Firmen haben ihre Investitionen in IT-Sicherheit als Reaktion auf die verschärfte Bedrohungslage deutlich erhöht.
  
  
• Zitate: Interview zur Bitkom Studie, 05.08.2021

RansomwareReady™ wird die Firmeninfrastruktur, das Zusammenspiel der verschiedenen Security Lösungen hinsichtlich eines möglichen Ransomware Angriffs auf die Leistungsfähigkeit prüfen. Mögliche Folge-Szenarien, wie der Zugriff auf geschäftskritische Daten werden real nachstellt inklusive Daten Verschlüsselung. Alles sicher, kontrolliert und ohne Schaden anzurichten. 

Jetzt zum Pentera Webinar am 14. September 2021 um 10.00 Uhr anmelden und mehr erfahren!

Der Feingebäck Hersteller Kambly hat Pentera bereits im Einsatz: 
Lesen Sie hier die Erfolgsgeschichte.

01. September 2021 - Webbasierte Konsolen werden häufig von Verwaltungssoftware und intelligenten Geräten verwendet, um eine interaktive Datenvisualisierung und benutzerfreundliche Konfiguration bereitzustellen. Dies gewinnt an Dynamik, da die Computersysteme von Unternehmen komplexer werden und modernere Internet-of-Things-Geräte (IoT) zu Hause verwendet werden. Diese Webanwendungen befinden sich normalerweise in internen Umgebungen oder privaten Netzwerken, die durch Firewalls geschützt sind. Daher haben sie in der Regel ein hohes Vertrauensniveau für Besucher. Sie gehen in der Regel davon aus, dass alle Besucher autorisiert sind und geben daher sensible Informationen preis oder bieten Administratorrechte ohne starken Schutz auf Anwendungsebene.

Obwohl die Webdienste in privaten Netzwerken vom Internet isoliert werden sollen und die Same-Origin-Policy verhindert, dass beliebige Websites mit internen Servern interagieren, können Hacker dennoch webbasierte Konsolen nutzen, um interne Netzwerke auszunutzen, indem sie das Domain Name System missbrauchen (DNS) durch eine Technik namens DNS-Rebinding. Diese Technik kann die Angriffsflächen interner Webanwendungen bösartigen Websites aussetzen, sobald sie in den Browsern der Opfer gestartet werden.

In diesem Blog stellen wir den Mechanismus und die Schwere des DNS-Rebinding-Angriffs mit Penetrationsbeispielen vor. Danach stellen wir die Mainstream-Abwehrmaßnahmen gegen diesen Angriff und ihre Grenzen vor.

Palo Alto Networks hat einen Detektor auf den Markt gebracht, um DNS-Rebinding-Angriffe aus unseren DNS-Sicherheits- und passiven DNS-Daten zu erfassen. Unser System bietet eine skalierbare Erkennung für verschiedene DNS-Rebinding-Nutzlasten und reduziert die Falscherkennungsrate um 85,09 % im Vergleich zur herkömmlichen IP-Filterlösung. Es nimmt die DNS-Daten in Echtzeit auf, um Penetrationsaktivitäten so schnell wie möglich zu erkennen.

Palo Alto Networks-Firewall-Kunden der nächsten Generation mit Sicherheitsabonnements für DNS Security, URL Filtering und Threat Prevention sind vor DNS-Rebinding-Angriffen geschützt.

Lesen Sie den ganzen Artikel hier - Quelle: Unit42 von Palo Alto Networks:

https://unit42.paloaltonetworks.com/dns-rebinding/

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

24. August 2021 - Cyber Resilience ist ein ganzheitlicher Ansatz, um die Sicherheit vor Cyber Attacken und die Widerstandskraft der IT-Infrastruktur eines Unternehmens zu organisieren. Zu diesem Zweck werden Konzepte erstellt und Massnahmen definiert, die die Weiterführung und Wiederaufnahme der Geschäftstätigkeiten während bzw. nach einer Cyber Attacke gewährleisten. Ziel der Cyber Resilienz ist es, gut vorbereitet und schnell auf Sicherheitsverletzungen zu reagieren sowie Sicherheitsvorfällen entgegenzuwirken und gleichzeitig die Steuerbarkeit des Geschäftes zu erhalten.

