Veröffentlicht am von Schreiben Sie einen Kommentar

Ransomware-Prognose 2024: Die vier gefährlichsten Ransomware-Banden

Ransomware-Prognose 2024: Die vier gefährlichsten Ransomware-Banden

Ransomware ist eine der größten Bedrohungen für die Cybersicherheit im Jahr 2023 und darüber hinaus. Dabei handelt es sich um eine Art von Schadsoftware, die die Daten eines Opfers verschlüsselt und Lösegeld für die Entschlüsselung verlangt. Laut einer Studie von TSecurity.de werden die globalen Kosten von Ransomware-Angriffen bis 2024 voraussichtlich 20 Milliarden US-Dollar erreichen.

Die Ransomware-Landschaft ist jedoch nicht homogen, sondern wird von verschiedenen kriminellen Gruppen dominiert, die unterschiedliche Ziele, Taktiken und Forderungen haben. In diesem Beitrag stellen wir Ihnen die vier gefährlichsten Ransomware-Banden vor, die Sie im Auge behalten sollten.

REvil

REvil, auch bekannt als Sodinokibi, ist eine der aktivsten und aggressivsten Ransomware-Banden der Welt. Sie ist verantwortlich für einige der größten und folgenreichsten Angriffe der letzten Jahre, wie z. B. den Angriff auf den IT-Dienstleister Kaseya im Juli 2021, bei dem mehr als 1.500 Unternehmen betroffen waren. REvil fordert in der Regel hohe Lösegelder, die sich je nach Opfer zwischen 50.000 und 70 Millionen US-Dollar bewegen können. Die Bande nutzt oft Schwachstellen in Software oder VPN-Diensten aus, um in Netzwerke einzudringen, und droht, gestohlene Daten zu veröffentlichen oder zu verkaufen, wenn das Lösegeld nicht bezahlt wird.

DarkSide

DarkSide ist eine relativ neue Ransomware-Bande, die im August 2020 zum ersten Mal in Erscheinung trat. Sie behauptet, eine Art “Robin Hood” zu sein, der nur reiche Unternehmen angreift und einen Teil des Lösegeldes an wohltätige Zwecke spendet. Allerdings hat DarkSide auch gezeigt, dass sie keine Skrupel hat, kritische Infrastrukturen wie Pipelines oder Krankenhäuser zu attackieren. Ein Beispiel dafür ist der Angriff auf Colonial Pipeline im Mai 2021, der zu einem vorübergehenden Stillstand der größten Ölpipeline der USA führte. DarkSide verwendet eine Ransomware-as-a-Service (RaaS)-Plattform, bei der sie ihre Schadsoftware an andere Hacker vermietet und einen Teil des Lösegeldes als Provision erhält.

Conti

Conti ist eine weitere Ransomware-Bande, die seit Ende 2019 aktiv ist und sich vor allem auf Unternehmen im öffentlichen Sektor, im Gesundheitswesen und in der Fertigung konzentriert. Conti verwendet eine fortschrittliche Technik namens “double extortion”, bei der sie nicht nur die Daten verschlüsselt, sondern auch exfiltriert und droht, sie zu leaken oder an andere Cyberkriminelle zu verkaufen. Conti ist auch dafür bekannt, sehr schnell zu handeln und innerhalb weniger Stunden nach dem Eindringen in ein Netzwerk die Verschlüsselung durchzuführen. Die Lösegeldforderungen von Conti variieren je nach Opfer, können aber bis zu 25 Millionen US-Dollar betragen.

Ryuk

Ryuk ist eine der ältesten und erfahrensten Ransomware-Banden, die seit 2018 existiert und mehr als 150 Millionen US-Dollar an Lösegeld erbeutet hat. Ryuk zielt hauptsächlich auf große Organisationen ab, die hohe Lösegelder zahlen können, wie z. B. Regierungen, Finanzinstitute oder Medienunternehmen. Ryuk verwendet eine mehrstufige Angriffsmethode, bei der sie zunächst einen Trojaner namens TrickBot einsetzt, um Zugang zu einem Netzwerk zu erhalten, dann Informationen über das Opfer sammelt und schließlich die Ransomware auslöst. Ryuk ist auch dafür bekannt, Backups zu zerstören oder zu stehlen, um die Wiederherstellung zu erschweren.

