Newmedia365.de

Schlagwort: IT-Security

  • Ransomware und Active Directory

    Ransomware und Active Directory

    Ein Kommentar von Carolyn Crandall, Chief Security Advocate bei Attivo Networks

    BildALPHV BlackCat Ransomware ist äußerst raffiniert, da sie manuell über die Befehlszeile gesteuert wird, was es herkömmlichen Technologien schwer macht, diese Angriffen zu erkennen. BlackCat verwendet eine Vielzahl von Verschlüsselungsmodi, verschafft sich über laterale Bewegung administrative Rechte, um sich zwischen Computern zu verbreiten und andere Geräte zu verschlüsseln. Zudem löscht BlackCat Informationen, um eine Wiederherstellung zu verhindern. Diese Gruppe ist auch dafür bekannt, Daten zu stehlen, bevor sie Geräte verschlüsselt, und sie auf Data Leak Sites zu veröffentlichen, um den Druck auf ihre Opfer zu erhöhen.

    Die Kompromittierung von Active Directory ist zum Standard-Angriffsvektor für Ransomware-Angriffe geworden und wurde zweifellos auch von dieser Ransomware genutzt, um die erforderliche Kontrolle über die angegriffene Domain zu erlangen. Active Directory ist die von Unternehmen am häufigsten genutzte Identitätsplattform und gibt Angreifern bei einer Kompromittierung die vollständige Kontrolle und die Möglichkeit, ihre Privilegien zu eskalieren, Sicherheitstools zu deaktivieren, sich lateral im Unternehmen zu bewegen und wertvolle Daten zu stehlen. Der Schutz von Active Directory wird derzeit weder von EDR-Lösungen noch von solchen für das Identity Access Management abgedeckt. Diese konzentrieren sich darauf, den Zugriff zu ermöglichen, anstatt ihn zu verweigern. Um Active Directory wirklich zu schützen, müssen Unternehmen einen mehrgleisigen Ansatz verfolgen, der die Härtung, die Erkennung von Aufklärungs-Aktivitäten und die Verhinderung der Kompromittierung von Domänen umfasst. Neuere IDR-Tools (Identity Detection and Response) sind zu einem unverzichtbaren Bestandteil des Sicherheits-Stacks geworden, um den Diebstahl und Missbrauch von Anmeldeinformationen sichtbar zu machen und zu erkennen.

    Ein Angriff auf Active Directory funktioniert, indem Angreifer privilegierte Konten entdecken und dann Anmeldeinformationen wie Passwörter, Hashes und Kerberos-Tickets stehlen oder Brute-Force-Angriffe wie Passwort-Spray durchführen. Sobald ein Angreifer Accounts mit höheren Privilegien kompromittiert oder eine Schwachstelle in Active Directory gefunden hat, verwendet er Techniken wie Golden- oder Silver-Tickets und Domänenreplikation, um das AD zu übernehmen. Sobald dies geschehen ist, können Angreifer die damit verwalteten Systeme leicht kompromittieren, Hintertüren installieren, Sicherheitsrichtlinien ändern und die Ransomware schnell einsetzen.

    Ausblick

    Angreifer werden immer wieder neue Codes entwickeln, die darauf abzielen, die Abwehrsysteme von Endgeräten zu umgehen. RustyBuer und menschengesteuerte Ransomware sind Möglichkeiten, ein System zu kompromittieren und Hintertüren zu installieren, um ihren Angriff voranzutreiben. Der beste Schutz, abgesehen davon, dass man nicht auf unbekannte Links klickt und keine Makros aktiviert, ist die Installation von Sicherheitssoftware, die die laterale Bewegung eines Angreifers innerhalb des Netzwerks erkennen kann. Angreifer nutzen die Informationssuche, um ihre Ziele ausfindig zu machen und Anmeldedaten zu stehlen, um so ihre Berechtigungen zu erhöhen.

    Wir wissen, dass Ransomware-Angreifer versuchen, Active Directory auszunutzen, um die Kontrolle zu erlangen, die sie benötigen, um Systeme zu verschlüsseln, Sicherheitseinstellungen zu ändern, Backups zu löschen und ihre Spuren zu verwischen. Die beste Verteidigung gegen diese und jede andere Form von Ransomware oder bösartiger Malware besteht darin, laterale Bewegungen zwischen Systemen zu verhindern und Active Directory zu schützen. Herkömmliche Sicherheitskontrollen bieten dieses Maß an Schutz nicht. Unternehmen müssen auf IDR-Lösungen zurückgreifen, um Anmeldedaten und Active Directory-Objekte zu schützen. Außerdem können sie ihre Angriffsfläche mit Tools zur Erkennung von Sicherheitsrisiken reduzieren, die ein Angreifer ausnutzen würde.

    Active Directory-Kontrollen zur Erkennung von Live-Angriffen sind ein Muss, um Angreifer zu erkennen, die versuchen, massenhafte Kontoänderungen, Passwort-Spray-Angriffe, gefährliche Delegierung oder Domänenreplikationsaktivitäten durchzuführen. Wenn Kontrollen für die Identitätssicherheit vorhanden sind, kommt der Angreifer nicht weit, unabhängig von dem Code oder der Technik, die er zu benutzen versucht.

    Verantwortlicher für diese Pressemitteilung:

    Herr Attivo Networks
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Active Directory meist der erste Brückenkopf für Ransomware

    Active Directory meist der erste Brückenkopf für Ransomware

    Nahezu alle heutigen Ransomware-Attacken nutzen das Active Directory ihrer potentiellen Opfer als Brückenkopf im internen Netz, warnen die Sicherheitsspezialisten von Attivo Networks.

    BildZugangsdaten für den initialen Angriff seien leicht zu beschaffen, sei es durch eigene Phishing-Versuche oder den Kauf einschlägiger Daten in den dunklen Ecken des Internets. Selbst mit Passwortrichtlinien und Phishing-Aufklärung sind gestohlene Zugangsdaten reichlich vorhanden, billig und im Dark Web leicht zu erwerben. Wenn ein Angreifer ein großes Unternehmen ins Visier nehmen will, ist es fast unvermeidlich, dass er sich ein Passwort oder eine andere schwache Kennung sichern kann, die ihm einen ersten Zugang ermöglicht.

    Laut Verizon Data Breach Investigations Report spielten im Jahr 2021 gestohlene Zugangsdaten bei über 60 Prozent der Sicherheitsverletzungen eine Rolle. Diese werden dann laut Attivo genutzt, um über das oft nicht ausreichend gesicherte Active Directory (AD) weitere Zugangsdaten und vor allem höhere Zugriffsrechte zu erhalten. Dieser Mangel an Sicherheit im AD liegt demnach vor allem daran, dass zwecks Authentifizierung für seine Benutzer leicht zugänglich sein muss und daher exponiert und schwer zu sichern ist. Zudem ist die Rolle von AD im Netzwerkbetrieb so umfangreich, dass die meisten Unternehmen nicht über das nötige Detailwissen verfügen, um AD-Sicherheitsprobleme zu lösen.

    Visibility ist entscheidend

    Dabei geht es nicht nur darum, bekannte Sicherheitslücken zu schließen oder Fehlkonfigurationen zu korrigieren. Jede ungeschützte Einstellung oder jeder schlecht angepasste Parameter kann es einem Angreifer ermöglichen, das System zu infiltrieren. Der Schutz von AD umfasst die Sichtbarkeit von Schwachstellen, die Live-Erkennung von Angriffen sowie die Verwaltung von Sicherheitsrichtlinien. Zudem müssen Verantwortliche unverzüglich erkennen können, wenn die Compliance mit zwingenden Vorschriften nicht eingehalten wird und Benutzer Sicherheitsrichtlinien nicht konsequent befolgen.