Die Walliseller Omicron AG und die cyway GmbH aus Horgen bündeln dazu bei strategischen Sicherheitsfragen ihre Stärken und unterstützen Firmen und Behörden bei ganzheitlichen Sicherheitskonzepten, bei Cyber Notfallplänen und IT-Governance Fragen. Thomas Stutz, CEO und Besitzer der Omicron AG meint dazu: "Mit einem umfassenden Schutz im Bereich der Cyber Resilienz werden Unternehmen schlichtweg unattraktiv für Kriminelle. Und falls es doch einmal brennt, sichern festgelegte Massnahmen die Weiterführung der Geschäfte ab." Sven Bruelisauer, Mitinhaber der cyway GmbH ergänzt: "Die Stärken von cyway liegen in der Beratung und der Konzeption von kompletten IT-Sicherheitskonzepten für Unternehmen. Ergänzend dazu spielt das technische Fachwissen bei der Konzeption, Implementation und dem Betrieb eine entscheidende Rolle im Praxisalltag, hierbei können wir uns keinen besseren Partner als die Omicron AG wünschen. Gemeinsam wurden bereits diverse Projekte erfolgreich bei Grossunternehmen in die Tat umgesetzt und weitere folgen."

Unternehmen sind beliebtes Ziel

"In meinem Unternehmen ist noch nie etwas passiert, wieso soll ich in IT-Security investieren?" Diese Meinung ist verständlich, aber verkennt die akute Gefahrenlage. Speziell Firmen sind eine beliebte Zielscheibe für Cyber Angriffe mit teils grossen finanziellen Schäden. Die Bedrohungslage durch Cyber Attacken, wie etwa durch die Verbreitung von Ransomware, fordert eine ganzheitliche Strategie für die erfolgreiche Abwehr. Wer hinsichtlich dieser Gefahrenlandschaft auch unter Beschuss geschäftsfähig bleiben will, benötigt also eine Sicherheitsarchitektur, die eng mit den Aufgaben der Geschäftsführung verflochten ist. Genau hier setzt der partnerschaftliche Ansatz von Omicron und cyway an.

Über die cyway GmbH:

Die cyway GmbH mit Sitz in Horgen Schweiz ist darauf spezialisiert, das Geschäft von Unternehmen und Organisationen vor relevanten Cyber Risiken zu schützen. Mit bewährten Ansätzen vom Cyber Risk Management bis hin zu konkreten Defense- und Response- Abläufen (Runbooks) wird der Nutzen Ihres IT-Security Budgets maximiert. Die Security Experten von cyway verfügen über langjährige Erfahrungen in der Konzeption, Implementierung und Integration von modernen IT-Sicherheitslösungen bei nationalen und internationalen Unternehmen und Organisationen verschiedenster Sektoren inklusive Industrie, Retail, NGOs, Pharma, Banking und Militär.

https://www.cyway.one

20. August 2021 - Bleiben Sie am Ball! Auch im Herbst / Winter 2021 bieten wir Ihnen diverse Webinare und Weiterbildungsmöglichkeiten. Melden Sie sich jetzt an und bilden Sie sich weiter - es lohnt sich!

ARP-GUARD Webinar: Ihre Network Access Control Lösung (NAC)ARP-GUARD sorgt für Transparenz im Netzwerk und bietet eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sofort behandelt. Ganz unabhängig von Herstellern und Technologien schützt die NAC-Lösung Ihre Netzwerk-zugänge und unterbindet das Einbringen unerwünschter Geräte.

ARP-GUARD Webinar - mehr erfahren und anmelden

Palo Alto Networks Firewall 10.0 Essentials: Configuration and Management (EDU-210)
Der erfolgreiche Abschluss dieses 5-tägigen Kurses verbessert das Verständnis der Teilnehmer für die Konfiguration und Verwaltung von
Palo Alto Networks Next-Generation Firewalls. 