Veröffentlicht am von Schreiben Sie einen Kommentar

Wie Sie mit einem einfachen Bash-Skript Ihren Linux-Server optimieren und MariaDB bei hoher Swap-Auslastung neu starten können

Getestet mit Debian 12.2 / AlmaLinux

Wie man MariaDB automatisch neu startet, wenn die Swap-Auslastung zu hoch ist

MariaDB ist ein beliebtes Open-Source-Datenbankmanagementsystem, das auf vielen Linux-Servern eingesetzt wird. Es kann jedoch vorkommen, dass MariaDB zu viel Speicher verbraucht und den Swap-Speicher beansprucht, was die Leistung des Servers beeinträchtigen kann. In diesem Beitrag werde ich Ihnen zeigen, wie Sie ein einfaches Bash-Skript schreiben können, das die RAM- und Swap-Auslastung in Prozent anzeigt und MariaDB neu startet, wenn die Swap-Auslastung über 50% liegt. Dies kann nützlich sein, um MariaDB regelmäßig zu optimieren und zu vermeiden, dass der Server überlastet wird.

#!/bin/bash

# Display RAM usage in percent
echo "RAM Usage:" 
free | awk '/Mem/{printf("Used: %.2f% \n"), $3/$2*100.0}'

# Display Swap usage in percent
echo "Swap Usage:" 
SWAP_TOTAL=$(swapon -s | awk 'NR>1{print $3}')
SWAP_USED=$(swapon -s | awk 'NR>1{print $4}')
SWAP_USAGE=$(echo "scale=2; $SWAP_USED/$SWAP_TOTAL*100" | bc)
echo "Used: $SWAP_USAGE%"

# Check if the Swap usage is over 50%
if (( $(echo "$SWAP_USAGE > 50" | bc -l) )); then
    echo 'Swap usage is over 50%, restarting MariaDB...'
    sudo systemctl restart mariadb
else
    echo 'Swap usage is under 50%, no need to restart MariaDB.'
fi
Veröffentlicht am von Schreiben Sie einen Kommentar

Shell-Script: Auf RAM und Swap Verbrauch reagieren

Dieses getestete Shell-Script ermittelt den Speicherverbrauch RAM und SWAP unter einem Debian 11.
Es startet wenn die SWAP Nutzung über 50% liegt in diesem Beispiel den MariaDB Datenbankserver neu um SWAP und RAM Ressourcen wieder freizugeben. Dieses Bash-Script eigenet sich sich für kleine VPS-Server die wenig Ressourcen haben um z.B. Dienste neuzustarten wie mysql / mariaDB um Ressourcen die den Seitenaufruf blockieren wieder freizugeben.
Das Script funktioniert unter bash und sh.

#!/bin/bash

# RAM-Verbrauch in Prozent anzeigen
echo "RAM-Verbrauch:"
free | awk '/Mem/{printf("Verbraucht: %.2f% \n"), $3/$2*100.0}'

# Swap-Verbrauch in Prozent anzeigen
echo "Swap-Verbrauch:"
free | awk '/Swap/{printf("Verbraucht: %.2f% \n"), $3/$2*100.0}'

# Swap-Verbrauch in Prozent ermitteln
SWAP_USAGE=$(free | awk '/Swap/{printf("%.0f"), $3/$2*100}')

# Überprüfen, ob der Swap-Verbrauch über 50% liegt
if (( SWAP_USAGE > 50 )); then
    echo "Swap-Verbrauch ist über 50%, MariaDB wird neu gestartet..."
    sudo systemctl restart mariadb
else
    echo "Swap-Verbrauch ist unter 50%, kein mariaDB Neustart erforderlich."
fi

In Crontab hinzufügen

Crontab -e

*/5 * * * * bash ~/ram_verbrauch.sh

Das Script wird im Homeverzeichnis des Benutzers geladen, der Pfad zum Shell-Script kann frei angepasst werden.