    Mit geeigneten Lösungen für Identity Detection and Response (IDR) kann ein identitätsbasierter Angriff gestoppt werden, indem die Angriffsfläche verkleinert und dem Angreifer der Zugang zu den Ressourcen verwehrt wird, die er zur Ausweitung seines Angriffs benötigt. „Insbesondere geht es dabei darum, die Eskalation von Zugriffsrechten zu verhindern, damit ein Ransomware-Angriff oder ein Eindringen von Bedrohungsakteuren so wenig Schaden wie möglich anrichtet“, kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Allerdings ist es durchaus nicht einfach, solche Aktivitäten zu erkennen, da es viele Techniken gibt, um auf AD zuzugreifen und es auszunutzen, darunter Golden-Ticket-Angriffe, Kerberoasting und Windows Security Identifier (SID) History Injection.“

    Zero Trust und Mehrfaktor-Authentifizierung

    Um auf Anmeldeinformationen basierende Angriffe abzuwehren, sollten Unternehmen laut Attivo Networks bewährte Sicherheitspraktiken wie Zero-Trust befolgen und eine Multi-Faktor-Authentifizierung einführen, anstatt sich auf von Natur aus unsichere Ein-Faktor-Schutzmaßnahmen wie Passwörter zu verlassen. Neue IDR-Lösungen (Identity Detection and Response) bieten eine Reihe von Werkzeugen an, die eine frühzeitige Abwehr von Angriffen mit Zugangsdaten ermöglichen.

    IDR ergänzt Lösungen für Endpoint Detection and Response (EDR) und ist immer häufiger Bestandteil von Extended Detection and Response (XDR). Dabei konzentriert IDR sich auf den Schutz von Anmeldeinformationen, Berechtigungen, Cloud-Berechtigungen sowie der Systeme, die diese verwalten. IDR bietet die Möglichkeit, zu erkennen, wenn Angreifer Anmeldeinformationen von Unternehmen ausnutzen, missbrauchen oder stehlen.

    Außerdem können IDR-Systeme Deception-Technologien umfassen, die Active Directory-Objekte und kritische Daten verstecken, während gefälschte Daten an Endpunkten oder anderen wichtigen Stellen im Netzwerk platziert werden, um Angreifer von den Produktressourcen weg und zu den Täuschungsmanövern zu leiten. Sobald die Täuschungssysteme aktiviert sind, analysieren sie das Verhalten der Angreifer und liefern Informationen für künftige Reaktionen.

    Zudem helfen IDR-Lösungen Unternehmen dabei, ihre Angriffsfläche zu verwalten, indem sie Einblick in kritische Schwachstellen wie an Endpunkten gespeicherte Anmeldeinformationen oder AD-Fehlkonfigurationen geben, die Angreifern den Zugriff auf vertrauliche Daten ermöglichen. Sie können auch übermäßig freizügige Berechtigungen in Cloud-Umgebungen identifizieren, die ungewollt sensible Daten exponieren.

    Verantwortlicher für diese Pressemitteilung:

    Herr Attivo Networks
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Armis sichert seine AWS-Umgebung mit Radware Native Cloud Protector

    Armis, ein globaler Anbieter von Web-basierten Visibility- und Sicherheitslösungen, hat sich für Radwares Cloud Native Protector entschieden, um seine Amazon Web Services (AWS)-Umgebung zu schützen.

    Das „Born-in-the-Cloud“-Unternehmen nutzt die Lösung von Radware, um seine Cloud-Sicherheit zu stärken und potenzielle Schwachstellen zu identifizieren, bevor sie sich zu Bedrohungen entwickeln.

    Die Sicherheitsplattform von Armis ermöglicht es Unternehmen, IoT- und andere nicht verwaltete Geräte sicher zu nutzen und zu steuern, ohne eine Gefährdung durch Cyberangriffe befürchten zu müssen. Armis war auf der Suche nach einer Lösung, die seinem DevOps-Team volle Transparenz und Kontrolle über seine Public-Cloud-Umgebung bietet. Das Unternehmen wandte sich an Radware, um seinem Team die Überwachung von Assets und des Zugriffs auf sensible Ressourcen sowie die Erkennung verdächtiger Aktivitäten zu erleichtern.

    „Das Team von Radware weiß, dass wir ein dynamisches Unternehmen sind, dessen Anforderungen sich ständig ändern“, sagt Roi Amitay, Head of DevInfra bei Armis. „Der Cloud Native Protector von Radware spielt eine wichtige Rolle bei der Sicherung unserer Cloud-Umgebung. Er hilft uns, unsere gesamte Cloud zu überblicken und uns auf das Wesentliche zu konzentrieren.“

    Automatisierte Analyse

    Die Lösung von Radware verbessert die Sichtbarkeit und Kontrolle von Armis über seine Public-Cloud-Umgebung. Sie automatisiert die Analyse und benachrichtigt Armis über alle exponierten Assets und potenziellen Cyberangriffe, um dem Unternehmen zu helfen, seine Arbeit zu priorisieren.

    „Cloud-native Unternehmen wie Armis haben Sicherheitsanforderungen, die spezielle Lösungen erfordern“, sagt Gilad Barzilay, Director of Public Cloud Sales bei Radware. „Unser Cloud Native Protector sichert nicht nur die Cloud-Workloads von Armis, sondern bewertet auch kontinuierlich die Risiken und verbessert die Transparenz und Governance ihrer Cloud.“

    Cloud Native Protector

    Radwares Cloud Native Protector ist eine agentenlose Lösung, die umfassende Sichtbarkeit und zentralisiertes Reporting für Workloads und Accounts auf AWS und Microsoft Azure bietet. Sein intuitives 360-Grad-Dashboard zeigt Warnungen über Accounts und Clouds hinweg an, wobei die Alerts nach Risiko priorisiert werden. So wissen Security-Mitarbeiter, auf welche Warnung sie sich zuerst konzentrieren müssen. Mithilfe eines mehrschichtigen Ansatzes, der einerseits die Cloud selbst und andererseits Bedrohungen für einzelne Workloads abdeckt, identifiziert und verhindert die Lösung auch die unerwünschte Exponierung von Assets, Fehlkonfigurationen, übermäßige Berechtigungen und bösartige Aktivitäten in der Cloud.

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Gießelbach
    Robert-Bosch-Str. 11a
    63225 Langen
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: https://www.radware.com
    email : radware@prolog-pr.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Ransomware 2.0: Attivo Networks warnt vor schnellen Fortschritten

    Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher, warnen die Sicherheitsexperten von Attivo Networks.

    Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden eingesetzt oder die Aktivitäten von einem menschlichen Kontrolleur gelenkt. Bei diesen Attacken verbringen die Angreifer deutlich mehr Zeit mit der Erkundung, um geschäftskritische Ressourcen für die Verschlüsselung zu identifizieren. Da diese Ressourcen – etwa das Active Directory – für die Business Continuity und den täglichen Betrieb unerlässlich sind, sind Unternehmen eher bereit, für deren Wiederherstellung zu zahlen als bei Endpunktsystemen, die relativ einfach wiederherzustellen sind.