Palo Alto Networks Firewall 10.0 Essential - mehr erfahren und anmelden

Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz
Bei diesem 2-tägigen Workshop lernen Sie von der IT-Sicherheitsexpertin Paula Januszkiewicz einige Tricks und Vorgehensweisen eines Hackers kennen, um Ihre Sicherheitsumgebung in Ihrem Unternehmen besser zu konfigurieren und zu schützen.

Workshop by Paula - mehr erfahren und anmelden

Palo Alto Networks Firewall 10.0: Troubleshooting (EDU-330)
Dieses 3-tägige Training setzt auf den Kurs PAN-EDU-210 auf und befasst sich mit dem Troubleshooting der Palo Alto Networks Firewall.

Palo Alto Networks Firewall 10.0 Troubleshooting - mehr erfahren und anmelden

ARP-GUARD Webinar: Ihre Network Access Control Lösung (NAC)
ARP-GUARD sorgt für Transparenz im Netzwerk und bietet eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sofort behandelt. Ganz unabhängig von Herstellern und Technologien schützt die NAC-Lösung Ihre Netzwerk-zugänge und unterbindet das Einbringen unerwünschter Geräte.

ARP-GUARD Webinar - mehr erfahren und anmelden

Workshop Windows Security and Infrastructure Management mit Paula Januszkiewicz
Die behandelten Themen in diesem 2-tätigen Workshop mit der IT-Sicherheitsexpertin Paula Januszkiewicz helfen Ihnen dabei, in die Fussstapfen von Hackern zu treten und Ihre Infrastruktur aus dessen Sicht zu bewerten.

Workshop by Paula - mehr erfahren und anmelden

PRTG Produktschulung
Dieser 2-tägige Kurs vermittelt Ihnen umfangreiches Wissen zum Monitoring Tool PRTG von Paessler. Sie lernen das Produkt von A bis Z kennen. Dieser Kurs ist ideal für Einsteiger.

PRTG Produktschulung - mehr erfahren und anmelden

PRTG Advanced Training & Workshop
PRTG Advanced Training & Workshop ist ausgelegt für fortgeschrittene Anwender und Administratoren, welche ihre Kenntnisse vertiefen möchten. Sie haben zudem die Möglichkeit eigene Themen einzubringen.

PRTG Advanced - mehr erfahren und anmelden

Unsere Webinare, Kurse und Workshops werden laufend erweitert und sind unter Kurse/Events aufgeschaltet.

Wir freuen uns auf Sie - Mit Sicherheit! Und bleiben Sie gesund.

Ihr Omicron AG Team

10. August 2021 - Auch im Sommer 2021 up-to-date bleiben! Melden Sie sich noch heute für eines unserer Webinare an und schützen Sie Ihr Unternehmen künftig mit der Automated Penetration Testing Lösung Pentera vor fremden Fischen in Ihrem Netzwerk oder steuern Sie die internen und externen Zugriffe Ihres Netzwerkes ganz einfach mit der Network Access Lösung ARP-GUARD.

Pentera Webinar:
Automated Penetration Testing and Security Validation am 18. August 2021 von 10.30 - 11.30 Uhr

Keine fremden Fische im eigenen Netz! Durch automatisiertes Penetration Testing mit Pentera schützen Sie sich proaktiv gegen aktuelle Cyberattacken, bevor Ihr Unternehmen davon betroffen ist. Wie Pentera auch in Ihrer IT-Infrastruktur die grossen und kleinen Löcher findet und Ihnen damit garantiert die Augen öffnet, erfahren Sie an unserem kostenlosen Webinar.

Jetzt anmelden und mehr erfahren!

ARP-GUARD by ISL Webinar:
Einfach, sicher, schnell, praktikabel und kostengünstig am 26. August 2021 von 11.00 - 11.45 Uhr

Sorgen Sie mit ARP-GUARD für Transparenz im Netzwerk und erhalten Sie eine umfassende Übersicht auf alle verbundenen Geräte. Netzwerkanomalien werden erkannt, gemeldet und sogleich behandelt. Unabhängig von Herstellern und Technologien schützt ARP-GUARD die Netzwerkzugänge - auch in heterogenen und grossen Netzwerken - und unterbindet das Einbringen unerwünschter Geräte.