Veröffentlicht am von Schreiben Sie einen Kommentar

Server: Prozesse automatisch Neustarten (Shell-Script)

Startet z.B. MariaDB neu falls dieser nicht mehr läuft. Dieses funktioniert und ist getestet mit Debian 11.
Falls MariaDB nicht mehr laufen sollte wird dieser Service einfach neugestartet. Dieses lässt sich auch für andere Services erweitern. Schade das es WatchDog nicht mehr gibt für Debian 11.
Dieses Shell-Script funktioniert mit bash und sh. 

#!/bin/bash

# Überprüfen, ob der MariaDB-Dienst läuft
if systemctl is-active --quiet mariadb
then
    echo "MariaDB läuft."
else
    echo "MariaDB läuft nicht. Starte MariaDB neu..."
    # MariaDB neu starten
    systemctl start mariadb
    if systemctl is-active --quiet mariadb
    then
        echo "MariaDB wurde erfolgreich neu gestartet."
    else
        echo "Fehler beim Neustart von MariaDB."
    fi
fi

Hier ist eine detaillierte Beschreibung:

  1. #!/bin/bash: Dies ist der Shebang, der angibt, dass das Skript mit bash, der Bourne-Again-Shell, ausgeführt werden soll.
  2. if systemctl is-active --quiet mariadb: Dieser Befehl überprüft, ob der MariaDB-Dienst aktiv ist. Wenn der Dienst aktiv ist, gibt systemctl is-active --quiet mariadb einen Exit-Code von 0 zurück.
  3. echo "MariaDB läuft.": Wenn der MariaDB-Dienst läuft, wird diese Nachricht ausgegeben.
  4. else: Dieser Teil des Skripts wird ausgeführt, wenn der MariaDB-Dienst nicht läuft.
  5. echo "MariaDB läuft nicht. Starte MariaDB neu...": Diese Nachricht wird ausgegeben, wenn der MariaDB-Dienst nicht läuft.
  6. systemctl start mariadb: Dieser Befehl versucht, den MariaDB-Dienst zu starten.
  7. if systemctl is-active --quiet mariadb: Nach dem Versuch, den Dienst zu starten, überprüft das Skript erneut, ob der Dienst jetzt läuft.
  8. echo "MariaDB wurde erfolgreich neu gestartet.": Wenn der Dienst erfolgreich gestartet wurde, wird diese Nachricht ausgegeben.
  9. else echo "Fehler beim Neustart von MariaDB.": Wenn der Dienst immer noch nicht läuft, wird diese Fehlermeldung ausgegeben.

Cronjob mittels Crontab -e

 einen Cronjob zu erstellen, der alle 5 Minuten überprüft, ob ein Prozess läuft, können Sie den crontab-Befehl verwenden. Hier ist ein Beispiel, wie Sie das tun können:

  1. Öffnen Sie Ihren Crontab mit dem Befehl crontab -e.
  2. Fügen Sie die folgende Zeile hinzu, um Ihr Skript alle 5 Minuten auszuführen:
*/5 * * * * /pfad/zum/skript.sh

Ersetzen Sie /pfad/zum/skript.sh durch den tatsächlichen Pfad zu Ihrem Skript.

Dieser Cronjob wird nun alle 5 Minuten ausgeführt und überprüft, ob der MariaDB-Prozess läuft, und startet ihn neu, wenn er nicht läuft.

Bitte beachten Sie, dass Sie möglicherweise sudo vor dem crontab-Befehl benötigen, abhängig von Ihren Systemberechtigungen. Stellen Sie außerdem sicher, dass Ihr Skript ausführbare Berechtigungen hat. Sie können dies mit dem Befehl chmod +x /pfad/zum/skript.sh erreichen. 

Veröffentlicht am von Schreiben Sie einen Kommentar

Was ist TETRA? Welche Sicherheitsbedenken gibt es?

Was ist TETRA (Behördenfunk)? 