    „Angreifer, die die gesamte Active Directory-Serverinfrastruktur verschlüsseln, können ein viel höheres Lösegeld verlangen, und das Unternehmen muss zahlen oder es verliert Geld, Zeit und Ressourcen bei dem Versuch, den Betrieb wiederherzustellen“ kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Darüber hinaus exfiltrieren diese Angreifer oft Daten und drohen mit deren Veröffentlichung – oft in Kombination mit einer zweiten Lösegeldforderung, um diese Veröffentlichung zu verhindern.“

    Ransomware 2.0 kommt in vielen Varianten, sechs davon haben sich im Laufe der vergangenen Monate besonders hervorgetan:

    – Conti
    – Hive
    – DarkSide
    – Lockbit 2.0
    – BlackMatter
    – IcedID

    Conti ist eine von Menschen betriebene Ransomware-as-a-Service (RaaS), die bei Angreifern sehr beliebt ist. Bis zum dritten Quartal dieses Jahres lag Conti beim Marktanteil an erster Stelle. Im Herbst wurde die Bedrohung so groß, dass in den USA das FBI, die NSA und die CISA eine gemeinsame Ransomware-Beratung veröffentlichten, um Unternehmen dabei zu helfen, ihr Risiko einer Kompromittierung zu verringern. Conti arbeitet mit einer doppelten Erpressungstechnik, bei der sich der Schädling seitlich im Netzwerk ausbreitet, bis er die Anmeldedaten von Domain-Administratoren erlangen kann.

    Hive ist ein weiteres Beispiel für eine von Menschen betriebene Ransomware mit doppelter Erpressung. Sie ist relativ neu auf der Bildfläche und wurde erstmals im Juni 2021 entdeckt. Aber sie hat sich schnell entwickelt: Nur zwei Monate später, im August, wurden 30 Opfer gemeldet. Die rasche Verbreitung dieser Ransomware führte zu einer weiteren FBI-Warnung.

    DarkSide, die Gruppe hinter dem diesjährigen Colonial-Pipeline-Angriff, ist eine osteuropäische Hackergruppe, die hauptsächlich mit Ransomware und Erpressung arbeitet. Der Angriff auf die Colonial Pipeline war für viele kritische Infrastrukturen ein Alarmsignal. Er zwang das Unternehmen, den Betrieb für mehrere Tage einzustellen, und führte zum Verlust von mehr als 100 GB an Unternehmensdaten. DarkSide nutzt häufig den Diebstahl von Anmeldeinformationen, den Zugriff auf Active Directory (AD) und die Ausweitung von Berechtigungen, um seine Ziele zu erreichen.

    LockBit 2.0 ist ein weiteres Beispiel für RaaS mit doppelter Erpressung und nutzt Active Directory-Gruppenrichtlinien, um die Netzwerkverschlüsselung zu automatisieren. Die extrem schnelle und effiziente Verschlüsselung ist eines der Markenzeichen von LockBit 2.0, das derzeit auf Platz vier der Marktanteile rangiert. Der bekannteste LockBit 2.0-Angriff war der Accenture-Hack, bei dem rund 2.500 Computer betroffen waren. Die Täter forderten 50 Millionen Dollar für die Rückgabe der gestohlenen Informationen.

    BlackMatter ist eine weitere RaaS-Variante und vereint Elemente von DarkSide, REvil und LockBit zu einer leistungsfähigen Kreation. BlackMatter hat es im Allgemeinen auf kritische Infrastrukturen abgesehen, geht aber über den Transport- und Energiesektor hinaus und greift auch den Lebensmittel- und Landwirtschaftssektor an. Zu seinen Taktiken gehören das Ausspähen von Anmeldeinformationen und das Angreifen von Active Directory.

    IcedID ist ein modularer Banking-Trojaner, der es auf die Finanzdaten der Benutzer abgesehen hat und gleichzeitig als Mittel zum Herunterladen anderer bösartiger Programme dient, darunter beliebte Hacker-Tools wie CobaltStrike. Zudem ist IcedID in mehreren aktuellen Ransomware-Angriffen aufgetaucht. IcedID wird allgemein als geistiger Nachfolger von Emotet angesehen, einem anderen weit verbreiteten Trojaner, der über Spam-E-Mails verbreitet wird.

    Ransomware 2.0-Angriffe können laut Attivo Networks recht gut analysiert werden, indem man ihre Techniken auf dem MITRE ATT&CK Framework abbildet, um zu verstehen, wie sie funktionieren. Anschließend findet man in MITRE Shield dann die entsprechenden Abwehrtechniken, um sie zu bekämpfen.

    MITRE ATT&CK ist ein Framework für die Beschreibung von Aktionen eines Angreifers und beschreibt deren Taktiken, Techniken und Prozeduren (TTPs). Als Ergänzung zu ATT&CK ist MITRE Shield eine kostenlose, öffentlich zugängliche Wissensdatenbank, die Daten aus aktiven Verteidigungsmaßnahmen erfasst und organisiert.

    Verantwortlicher für diese Pressemitteilung:

    Herr Attivo Networks
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Active Directory bietet gefährliche Angriffsfläche

    Active Directory bietet gefährliche Angriffsfläche

    Statistiken einer Studie zu Angriffen auf Active Directory in Unternehmen

    BildEtwa jedes zweite Unternehmen hat in den vergangenen 24 Monaten einen Angriff auf sein Active Directory (AD) verzeichnet, und in vier von fünf Fällen war dieser auch erfolgreich. Dies ist das Ergebnis einer Studie von Enterprise Management Associates (EMA), die teilweise von Attivo Networks finanziert wurde. Ein ebenso beunruhigendes Ergebnis war, dass Penetrationstester sogar in 82 Prozent der Fälle Sicherheitslücken von AD erfolgreich ausnutzen konnten.

    Die EMA-Studie konzentriert sich auf den Verzeichnisdienst von Microsoft, der weltweit von 90 Prozent der Unternehmen aller Größenordnungen genutzt wird. Er untersucht die Herausforderungen und Bedrohungen, mit denen Unternehmen beim Schutz von AD konfrontiert sind, und zeigt auf, wie sie auf diese wachsenden Probleme reagieren können.

    Als Reaktion auf die Attacken gegen Active Directory planen 86 Prozent der von EMA befragten Unternehmen, ihre Investitionen in die AD-Sicherheit zu erhöhen. Als Hauptgründe dafür nennen sie die zunehmende Verbreitung von AD-Angriffen (25 Prozent), die Zunahme von Remote- oder Heimarbeitsplätzen (18 Prozent), die Ausweitung der Cloud-Nutzung (17 Prozent) und die Verbreitung fortgeschrittener Angriffe wie Ransomware 2.0 (15 Prozent). Derzeit nutzen knapp zwei Drittel Tools für die Erkennung von AD-Angriffen sowie EDR-Tools (Endpoint Detection and Response), während lediglich etwas mehr als die Hälfte (55 Prozent) Endpunkt-Schutzplattformen (EPPs) verwendet. Zu den weiteren nennenswerten Schutzmaßnahmen der Befragten gehören Tools zur Verhaltensanalyse (40 Prozent), SIEM- und Protokollanalysetools (36 Prozent) sowie relativ neue Verfahren für Identity Detection and Response (IDR – 27 Prozent).

    Rechteverwaltung als Hauptproblem

    Als wesentliche Sicherheitsprobleme nannten die Befragten die Rechte-Eskalation, übermäßige Zugriffsrechte sowie mangelnde Transparenz, die eine Erkennung von Missbrauch und Richtlinienabweichungen erschwert. Ein effektiver Schutz von Active Directory erfordert daher nicht nur eine sorgfältige Berechtigungskontrolle und Zugriffsverwaltung, sondern auch umfassende Visibility und eine Live-Erkennung von Angriffen.