Jetzt anmelden und mehr erfahren!

Auf unserer Webseite finden Sie alle unsere Webinare zu aktuellen Themen und produktspezifische Kurse und Trainings sowie auch verschiedene Workshops mit der IT-Sicherheitsexpertin Paula Januszkiewicz.

Wir freuen uns auf Sie - Mit Sicherheit!

Ihr Omicron AG Team

04. August 2021 - Unit 42 hat kürzlich auf der Black Hat Asia 2021 Informationen über eine neue Angriffsfläche geteilt, die auf Microsoft Internet Information Services (IIS) und SQL Server abzielt und dabei SQL-Injection- oder Ad-hoc-Szenarien ermöglicht. Unit 42 geht ausserdem auf drei typische Fälle ein, die aus etwa 100 Jet-Schwachstellen ausgewählt wurden, die in einem Zeitraum von drei Monaten entdeckt wurden. Hier werden die Details der Technik behandelt, die es Bedrohungsakteuren ermöglicht, IIS und SQL Server aus der Ferne anzugreifen, um SYSTEM-Berechtigungen zu erlangen, indem Sicherheitslücken in der Microsoft Jet Database Engine ausnutzt werden.

Als Reaktion auf diese Forschung hat Microsoft einen komplexen Patch veröffentlicht, um diese Angriffsfläche zu mildern. Der Patch ist jedoch standardmässig deaktiviert und die meisten Jet-Schwachstellen werden immer noch nicht gepatcht. Wir empfehlen unseren Kunden dringend, die Risikominderung proaktiv zu aktivieren, um den Zugriff auf Remotetabellen in der Registry zu deaktivieren um vor solchen Angriffen auf der Hut zu sein. Abgesehen davon ist die Abwehr der Angriffsfläche in der Access Connectivity Engine (ACE) immer noch unvollkommen. Die Unit 42 von Palo Alto Networks arbeitet hierbei mit Microsoft zusammen, um einen vollständigen Patch für MS Jet und ACE zu veröffentlichen.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/iis-and-sql-server/

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juli 2021 - Bei der Überwachung der Microsoft Exchange Server-Angriffe im März 2021 identifizierten die Forscher der "Unit 42" von Palo Alto Networks eine PlugX-Variante, die als Post-Exploitation-Remote-Access-Tool (RAT) an einen der kompromittierten Server ausgeliefert wurde. Die von "Unit 42" beobachtete Variante ist insofern einzigartig, als sie eine Änderung des Kernquellcodes enthält: die Ersetzung des Markenworts "PLUG" durch "THOR". Das früheste entdeckte THOR-Beispiel stammt vom August 2019 und ist die früheste bekannte Instanz des umbenannten Codes. Bei dieser Variante wurden neue Funktionen beobachtet, darunter verbesserte Mechanismen zur Payload-Delivery-Bereitstellung und dem Missbrauch vertrauenswürdiger Binärdateien.

PlugX wurde erstmals 2008 entdeckt und ist ein Implantat der zweiten Stufe, das von der chinesischen Cyberspionagegruppe PKPLUG (alias Mustang Panda) und anderen Gruppen verwendet wird. PlugX wurde im Laufe der Jahre nicht nur bei mehreren hochkarätigen Angriffen eingesetzt, darunter der bedeutende Angriff gegen das "US Government Office of Personnel Management" (OPM) im Jahr 2015, sondern ist auch für seine Modularität und seinen Plug-in-ähnlichen Ansatz bei der Malware-Entwicklung bekannt.

Zusätzliche Suche und weitere Analysen führten zur Identifizierung mehrerer weiterer Proben zusammen mit einer zugehörigen PlugX-Befehls- und Kontrollinfrastruktur (C2). Die Blog-Quelle bietet einen technischen Überblick über die entdeckte PlugX-Variante, Indikatoren zur Kompromittierung (IOCs), um die Varianten in Netzwerken zu identifizieren, und ein von "Unit 42" entwickeltes Tool zur Entschlüsselung von Payload-Daten.

