Ransomware Emulation Service

Ransomware-Emulation as a Service

Unser Service zur Ransomware-Emulation simuliert reale Angriffe von Gruppen wie BlackBasta oder LockBit und testet so Ihre Sicherheitsarchitektur unter realistischen Bedingungen. Damit werden SOCs und SIEMs auf die Probe gestellt.

Für wen ist dieser Service geeignet?

Dieser Service richtet sich an Firmen die ein eigenes SOC (Security Operations Center) und SIEM (Security Information and Event Management) betreiben oder durch einen Dienstleister betreiben lassen.

Damit dieser Service für Sie Sinn ergibt, müssen bereits Prozesse definiert sein, wer im Falle eines Incidents wie zu reagieren hat.

Was beinhaltet dieser Service?

Wir führen mit Ihnen ein Vorgespräch durch, in dem Sie sich für ein Angriffszenario, einen Angriffstypen und eine Zeitrahmen entscheiden.
Sie geben uns Zugang zu einem System und einem unpreviligierten Benutzeraccount in ihrer Infrastruktur.
Wir bringen ein Softwareprodukt auf ihrem System zur Ausführung, dessen Verhalten echter Malware nachempfunden ist.
Im Idealfall erkennt SOC / SIEM die Bedrohung und reagiert darauf.
Wir beurteilen die Reaktion ihres SOC / SIEM und suchen nach Optimierungspotentialen.
Sie bekommen von uns einen Abschlussbericht, den wir in einem Abschlusscall mit ihnen gemeinsam besprechen.

Neugierig? Hier können Sie einen Beispiel Abschlussbericht herunterladen.

Angriffscenarien

Wir bieten zwei Formen von Simulationen an.

Begleitet

Bei dem begleiteten Angriffszenario befinden wir uns mit Ihrem SOC Team in einem Call und pausieren den Angriff nach jeder Aktion um gemeinsam mit Ihren Mitarbeitenden zu überprüfen, ob wir bereits identifiziert wurden, welche Gegenmaßnahmen jetzt eingeleitet werden würden und ob diese erfolgreich sind.

Ziel dieses Szenarios ist es, die Effektivität der eingesetzten Produkte und Prozesse in einem kontrollierten Setting zu prüfen.

Realistisch

Immer wieder stellen wir fest, dass Firmen ausgereifte Prozesse für den Fall eines Cyber Angriffs haben, die im Ernstfall aber nicht funktionierten. Die Gründe hierfür sind oft vielfältig. Von zu vielen Fehlalarmen, über die Fehleinschätzung der Bedrohungslage bis hin zur Unkenntnis über die Details der definierten Prozesse.

Wer ist bis wann bei welchen Alarmen zu informieren und wie muss reagiert werden.

Everybody has a plan until they get punched in the mouth“ ~ Mike Tyson

Bei dem realistischen Angriffszenario ist dem SOC Team nicht bewusst, dass eine Simulation durchgeführt wird.

Nur die Geschäftsleitung und der CISO (Chief Information Security Officer) wissen, welcher Angriff in welcher KW simuliert wird.

Im realistischen Szenario führen wir alle vorher mit ihnen abgesprochenen Phasen des Angriffs selbstständig durch und testen, wie weit wir kommen. Gerne können wir auf Wunsch auch Nachts angreifen, um die Eskallationsketten außerhalb der üblichen Geschäftszeiten zu testen.

Ziel dieses Szenarios ist es, die Effektivität der eingesetzten Produkte und Prozesse unter realistischen Bedingungen zu testen.

Darfs ein bisschen mehr sein?

Wir bieten diverse Simmulationen an, von denen Sie sich eine Aussuchen können.
Gerne beraten wir sie bei der Auswahl des geeigneten Szenarios.

Name	Platform	File Encryption	Infostealer	Data Exfiltration	Persistence	Network Scanning
Black Basta Ransomware	Windows	✅	❌	❌	—	✅
Black Basta Data Exfiltration	Windows	❌	✅	✅	—	—
LockBit Ransomware	Windows	✅	❌	❌	✅	—
LockBit Data Exfiltration (StealBit)	Windows	❌	❌	✅	—	—
SPECTR “SickSync”	Windows	❌	✅	✅	—	—
PyPI Supply Chain Attack	Linux / macOS / Windows (Python)	❌	✅	✅	—	—
HTA Downloader	Windows	❌	❌	❌	—	—
Privilege Escalation Techniques	Windows	❌	❌	❌	—	—
Process Injection Techniques (indirect & direct syscalls)	Windows	❌	❌	❌	—	—
Standalone GrayFox Loader	Windows	❌	❌	❌	—	—
Standalone Crossway Agent	Cross-platform (Go)	❌	❌	❌	—	—

Jetzt unverbindlich anfragen