    „Angreifer nutzen die Feinheiten von Active Directory, um über eine exponentiell steigende Anzahl von Angriffsvektoren in die Umgebung einzudringen, wobei sie sich innerhalb von Active Directory praktisch unentdeckt bewegen können“, so Paula Musich, Research Director, Security and Risk Management bei Enterprise Management Associates. „Die gute Nachricht ist, dass eine solide Mehrheit der Unternehmen diese Bedrohung erkannt hat und plant, die Ausgaben für die AD-Sicherheit zu erhöhen.“

    „Die größten Herausforderungen beim Schutz von Active Directory sind die Erkennung von Live-AD-Angriffen, die mangelnde Transparenz der AD-Umgebung und die notwendige Koordination der AD-Sicherheitskommunikation über mehrere Teams hinweg“, kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Die Identity Detection and Response (IDR)-Lösungen von Attivo setzen genau an dieser Schutzlücke an und bieten einen entscheidenden Einblick in die AD-Umgebung, so dass Unternehmen AD-Angriffe in Echtzeit abwehren und Risiken innerhalb ihrer AD identifizieren können, bevor böswillige Akteure sie ausnutzen.“

    Verantwortlicher für diese Pressemitteilung:

    Herr Attivo Networks
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Attivo schützt Zugangsdaten vor Diebstahl

    Attivo Networks Endpoint Detection Net

    Als Teil der Endpoint Detection Net (EDN) Suite hat Attivo Networks mit ThreatStrike eine Möglichkeit vorgestellt, mit der Unternehmen echte Anmeldedaten vor Angreifer-Tools verbergen und sie an ihre Anwendungen binden können. Darüber hinaus kann die Lösung als Köder fungierende Zugangsdaten einsetzen, um aktuelle Bedrohungsdaten zu sammeln. Der Diebstahl von Anmeldeinformationen ist die erste Phase eines Angriffs mit lateralen Bewegungen, und das frühzeitige Stoppen des Angriffs kann einen wesentlichen Einfluss auf den Erfolg des Angreifers und den Schaden des Opfers haben

    Laut dem Data Breach Investigation Report 2021 von Verizon gehören Zugangsdaten nach wie vor zu den von Angreifern am meisten begehrten Datentypen (60 %). Gestohlene Anmeldedaten waren die Ursache für einige der größten und kostspieligsten Datenschutzverletzungen.

    Attivo ThreatStrike verbirgt und verweigert unbefugten Zugriff auf Anwendungen. So hat beispielsweise nur der Chrome-Browser Zugriff auf seine Anmeldedaten-Speicher, alle anderen Anwendungen nicht. Das Produkt unterstützt zum Start 75 der beliebtesten Windows-Anwendungen, auf die Angreifer abzielen, und soll in Zukunft um weitere Anwendungen ergänzt werden.

    Zugriff nur für zugelassene Systemsoftware

    „Der Vorteil des Schutzes von Anmeldedaten besteht darin, dass nur zugelassene Systemsoftware auf sie zugreifen kann“, sagt Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Unternehmen profitieren von der Verhinderung unbefugten Zugriffs, der zu Angriffen auf Anmeldedaten wie Pass-the-Hash, Pass-the-Ticket und Passwortdiebstahl führen kann, die extrem schwer zu erkennen und zu stoppen sind.“

    Die neue Fähigkeit adressiert direkt ausgefeilte Angriffstechniken, wie sie in der MITRE ATT&CK Credential Access Tactic beschrieben werden, wie OS Credential Dumping (T1003), Credentials from Password Store (T1555), Unsecured Credentials (T1552), Steal or Forge Kerberos Tickets (T1558) und Steal Web Session Cookie (T1539). Da die Anmeldedaten für Angreifer nun nicht mehr sichtbar sind, legt die ThreatStrike-Lösung einen Köder auf dem Endgerät aus, der als gängige Windows-, Mac- und Linux-Anmeldedaten erscheinen soll. Bei der Erkundung durch Angreifer erscheinen diese Köder als attraktive Beute für Angreifer im Netzwerk, die sie stehlen können, und geben so Hinweise auf deren Aktivität.

    Cloaking statt Deception

    Mit der Einführung von Credential Cloaking erweitert Attivo Networks sein Portfolio an Cloaking-Technologien. Das Unternehmen kann derzeit Active Directory-Objekte, Dateien, Ordner, Netzwerk- und Cloud-Freigaben sowie Wechsellaufwerke tarnen. Diese Technologie unterscheidet sich deutlich von der herkömmlichen Deception-Technologie, bei der gefälschte Objekte unter echte Objekte gemischt werden. Die Cloaking-Technologie verbirgt stattdessen echte Objekte und setzt gefälschte Daten an deren Stelle.

    Die Attivo Networks Endpoint Detection Net (EDN) Suite ist eine Komponente des IDR-Angebots (Identity Detection and Response) des Unternehmens. Die EDN-Lösung des Unternehmens umfasst:

    ThreatStrike für den Schutz von Zugangsdaten, ADSecure für den Schutz von Active Directory sowie ThreatPath für die Sichtbarkeit des Angriffspfads auf Anmeldedaten und die Reduzierung der Angriffsfläche. Die Komponente Deflect verhindert die Erstellung von Fingerabdrücken von Endpunkten, um Ziele und Schwachstellen zu identifizieren, die ausgenutzt werden können und das ‚Zentrale Management‘ verwaltet EDN und bietet durch Lizenzierung die Möglichkeit, die Sichtbarkeit von Active Directory und Cloud-Berechtigungen sowie von Schwachstellen zu erhöhen.

    Verantwortlicher für diese Pressemitteilung:

    Herr Attivo Networks
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Hackers Inside

    Hackers Inside

    München, 03.11.21: Durch Cyberattacken entstand der deutschen Wirtschaft 2020/21 ein Gesamtschaden von 223 Milliarden Euro. Damit gibt es einen Rekord, denn die Schäden haben sich mehr als verdoppelt.

    Bild Die Angriffe sind so vielfältig wie grausam, ob Produktionsstätten lahmgelegt werden, Krankenhäuser gestört oder Schutzgeld erpresst wird, ganze neun von zehn Unternehmen (88 Prozent) waren 2020/2021 von Angriffen betroffen. Täglich kommen über 500.000 neue Schadprogramm Varianten auf den Markt. Noch erschreckender als diese Zahlen ist der Fakt, das Social Engineering immer noch das meist gewählte und erfolgreichste Mittel der Hacker ist. Der Faktor Mensch ist die Schwachstelle im Unternehmen und diese ist natürlich im Zuge der Heimarbeit noch gewachsen. 

    Die Hacker nutzen oftmals das schwächste Glied der Sicherheitskette aus, um zum Beispiel sensible Daten wie Passwörter zu erhalten. Laut bitkom Studie gab es bei 41 Prozent der befragten Unternehmen Social-Engineering Versuche, davon wurden 27 Prozent per Telefon kontaktiert und 24 Prozent per E-Mail.

    Um hier etwas Aufklärungsarbeit zu leisten und die Sensibilisierung in den Unternehmen zu unterstützen, bietet die planet 33 AG am: 11. November 2021 um 11 Uhr das kostenlose Webinar „HACKERS INSIDE“ an. Einer der besten Hacker Deutschlands Immanuel Bär, der inzwischen als Penetrationtester u.a. für die Regierung arbeitet, wird am 11. November aus dem Nähkästchen plaudern und aufzeigen, wie man sich schützen kann und worauf man als User achten muss. Anmeldungen sind noch bis 10. November 2021 unter: www.planet33.com/hackers-inside-webinar möglich.

    Verantwortlicher für diese Pressemitteilung:

    planet 33
    Herr Martin Endres
    Hofmannstr. 52
    81372 München
    Deutschland

    fon ..: 01602271411
    web ..: https://www.planet33.com
    email : info@planet33.com

    Über planet 33
    Seit der Gründung vor 20 Jahren hat sich planet 33 zum ausgewachsenen Spezialisten für Cloudservices entwickelt. Mit über 20 Mitarbeitern und 5 Millionen Euro Umsatz pro Jahr bietet planet 33 mittelständischen Unternehmen nicht nur klassische ITK-Dienstleistungen, sondern auch zukunftsweisende Cloud-Services und Security-Lösungen an.