Kunden von Palo Alto Networks sind mit Cortex XDR oder der Next-Generation Firewall mit WildFire- und Threat Prevention-Sicherheitsabonnement vor PlugX geschützt. AutoFocus-Benutzer können die PlugX- und PKPLUG-Aktivität mithilfe der PlugX- bzw. PKPLUG-Tags verfolgen. Eine vollständige Visualisierung der beobachteten Techniken und ihrer relevanten Vorgehensweisen kann im Unit 42 ATOM Viewer angezeigt werden.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/thor-plugx-variant/

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juli 2021 - Denken wie ein Hacker? Interessiert es Sie auch, wie ein Hacker denkt und was sie in ihren abgedunkelten Zimmern so treiben? Ist es wirklich so einfach, Zugriff auf ein System zu erlangen? Wie sieht es mit Windows- und Hybridumgebungen aus? Verhindern die bestehenden Sicherheitsfeatures tatsächlich alle Angriffe, die zuvor möglich waren? Nun, das tun sie leider nicht! Und um auf der sicheren Seite zu sein, müssen wir wissen, wie die Standardfunktionen Ihrer Windows-Lösungen richtig implementiert und Einstellungen korrekt konfiguriert werden.

Bei unserem Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz vom 21. - 22. September 2021 nehmen Sie die Sicht eines Hackers ein, um Ihr Unternehmensnetzwerk von dessen Standpunkt aus zu betrachten. Denn viele der eingesetzten Hacker-Methoden sind auch für Ihre alltäglichen administrativen Aufgaben sehr hilfreich.

Über Paula Januszkiewicz
Die weltbekannte Sicherheitsexpertin liebt es, Penetration Tests und IT Security Audits durchzuführen. Sie ist Enterprise Security MVP und Trainer (MCT) sowie Microsoft Security Trusted Advisor. Ausserdem zählt sie zu den Top-Speakern bei weltbekannten Konferenzen wie der Microsoft Ignite, RSA oder der Black Hat Konferenz. Daneben wurde Paula schon mehrfach zur besten Referentin bei der Microsoft Ignite gewählt!

Agenda:

• Modul 1: Sicherheit On-Premises: Lösungen von Windows 10 / Windows Server 2016
• Modul 2: Böswillige Aktivitäten: Identitätsdiebstahl und Malware
• Modul 3: Sicherheit für Cloud- und Hybridlösungen: Verwaltung von Hybridumgebungen
• Modul 4: Angriff auf und Absicherung von Windows-Netzwerklösungen
• Modul 5: Zusammenfassung der Windows-Sicherheit

Zielgruppe:
IT- und Sicherheitsexperten, die ihr Wissen und Können auf das nächste Level bringen möchten. Nach diesem Workshop werden Sie mit verschiedenen Hacking Techniken vertraut sein, was Ihnen dabei hilft, sich selbst vor diesen zu schützen.

Paula meint dazu: "Diese Schulung zeigt, wie Fehler, die heutzutage in der Infrastruktur gemacht werden, ausgenutzt werden können. Ist es nicht grossartig, aus den Fehlern Anderer zu lernen? Ein echt cooler Workshop und dazu noch wertvoll für Sie und Ihr Unternehmen!"

Jetzt für den Workshop Hacking and Hardening Hybrid Environment mit Paula Januszkiewicz vom 21. - 22. September 2021 anmelden und von ihrem Wissen profitieren!

Weitere Workshops mit Paula sowie Webinare zu aktuellen Themen und produktspezifische Kurse finden Sie auf unserer Webseite unter Kurse/Events.

Wir freuen uns auf Sie - Mit Sicherheit! Und bleiben Sie gesund.

Ihr Omicron AG Team

30. Juni 2021 - Conti Ransomware sticht als eine der rücksichtslosesten der Dutzenden von Ransomware-Banden hervor, denen wir folgen. Die Gruppe hat mehr als ein Jahr damit verbracht, Organisationen anzugreifen, bei denen IT-Ausfälle lebensbedrohliche Folgen haben können: Krankenhäuser, Notrufdienste, Rettungsdienste und Strafverfolgungsbehörden. Irland muss sich noch von einem Angriff Mitte Mai erholen, der zur Abschaltung des gesamten Informationstechnologienetzwerks des nationalen Gesundheitssystems führte – was zur Absage von Terminen, zur Abschaltung von Röntgensystemen und zu Verzögerungen bei COVID-Tests führte.