Der TETRA-Standard (Terrestrial Trunked Radio) wurde in den 1990er Jahren entwickelt. Er wurde als universelle Plattform für unterschiedliche Mobilfunkdienste genormt und wird in mehreren europäischen und außereuropäischen Ländern genutzt. Ursprünglich stellte TETRA eine Initiative von Netzbetreibern dar, als Antwort auf eine ernste Wettbewerbsbedrohung durch GSM gegen deren analoge Netze.

TETRA ist ein digitaler Funkstandard, der von verschiedenen Behörden und Organisationen mit Sicherheitsaufgaben (BOS) genutzt wird. Dazu gehören:

Polizei: Die Polizei nutzt TETRA für ihre tägliche Kommunikation und Koordination.

Feuerwehr: Auch die Feuerwehr setzt auf TETRA, um effizient und sicher zu kommunizieren.

Rettungsdienste: Rettungsdienste nutzen TETRA, um schnell und zuverlässig Informationen auszutauschen.

Katastrophenschutz: Der Katastrophenschutz setzt auf TETRA, um in Krisensituationen effektiv zu kommunizieren.

Verfassungsschutz und Spezialeinheiten: Auch diese Behörden nutzen TETRA für ihre Kommunikation.

Bundeswehr: Die Bundeswehr in Deutschland nutzt ebenfalls TETRA.

Es ist ein universelles Sprach- und Datenfunksystem, das eine sichere und effiziente Kommunikation ermöglicht

Wie sicher ist TETRA?

TETRA (Terrestrial Trunked Radio) ist ein digitaler Funkstandard, der eine starke Verschlüsselung bietet und vor allem von Behörden genutzt wird. Allerdings wurden kürzlich mehrere Sicherheitslücken in TETRA entdeckt. Eine dieser Schwachstellen ist sogar absichtlich eingebaut, um die Verschlüsselung der Exportversion von TETRA zu schwächen und die Kommunikation einfach abhörbar zu machen.

Die Forscher konnten diese Version mit einem Standard-Laptop und einer billigen Funk-Software in weniger als einer Minute brechen. Es handelt sich dabei offenbar um die Exportvariante für Länder, die der EU als nicht sonderlich freundlich gegenüberstehen.

Trotz dieser Schwachstellen ist TETRA immer noch ein weit verbreitetes Funksystem, das von Polizei und anderen Behörden weltweit genutzt wird. Es ist wichtig zu beachten, dass keine Technologie vollkommen sicher ist und dass die Entdeckung und Behebung von Sicherheitslücken ein normaler Teil der technologischen Entwicklung ist. Es bleibt abzuwarten, wie die Verantwortlichen auf diese Entdeckungen reagieren und welche Maßnahmen sie ergreifen werden, um die Sicherheit von TETRA zu verbessern.

Gibt es auch Vorteile bei der Verwendung von Tetra?

Ja, es gibt mehrere Vorteile bei der Verwendung von TETRA:

Unabhängigkeit von Netzbetreibern: TETRA zählt teilweise zu den nichtöffentlichen Funkdiensten und ist unabhängig von Netzbetreibern.

Keine Gebühren bei eigenem Netzbetrieb: Wenn Sie Ihr eigenes Netzwerk betreiben, fallen keine Gebühren an.

Keine volumenabhängigen Gebühren: Es fallen keine Gebühren an, die vom Datenvolumen abhängen.

Hohe Sicherheit gegen Fremdbeeinflussung: TETRA bietet eine hohe Sicherheit gegen Fremdbeeinflussung.

Vielseitigkeit: Mit TETRA sind sehr viele Dienste möglich, darunter Sprache, Daten und Telefonie.

Diese Vorteile machen TETRA zu einer attraktiven Option für viele Organisationen und Behörden. Es ist jedoch wichtig zu beachten, dass wie bei jeder Technologie auch Nachteile bestehen können. Es ist daher ratsam, die spezifischen Anforderungen und Umstände zu berücksichtigen, bevor man sich für eine bestimmte Technologie entscheidet.

Gibt es auch Nachteile bei der Verwendung von Tetra?