    Pressekontakt:

    planet 33
    Frau Berchtold Sandra
    Hofmannstr. 52
    81372 München

    fon ..: 01602271411
    email : s.berchtold@planet33.com

  • Akuter Handlungsbedarf: IT-Sicherheit muss dringend verbessert werden

    Akuter Handlungsbedarf: IT-Sicherheit muss dringend verbessert werden

    Anovis bietet Unternehmen mit Security Monitoring ganzheitliches Sicherheitskonzept

    BildWien, 13.09.2021. Ransomware-, Cloud- und Phishing-Angriffe, Software-Schwachstellen, veraltete Systeme, unachtsame Mitarbeiter – moderne Unternehmen sind einer ganzen Flut von Security-Risiken ausgesetzt. Erfolgreiche Cyberattacken führen häufig zu massiven Schäden, von folgenschweren Betriebsausfällen über Lösegeldforderungen bis hin zu groben Imageverlusten und rechtlichen Konsequenzen. Die meisten Unternehmen haben zwar bereits Schutzmaßnahmen ergriffen, häufig reichen diese aber nicht weit genug und umfassen nicht alle notwendigen Bereiche. Mit „Anovis Security Monitoring“ schafft Security- und Connectivity-Spezialist Anovis jetzt Abhilfe.

    Die Zahl der Cyberangriffe steigt rasant: IT-Systeme, die ungesichert mit dem Internet verbunden sind, werden bis zu 70mal pro Minute von Hackern angegriffen (1). Dazu kommt die Alarmmüdigkeit der Security-Verantwortlichen in den Unternehmen: Selbst, wenn Security Events bereits gesammelt und ausgewertet werden, das große Volumen an sicherheitsrelevanten Meldungen und die vielen Fehlalarme bringen Mitarbeiter an ihr Limit. Bei einer Studie von IDC und FireEye gaben 35 % der befragten internen Security-Analysten an, dass sie Alarme ignorieren. (2) Bei täglich Tausenden Meldungen ist es kaum mehr möglich, zu bewerten, welche Sicherheitsvorfälle kritisch sind und welche unwichtig. Das führt dazu, dass Warnmeldungen ignoriert und Alerts deaktiviert werden. Als Konsequenz steigt die Gefahr, dass erfolgreiche Angriffe übersehen werden. Ohnehin dauert es bis zu 300 Tage, bis erfolgreiche Einbrüche in die IT-Systeme von Unternehmen entdeckt werden – mehr als genug Zeit für Hacker, viel Schaden anzurichten. Hier gilt es für Unternehmen, sich nicht nur auf externe Hinweise von CERTs (Computer Emergency Response Team) o.ä. zu verlassen, sondern vor allem vorhandene Log-Daten optimal zu nützen und auszuwerten, um diese so genannte Dwell-Time möglichst zu reduzieren.

    „Die Situation ist hochriskant für jedes Unternehmen. Ziel muss es daher sein, nicht nur vor Angriffen geschützt zu sein, sondern vor allem betriebsfähig zu bleiben, auch wenn eine Attacke erfolgreich ist – was im Übrigen auch Prof. Edgar Weippl kürzlich konstatierte“, erklärt Gerhard Iby, Head of Sales bei Anovis. „Ausnahmslos jedes Unternehmen braucht eine ganzheitliche Security-Strategie. Sehr viele Unternehmen benötigen, auch angesichts des anhaltenden Fachkräftemangels, Experten-Unterstützung bei der Implementierung dieser Strategie und im operativen Betrieb. Darüber hinaus erledigen Managed Services Provider wie Anovis diese Aufgaben meist günstiger, da sie sich Skaleneffekte zu Nutze machen.“

    Eine ganzheitliche Security-Strategie hat drei Säulen
    Die frühzeitige Identifizierung von Bedrohungen und Risiken, die Erkennung von Angriffen sowie die schnelle Reaktion und Wiederherstellung des ordentlichen Geschäftsbetriebs sind heute zwingend, um einen umfassenden Schutz gewährleisten zu können. Daher muss eine ganzheitliche Strategie folgende Bereiche beinhalten: Prevention – Detection – Response. Die meisten Unternehmen haben bereits in präventive Maßnahmen (Prevention) investiert. Vernachlässigt wurden dagegen das Aufspüren von Angriffen (Detection) und die Antwort auf erfolgreiche Angriffe (Response).

    Anovis Security Monitoring erhöht die Sicherheit um ein Vielfaches
    Anovis bringt mit dem Managed Security Service „Anovis Security Monitoring (ASM)“ ein Angebot, das aus mehreren Managed Services im Bereich Prevention & Detection, einem Managed Security Monitoring Service sowie einem 24/7 Managed Security Detection & Response Service besteht. Im Detail unterstützt Anovis mit diesem Lösungspaket Unternehmen durch:

    – Proaktive 24/7 Überwachung von Sicherheitsereignissen.
    – Echtzeiterkennung von Sicherheitsvorfällen und Darstellung der Bedrohungslage.
    – Bewertung auftretender Security-Events.
    – Schutz vor internen und externen Bedrohungen.
    – Visualisierung des IT-Sicherheitsstatus.
    – Kontinuierliche Verbesserung der Informationssicherheit.
    – Reduktion der Zeit, um Angriffe zu erkennen.
    – Lieferung der Grundlage für eine schnelle Reaktion auf Cyber Security Vorfälle.
    – Verbesserung der Reaktionsfähigkeit.
    – Proaktives Minimieren von Sicherheitslücken zur Verhinderung von Cyberangriffen.
    – Einleitung von Maßnahmen, um Cyberangriffe abzuwehren.
    – Reduktion von Schäden durch schnelle Angriffserkennung und sofortige Reaktion auf Alarme, 7/24/365.

    „Wir wissen, dass die IT-Teams in vielen Unternehmen hoch belastet sind. Daher haben wir unser Angebot als Managed Service ausgerichtet und unterstützen in allen drei Bereichen der Security-Strategie. Nur durch umfassende Sicherheitsmaßnahmen können Cyberangriffe und die daraus resultierenden Schäden abgewehrt oder auf ein Minimum reduziert werden. Häufig sind die Systeme dafür schon vorhanden und es fehlt lediglich jemand, der die Vorfälle sichtbar macht und darauf adäquat reagiert. Professionelle und vor allem ganzheitliche IT-Sicherheit ist in der digitalisierten und wettbewerbsintensiven Geschäftswelt unverzichtbar und für die meisten Unternehmen auch überlebenswichtig“, so Iby.