Conti sticht auch als unzuverlässig hervor. Wir haben gesehen, wie die Gruppe ihre Opfer, die Lösegeld zahlen und erwarten, ihre Daten wiederherstellen zu können, nach ersten Versprechen dann im Stich lässt.

Das FBI hat Conti mit mehr als 400 Cyberangriffen gegen Organisationen weltweit in Verbindung gebracht, von denen drei Viertel in den USA ansässig sind, mit Forderungen von bis zu 25 Millionen US-Dollar. Das macht Conti zu einer der gierigsten Gruppen da draussen.

Conti Ransomware-Übersicht

Wir begleiten Conti seit mehr als einem Jahr bei unserer Arbeit, um Unternehmen bei der Reaktion auf Ransomware-Angriffe zu unterstützen. Es scheint eine von vielen privaten Cybercrime-Gruppen zu sein, die ihren Betrieb durch die Nutzung des boomenden Ransomware-as-a-Service (RaaS)-Ökosystems aufgebaut haben. Solche Banden gewinnen in den Netzwerken ihrer Opfer Fuss, indem sie sich Zugang von anderen Bedrohungsakteuren erkaufen. Sie können auch Infrastruktur, Malware, Kommunikationstools und Geldwäsche von anderen RaaS-Anbietern beziehen. Die meisten dieser Akteure verwenden dieselben Zugangsmethoden wie bei vielen Ransomware-Angriffen, wie Phishing-E-Mails und die Ausnutzung ungeschützter Anwendungen mit Internetzugriff, das Fehlen einer Multi-Faktor-Authentifizierung (MFA) sowie weitere, typische Zugangswege, wie z. B. durch die Verwendung von Cobalt Strike oder PowerShell.

Diese Ansätze sind nicht besonders clever oder ausgereift, aber oft effektiv. Die Methodik von Conti folgt oft dem Ansatz der „doppelten Erpressung“, den viele führende Ransomware-Gruppen derzeit verwenden. Bei der doppelten Erpressung sperren Angreifer nicht nur die Dateien eines Opfers und verlangen Lösegeld, sondern sie stehlen auch Dateien und drohen, sie auf einer Website zu publizieren oder anderweitig zu veröffentlichen, wenn ihre ursprüngliche Lösegeldforderung nicht erfüllt wird.

Aber die Methoden von Conti haben atypische Elemente.

In der Regel unternehmen die erfolgreicheren Ransomware-Betreiber grosse Anstrengungen, um einen gewissen Anschein von „Integrität“ herzustellen und aufrechtzuerhalten, um Lösegeldzahlungen von Opfern zu erleichtern. Sie wollen einen hervorragenden Ruf für „Kundenservice“ aufbauen und halten, was sie versprechen – dass, wenn Sie ein Lösegeld zahlen, Ihre Dateien entschlüsselt werden (und sie nicht auf einer Leak-Website erscheinen). Nach unserer Erfahrung bei der Unterstützung von Kunden bei der Abwehr von Angriffen hat Conti jedoch keine Anzeichen dafür gezeigt, dass ihr Ruf bei potentiellen Opfern wichtig ist.