    (1) https://www.comparitech.com/blog/information-security/honeypot-computer-study/
    (2) https://www.computerworld.ch/security/studie/35-prozent-soc-mitarbeiter-ignorieren-alarme-2634031.html

    Verantwortlicher für diese Pressemitteilung:

    anovis it-services and trading gmbh
    Frau Sabrina Novak
    Rennweg 97-99
    1030 Wien
    Österreich

    fon ..: +4343 1 712 40 70
    web ..: https://anovis.com
    email : office@anovis.com

    Über Anovis
    Anovis betreibt unter dem Dach der Schweizer CymbiQ Group weltweit 24/7 tausende IT-Security Systeme und kooperiert mit namhaften Partnern wie beispielsweise A1 Telekom Austria AG, T-Systems, Cisco, Barracuda Networks, CyberTrap, Ergon Informatik, Extreme Networks, Forcepoint, Lastline, Nozomi Networks, Proofpoint oder Riverbed. Das Unternehmen bietet auf Kundenbedürfnisse maßgeschneiderte 24/7 Services rund um das Thema IT-Security und IT-Infrastruktur. Mit Firmenstammsitz in Österreich (Wien) und verteilten Standorten ist Anovis Dienstleistungsspezialist im Bereich Connectivity und Security. Anovis steht für hervorragende Qualität in der Projektumsetzung, im 24/7 Betrieb und in der Erbringung von IT-Services.
    Mehr über Anovis: https://anovis.com/

    Pressekontakt:

    ProComm
    Frau Gabriela Mair
    Urbangasse 21/1/11
    1170 Wien

    fon ..: +436769083571
    web ..: https://www.procomm.biz
    email : g.mair@procomm.biz

  • Attivo Networks neuer ADAssessor reduziert Risiken im Active Directory

    Attivo Networks neuer ADAssessor reduziert Risiken im Active Directory

    ADAssessor erkennt und behebt Sicherheitslücken

    BildAttivo Networks hat mit dem ADAssessor eine neue und innovative Methode zur Erkennung und Behebung von Sicherheitslücken in Active Directory (AD) auf den Markt gebracht, die von Hackern ausgenutzt werden könnten, um privilegierte Zugänge zu kritischen Ressourcen zu erlangen. Active Directory ist ein Verzeichnisdienst, der vom Großteil aller Unternehmen für die Authentifizierung von Mitarbeitern, das Identitätsmanagement und die Zugriffskontrolle genutzt wird. Seine Absicherung ist bekanntermaßen komplex, da Angreifer bei über 80 % aller Angriffe privilegierten Zugriff nutzen, den AD kontrolliert. Die neue ADAssessor-Lösung reduziert dieses Risiko, indem sie Schwachstellen im AD aufspürt, diese erklärt und Möglichkeiten zu derer Beseitigung aufzeigt. Damit werden die Möglichkeiten des Angreifers eingeschränkt, sensible Ziele zu identifizieren, Fehlkonfigurationen auszunutzen, sich lateral zu bewegen und Persistenz zu erlangen.

    Der ADAssessor ergänzt Attivos bestehende Suite von Lösungen für die Sicherheit von Active Directory. Dazu gehören ADSecure, um Angreifer daran zu hindern, privilegierte Anmeldeinformationen in Active Directory einzusehen und darauf zuzugreifen, sowie ThreatPath, das laterale Angriffspfade identifiziert und beseitigt und somit die Angriffsflächen für Angreifer reduziert.

    ADAssessor bietet unter anderem:

    Sichtbarkeit von AD-Sicherheitsproblemen und verwertbare Warnmeldungen zu wichtigen Schwachstellen auf Domänen-, Computer- und Benutzerebene
    Echtzeit-Erkennung von AD-Privilegien-Eskalation und Domain-Kompromittierung sowie granulare Zugriffsbeschränkungen auf AD-Informationen ohne Beeinträchtigung der Geschäftsabläufe
    Kontinuierlicher Einblick in die Risiken von Identitäten und privilegierten Konten in Bezug auf Anmeldeinformationen, Service-Accounts, delegierte Konten, veraltete Accounts und gemeinsam genutzte Anmeldeinformationen
    Hohe Transparenz für Sicherheitsteams, da sie die Lösung von einem einzigen Endpunkt aus ausführen können, ohne privilegierten Zugriff auf Active Directory zu benötigen

    „Der Schutz von Active Directory sollte auf dem Radar eines jeden Führungsteams stehen“, so Jens Wollstädter, Regional Manager DACH von Attivo Networks. „Bei fast jedem aktuellen Angriffen auf Unternehmen sehen wir, dass Active Directory ausgenutzt wird um so erhöhte Privilegien zu erhalten. Active Directory ermöglicht es einem Angreifer, kritische Ressourcen und Identitäten zu kompromittieren, sich Zugang zu wichtigen Anwendungen und Daten zu verschaffen und Sicherheitsrichtlinien zu manipulieren. Die Folgen können katastrophal sein.“

    Verantwortlicher für diese Pressemitteilung:

    Attivo Networks
    Herr Jens Wollstädter
    Fremont Boulevard 46601
    94538 Fremont
    USA

    fon ..: +49 89 800 77-0
    web ..: https://attivonetworks.com
    email : attivo@prolog-pr.com

    Attivo Networks ist ein führender Anbieter für Security-Lösungen, die auf Deception-Technologie basieren. Die Lösungen erkennen Angriffe, die auf lateralen Bewegungen basieren. Um unautorisierte Aktivitäten zu verhindern und aufzudecken, die von Insidern und externen Bedrohungen ausgehen, bieten sie eine aktive Verteidigung. Die langjährig kundenerprobte Attivo ThreatDefend-Plattform ist eine skalierbare Lösung, die Angreifer abfängt und zur Reduzierung der Angriffsfläche innerhalb von Anwendernetzwerken, in Rechenzentren, Clouds, an Remote-Arbeitsplätzen und speziellen Angriffsvektoren beiträgt. Mit innovativer Technologie zur Unterbindung und Fehlleitung lateraler Angriffsaktivitäten arbeitet die Lösung am Endpunkt, im Active Directory und im gesamten Netzwerk. Forensik, automatisierte Angriffsanalysen und eine native Integration von Drittanbieter-Lösungen optimieren die Reaktion auf Vorfälle.

    Attivo Networks hat bisher über 130 Auszeichnungen für seine technologische Innovation und Führungsrolle erhalten.

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Botnet-Betreiber werden immer agiler

    Botnet-Betreiber werden immer agiler

    Der aktuelle Threat Alert von Radware

    BildBereits nach weniger als einer Woche wurde die von IoT Inspectors entdeckte Schwachstelle CVE-2021-35395 von RealTek-Chipsets in ein Son-of-Mirai-Botnet integriert. Dies berichten die Sicherheitsforscher von Radware in einem aktuellen Threat Alert. Die von Radware als Dark.IoT bezeichnete Mirai-Variante wurde bereits Anfang des Jahres von Palo Alto Networks und Juniper Threat Labs gemeldet, wobei Juniper davor warnte, dass eine zwei Tage alte Sicherheitslücke in die Software von Dark.IoT eingeschleust wurde. Durch die Ausnutzung dieser Schwachstelle durch ein Mirai-Botnet sind nun IoT-Geräte von 65 verschiedenen Herstellern, die auf den Chipsets und dem SDK (Software Development Kit) von Realtek basieren. anfällig dafür, in dieses Botnet integriert zu werden.

    Für die Sicherheitsforscher von Radware bestätigt sich damit ein Trend. In den letzten sechs Monaten haben die Betreiber von Dark.IoT versucht, mehr als ein Dutzend Sicherheitslücken auszunutzen, darunter die kürzlich bekannt gewordenen CVE-2021-20090 und CVE-2021-35395, um ihre Malware zu verbreiten und mehr Geräte zu infizieren. Allerdings ist Dark.IoT laut Radware selbst nicht in der Lage, eigene Exploits zu entwickeln, sondern wartet darauf, dass White Hats einen Proof-of-Concept (PoC) für neu entdeckte Schwachstellen veröffentlichen, die sie dann innerhalb weniger Tage in ihr Botnet einbauen.

    „In den letzten sechs Monaten haben die Betreiber von Dark.IoT versucht, mehr als ein Dutzend Schwachstellen auszunutzen, darunter auch die kürzlich bekannt gewordene Realtek SDK-Schwachstelle“, so Daniel Smith, Leiter der Forschungsabteilung bei Radware. „Die Betreiber hinter dieser Kampagne haben es sich zur Aufgabe gemacht, neue Schwachstellen zu finden und auszunutzen und weitere anfällige Geräte zu kapern, die für größere DDoS-Angriffe genutzt werden können. Es ist zu erwarten, dass die Betreiber hinter Dark.IoT dieses Muster der schnellen Ausnutzung kürzlich bekannt gewordener Schwachstellen für den Rest des Jahres 2021 fortsetzen werden.“

    Wettbewerb um anfällige Ressourcen

    Die Betreiber von Dark.IoT hatten laut Smith bisher einen guten Lauf, haben viele Varianten entwickelt und zahlreiche Exploits ausgenutzt. Die Kampagne hat Forschern andererseits in diesem Jahr auch mehrere Gelegenheiten geboten, die Versuche und Fehler bei der Entwicklung und dem Aufbau eines DDoS-Botnets zu untersuchen. Einer der schwierigsten Aspekte beim Aufbau eines guten Botnets ist der Wettbewerb um anfällige Ressourcen. Diejenigen, die wie Dark.IoT keine Exploits entwickeln oder entdecken können, sind auf die Veröffentlichung von Informationen angewiesen. Sobald ein PoC veröffentlicht wird, beginnt ein Wettlauf darum, als Erster die Schwachstelle auszunutzen und so viele anfällige Geräte wie möglich zu sammeln. „Dieser Prozess ist eine Frage von Trial and Error“, so Smith, „und einige Bedrohungsakteure wissen nicht immer, wie sie die Schwachstellen richtig ausnutzen können, während diejenigen, die es schaffen, auch manchmal feststellen, dass der Versuch ihre Zeit und Mühe nicht wert war.“

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Gießelbach
    Robert-Bosch-Str. 11a
    63225 Langen
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: https://www.radware.com
    email : radware@prolog-pr.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • DDoS-Attacken nehmen um 40% im Vergleich zum Vorjahr zu

    DDoS-Attacken nehmen um 40% im Vergleich zum Vorjahr zu

    Der DDoS Attack Report vom Q2 2021 von Radware

    BildDas Volumen von DDoS-Attacken (Distributed Denial of Service) ist weltweit im zweiten Quartal gegenüber dem Vergleichszeitraum des Vorjahrs um 40 Prozent angestiegen. Dies ist eine der wesentlichen Erkenntnisse des quartalsweise veröffentlichten DDoS Attack Report von Radware. Der Bericht bietet einen Überblick über DDoS-Angriffstrends nach Branchen sowie nach Anwendungen und Angriffsarten.

    Geografisch verteilten sich die Attacken vor allem auf Amerika und den EMEA-Raum, auf die 80 Prozent des Volumens entfielen. Bei den Branchen standen vor allem Technologieunternehmen mit durchschnittlich fast 3.000 Angriffen im Fokus, gefolgt vom Gesundheitswesen mit etwa 2.000 Angriffen pro Unternehmen. Allerdings waren in diesen beiden Branchen die Angriffsvolumina relativ klein, während Einzelhandel und Telekommunikation sich einer deutlich geringeren Anzahl von Angriffen erwehren mussten, die dafür deutlich höhere Volumina aufwiesen. So richteten sich nur etwa 6 Prozent aller Attacken gegen Telekommunikations-Unternehmen, die aber 18 Prozent des gesamten Volumens ausmachten. Der Einzelhandel wurde mit etwa 9 Prozent der Attacken konfrontiert, aber mit 36 Prozent des Angriffsvolumens. Der Gesundheitssektor dagegen kam bei über 20 Prozent der Attacken auf ein Volumen von weniger als einem Prozent.

    Weitere Ergebnisse

    o Im Durchschnitt musste jedes Unternehmen im zweiten Quartal 2021 fast 5.000 bösartige Ereignisse und ein Volumen von 2,3 TB pro Monat erkennen und blockieren.
    o Im zweiten Quartal 2021 stieg die durchschnittliche Anzahl der blockierten bösartigen Ereignisse pro Unternehmen um mehr als 30 %, und das durchschnittliche blockierte Volumen pro Unternehmen nahm im Vergleich zum zweiten Quartal 2020 um mehr als 40 % zu.
    o In der ersten Jahreshälfte 2021 musste ein Unternehmen in Nord- und Südamerika oder in EMEA im Durchschnitt doppelt so viel Volumen abwehren wie ein Unternehmen im asiatisch-pazifischen Raum (APAC). Auf Nord-, Mittel- und Südamerika sowie EMEA entfielen im selben Zeitraum rund 80 % des abgewehrten Angriffsvolumens.

    „Während große Ransomware-Angriffe für Schlagzeilen sorgen, gibt es andere Cyber-Bedrohungen, auf die Unternehmen achten müssen“, sagt Pascal Geenens, Director of Threat Intelligence bei Radware. „Von einer Zunahme von DDoS-Ransom-Kampagnen und DDoS-Hit-and-Run-Angriffen bis hin zu einer aktivistischen Gruppe, die es auf Finanzunternehmen im Nahen Osten abgesehen hat, gab es im zweiten Quartal ein beunruhigendes Ausmaß an Cyber-Aktivitäten im Vergleich zum gleichen Quartal des Vorjahres. Die Ergebnisse dieses Berichts sollten den Unternehmen eine deutliche Mahnung sein, dass kein Unternehmen davor gefeit ist, ein Ziel zu sein.“

    Nach Technologie und Gesundheitswesen war der Finanzsektor im zweiten Quartal die am stärksten von DDoS-Attacken betroffene Branche (1.350 Angriffe pro Unternehmen), gefolgt von Einzelhandel, Kommunikation und Telekommunikation (zwischen 600 und 1.000 Attacken pro Unternehmen). Die Glücksspielbranche verzeichnete im Durchschnitt mehr als 400 Angriffe, während auf Behörden und Versorgungsunternehmen im Durchschnitt etwa 280 entfielen. Bezogen auf das blockierte Volumen war der Einzelhandel im zweiten Quartal am stärksten betroffen, gefolgt von Glücksspiel, Telekommunikation und Technologie, die das zweit-, dritt- bzw. vierthöchste Volumen blockierten.

    Aggressive Burst-Angriffe gegen Technologie- und Finanzunternehmen

    Die aktuelle Studie von Radware zeigt auch, dass es im zweiten Quartal 2021 bemerkenswerte Burst-Angriffe gab. Diese Angriffe richteten sich gegen Unternehmen aus den Bereichen Finanzen und Technologie. Diese „Hit-and-Run“-DDoS-Angriffe verwenden wiederholte kurze Bursts mit hohem Volumen und waren besonders aggressiv in ihrer Amplitude (Angriffsgröße) und Frequenz (Anzahl der Bursts pro Zeiteinheit). Bei einem Angriff wurden mehrere konsistente 80-Gbps-Bursts durchgeführt, die zwei bis drei Minuten dauerten und sich alle vier Minuten wiederholten. Dies ergab 12 Angriffsbursts von 80 Gbps innerhalb eines 45-minütigen Zeitrahmens.

    Bösartige Scanner nutzen Schwachstellen aus

    Im zweiten Quartal 2021 blockierten Unternehmen im Durchschnitt fast 2.000 Scan-Ereignisse durch nicht selbst kontrollierte Schwachstellen-Scanner. Laut Radware wurden 40 Prozent dieser Scans von potenziell böswilligen Scannern durchgeführt, die bekannte Schwachstellen aktiv ausnutzen und ein Unternehmen angreifen wollten. Schwachstellen-Scanner sind automatisierte Tools, mit denen Unternehmen überprüfen können, ob ihre Netzwerke und Anwendungen Sicherheitsschwachstellen aufweisen, die sie Angriffen aussetzen könnten.