In einem kürzlich aufgetretenen Fall hat Conti die Daten eines Kunden, der das Lösegeld bezahlt hatte, nicht zurückgegeben. Dieser Kunde erhielt nur einen kleinen Bruchteil der versprochenen Dateiwiederherstellungen, bevor die Vertreter der Conti-Ransomware wieder im Dark Web verschwanden. In einem anderen Fall benötigte unser Mandant eine Bestandsaufnahme aller abgerufenen Dateien, um Dritte zu benachrichtigen, deren Daten betroffen waren. Conti stimmte zu, diese Informationen weiterzugeben, wenn eine Zahlung geleistet wurde, änderte dann die Meinung und sagte: „Wir besitzen diese Daten nicht mehr. Sie wurden gelöscht und es gibt keine Möglichkeit, diese wiederherzustellen.“ Wie viele Ransomware-Gangs passt sich Conti ständig an Veränderungen an, einschliesslich der jüngsten verstärkten Kontrolle durch Strafverfolgungsbehörden und politische Entscheidungsträger nach hochkarätigen disruptiven Angriffen auf die Colonial Pipeline und Gesundheitsorganisationen. Als sich das irische Gesundheitssystem weigerte, Lösegeld zu zahlen, stellte Conti der Behörde einen angeblich kostenlosen Entschlüsselungsschlüssel zur Verfügung. Aber es gab eine Wendung: Die Gruppe behauptete, dass sie ihre Drohung zur „doppelten Erpressung“ wahr machen würden und gestohlene Daten auf ihrer Leak-Site veröffentlichen.

Fazit

Leider ist es oft nicht einfach, Conti aus Ihrem Netzwerk herauszuhalten. Ein primärer Infektionsweg scheint Phishing-Betrug zu sein, und Angreifer verbessern in diesem Bereich ständig ihr Spiel. Während Phishing-E-Mails früher für fast jeden leicht zu erkennen waren, insbesondere nach einigen Sensibilisierungsschulungen, sehen wir immer raffiniertere Angriffe, bei denen die Bedrohungsakteure viele Hausaufgaben zu ihren beabsichtigten Opfern gemacht haben. Manchmal senden sie eine Flut von Betrugs-E-Mails an Mitarbeiter im gesamten Unternehmen, und es braucht nur Einen, um den Anhang zu öffnen und die Malware im Netzwerk freizugeben.

Ransomware-Angriffe werden immer einfacher, und die Belohnungen für die Angreifer steigen immer noch sprunghaft an. Dementsprechend bleibt es eine Wachstumsbranche, die eine Vielzahl neuer Praktiker anziehen wird, und es ist wahrscheinlich, dass hochkarätige Ziele weiter attackiert werden.

Ganzer Artikel - Quelle: Unit42 von Palo Alto Networks:
https://unit42.paloaltonetworks.com/conti-ransomware-gang/ 

Bei Fragen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner und Authorized Support Center (ASC) in der Schweiz, gerne zur Seite. Natürlich zeigen wir Ihnen Cortex XDR auch gerne live im Einsatz. Wir freuen uns auf Ihre Kontaktaufnahme.

28. Juni 2021 - Sie haben über uns eine PRTG-Lizenz bezogen oder verlängert? Wir möchten dazu beitragen, dass Sie noch lange mit Ihrer PRTG-Installation zufrieden sind. Deswegen bieten wir Ihnen die einmalige Gelegenheit für einen Review Ihrer PRTG-Installation an. Lassen Sie Ihre PRTG-Installation durch unsere Spezialisten in einer Remote-Session prüfen und sich dabei noch den einen oder anderen Tipp geben oder Verbesserungspotential aufzeigen.

Je nach Grösse Ihrer PRTG-Installation rechnen wir mit 2 bis 4 Stunden Aufwand. Wenn Sie möchten können Sie die Resultate des Reviews auch noch in schriftlicher Form erhalten.

Sie möchten von dieser PRTG-Review-Aktion profitieren?

Zögern Sie nicht uns zu kontaktieren und eine Offerte für Ihre PRTG-Umgebung anzufordern. Sie erreichen uns unter der Telefonnummer +41 44 839 11 11 oder per E-Mail.

Übrigens:

Sie haben PRTG im Einsatz und möchten sich weiterbilden? Dann melden Sie sich für unsere PRTG Produktschulung oder das PRTG Advanced Training an. Es lohnt sich.

Wir freuen uns über Ihre Kontaktaufnahme für Ihren PRTG-Review oder Ihre Anmeldung zu einem unserer PRTG-Kurse.

Bei Fragen oder einem persönlichen Termin, stehen wir Ihnen ebenfalls gerne zur Verfügung.

Wir wünschen Ihnen einen tollen Sommer und bleiben Sie gesund.

Ihr Omicron AG Team