    „Organisationen werden von gut organisierten Bedrohungsakteuren herausgefordert“, so Geenens. „Das Zeitfenster zwischen der Aufdeckung und der Nutzung neuer Schwachstellen wird immer kleiner. In einigen Fällen konnten wir beobachten, dass weniger als 24 Stunden vergehen zwischen der Veröffentlichung eines Patches durch einen Hersteller und dem Versuch, die Schwachstelle auszunutzen.“

    Der vollständige Q2 DDoS Attack Report von Radware kann hier eingesehen werden. Die Daten für den Bericht basieren auf einer Stichprobe von Radware-Geräten, die in den Cloud Scrubbing Centern von Radware eingesetzt werden, sowie auf vor Ort verwalteten Geräten in den Radware Hybrid- und Peak Protection Services.

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Gießelbach
    Robert-Bosch-Str. 11a
    63225 Langen
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: https://www.radware.com
    email : radware@prolog-pr.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com

  • Die Wiedergeburt simpler DoS-Tools

    Die Wiedergeburt simpler DoS-Tools

    Too old to Rock ’n‘ Roll, too young to die

    BildAuch 10 Jahre alte Tools für Denial-of-Service-Attacken (DoS) stellen nach den Sicherheitsexperten von Radware heute noch eine reale Gefahr für unvorbereitete Unternehmen dar. So hat Radware in den letzten Monaten vermehrt Angriffe mit Tools registriert, die einst von der Hacker-Gruppe Anonymous genutzt und propagiert wurden, und die auch heute noch erheblichen Schaden anrichten können.

    Nachdem sich Anonymous 2016 auflöste, durchlief die Bedrohungslandschaft in kürzester Zeit einen Wandel. Die einst tonangebende Gruppe für organisierte DoS-Attacken mit ihren einfachen, GUI-basierten Tools gehörte der Vergangenheit an. Dafür begann das Zeitalter von DDoS-Angriffen (Distributed Denial of Service) und DDoS-as-a-Service, weil leistungsstarke neue IoT-Botnets wie Bashlite und Mirai ihren Einzug hielten.

    Obwohl Anonymous nicht vollständig von der Bildfläche verschwand, ist sein digitaler Einfluss in den letzten fünf Jahren erheblich gesunken. Bis heute finden sich laut Radware Anonymous-Konten in den gängigen Social-Media-Kanälen und Video-Plattformen. Sie verbreiten operative Propaganda, aber im Vergleich zu früher nur mit begrenzter Wirkung. Dennoch stellten die Forscher von Radware bei einer kürzlichen stattgefundenen Anonymous-Aktion fest, dass die Gruppe, die immer noch PasteBin und GhostBin (zur Zentralisierung operativer Details) verwendet, ihre Zielgruppenliste aktualisiert hatte und die Verwendung von Memcached und anderen reflektierenden Angriffsvektoren vorschlug. Sie empfahlen antiquierte DoS-Tools wie LOIC, HOIC, ByteDOS und PyLoris, die alle fast 10 Jahre alt sind.

    HOIC

    Bei High Orbit Ion Cannon, oder kurz HOIC, handelt es sich um ein Tool für Belastungstests in Netzwerken, das mit LOIC in Verbindung steht. Beide werden für Denial-of-Service-Angriffe eingesetzt, die durch Anonymous bekannt wurden. Dieses Tool kann durch HTTP-Floods einen Denial-of-Service auslösen. Darüber hinaus verfügt HOIC über ein integriertes Scripting-System für .hoic-Dateien, die sogenannten ‚Booster‘. Mit diesen Dateien kann ein Benutzer das Ausmaß des Angriffs verstärken.

    Obwohl der Angreifer nicht durch Verschleierungs- oder Anonymisierungsmethoden geschützt wird, kann der Benutzer mithilfe von .hoic-Booster-Skripten eine Liste von wechselnden Ziel-URLs, Verweisen, Benutzeragenten und Headern angeben. Dies bewirkt effektiv einen Denial-of-Service, weil mehrere Seiten auf derselben Website angegriffen werden. Dabei wird der Anschein erweckt, dass die Angriffe von verschiedenen Benutzern ausgehen.

    ByteDOS

    Auch ByteDOS, das einst als zerstörerisches Tool galt, ist laut Radware 2021 wieder angesagt. Es handelt sich um eine DoS-Applikation für Windows-Desktops. Die einfache, ausführbare Standalone-Datei erfordert keine Installation und verfügt über integrierte IP-Resolver-Funktionen, mit denen das Angriffstool die IP-Adressen von Domänennamen auflösen kann. Außerdem unterstützt das Tool zwei Angriffsvektoren, nämlich SYN Flood und ICMP Flood, so dass der Benutzer seinen bevorzugten Angriffsvektor auswählen kann. ByteDOS eignet sich zudem für Angriffe hinter Proxys, damit Angreifer ihren Ursprung und ihre Identität verbergen können. Das Tool ist bei Hacktivisten und Anonymous-Anhängern recht beliebt, und seine Effektivität steigt beträchtlich, wenn es von mehreren Angreifern gleichzeitig in einer koordinierten Denial-of-Service-Attacke genutzt wird.

    PyLoris

    Ein weiteres Tool, das als zerstörerisch galt, ist PyLoris. Es handelt sich um ein HTTP-DoS-Tool für ‚Low & Slow‘-Angriffe. PyLoris ermöglicht es dem Angreifer, HTTP-Anfragen mit benutzerdefinierten Paket-Headern, Cookies, Paketgrößen, Timeouts und Zeilenumbrüchen (CRLF) zu erstellen. Das Ziel von PyLoris besteht darin, TCP-Verbindungen zwischen dem Angreifer und dem Server des Opfers möglichst lange offen zu halten, damit die Ressourcen des Connection Tables des Servers überlastet werden. Sind diese Ressourcen erschöpft, kann der Server keine neuen Verbindungen von legitimen Benutzern mehr annehmen. Das Ergebnis ist ein Denial-of-Service.

    Wie effektiv sind die alten Tools?

    „Die für diese aktuelle Anonymous-Aktion vorgeschlagenen Tools und viele andere sind veraltet, haben aber kurioserweise in der Bedrohungslandschaft weiterhin ihren Platz“, so Michael Gießelbach, Regional Director DACH bei Radware. „In einer Welt, in der IoT-Botnets und kostengünstige Angriffsdienste so leicht zu programmieren sind, mutet es seltsam an, wenn die Verwendung von Tools vorgeschlagen wird, die fast ein Jahrzehnt alt sind. Aber obwohl diese Tools weniger bekannt sind, können sie trotzdem sehr effektiv sein, wenn sie gegen ahnungslose und ungeschützte Websites richtig eingesetzt werden.“

    Wenngleich solche Tools bei Weitem nicht mehr so beliebt oder effektiv sind wie früher, sind sie doch auch 2021 weiterhin von Bedeutung. Obwohl Anonymous nicht mehr so bedrohlich ist wie einst, können laut Radware hier und da noch einsame Wölfe oder Amateur-Hackergruppen auftauchen, die mit diesen Tools eine gewisse Bedrohung für schutzlose Opfer darstellen.

    Verantwortlicher für diese Pressemitteilung:

    Radware GmbH
    Herr Michael Gießelbach
    Robert-Bosch-Str. 11a
    63225 Langen
    Deutschland

    fon ..: +49 6103 70657-0
    web ..: https://www.radware.com
    email : radware@prolog-pr.com

    Pressekontakt:

    Prolog Communications GmbH
    Herr Achim Heinze
    Sendlinger Str. 24
    80331 München

    fon ..: +49 89 800 77-0
    web ..: https://www.prolog-pr.com
    email : achim.heinze@prolog-pr.com