Ja, es gibt auch Nachteile bei der Verwendung von TETRA:

Sicherheitslücken: Wie bereits erwähnt, wurden kürzlich mehrere Sicherheitslücken in TETRA entdeckt. Eine dieser Schwachstellen ist sogar absichtlich eingebaut, um die Verschlüsselung der Exportversion von TETRA zu schwächen und die Kommunikation einfach abhörbar zu machen.

Komplexität der Technologie: TETRA ist eine komplexe Technologie, die spezielle Kenntnisse und Fähigkeiten für die Installation und Wartung erfordert.

Kosten: Die Anschaffungs- und Betriebskosten für TETRA können hoch sein, insbesondere wenn ein eigenes Netzwerk betrieben wird.

Abhängigkeit von Herstellern: Da TETRA ein proprietärer Standard ist, sind Nutzer oft auf wenige Hersteller angewiesen.

Es ist wichtig zu beachten, dass die Vor- und Nachteile von TETRA von den spezifischen Anforderungen und Umständen abhängen. Daher ist es ratsam, diese Faktoren zu berücksichtigen, bevor man sich für eine bestimmte Technologie entscheidet.

Welche CVE’s haben die Sicherheitslücken von Tetra?

Die folgenden CVEs wurden im Zusammenhang mit TETRA identifiziert:

CVE-2022-24404: Diese Schwachstelle ermöglicht es Angriffen auf die Verformbarkeit der verschlüsselten Daten vorzunehmen. Durch das Fehlen eines kryptographischen Integritätsschutzes könnten TETRA-Geräte manipulierte Nachrichten akzeptieren.

CVE-2022-24401: Diese Schwachstelle wurde anscheinend durch Firmware-Patches behoben.

CVE-2022-24402: Diese Schwachstelle reduziert die Schlüssellänge von 80 auf 32 Bit. Nur ein Austausch des Algorithmus kann das Problem beheben.

Bitte beachten Sie, dass diese Liste möglicherweise nicht vollständig ist und es weitere, nicht aufgeführte CVEs geben kann. Es ist auch wichtig zu beachten, dass die deutschen Behörden und Blaulichtorganisationen einen anderen Algorithmus (TEA2) sowie eine zusätzliche Ende-zu-Ende-Verschlüsselung nutzen. Diese Maßnahmen verhindern die Ausnutzung von 3 der 5 Schwachstellen

In welche Länder wurde TETRA exportiert?

TETRA, ein europäischer Standard für ein Bündelfunksystem, wird in mehr als 114 Ländern weltweit eingesetzt. Es wurde speziell für den Einsatz durch Regierungsbehörden, Notdienste (Polizeikräfte, Feuerwehren, Krankenwagen), öffentliche Sicherheitsnetze, Eisenbahnpersonal für Zugfunkgeräte, Transportdienste und das Militär entwickelt. Bitte beachten Sie, dass die genauen Länder, in die TETRA exportiert wurde, nicht spezifiziert sind. Es ist auch wichtig zu beachten, dass TEA-2, eine Verschlüsselungsfunktion von TETRA, nur für Sicherheits- und militärische Aufgaben innerhalb der Schengen-Staaten eingesetzt werden darf und der Export in Drittländer verboten ist.

TETRA:BURST | Midnight Blue (tetraburst.com)

thE-iNviNciblE/TETRA_crypto: Reverse engineered TETRA cryptographic primitives (github.com)

https://tsecurity.de/de/1930486/Cybersecurity/Cybersecurity-Nachrichten/Behoerden-Funk-Etsi-will-Tetra-Verschluesselung-offenlegen/
Veröffentlicht am von Schreiben Sie einen Kommentar

Was ist Phising as a Service? Wie funktioniert Phising as a Service?

PhaaS steht für “Phishing as a Service”. Es handelt sich dabei um einen Ansatz, bei dem Cyberkriminelle Phishing-Angriffe als Dienstleistung anbieten, ähnlich wie andere Cloud-basierte Dienste. Das Ziel von PhaaS-Anbietern ist es, es auch weniger technisch versierten Angreifern zu ermöglichen, Phishing-Angriffe durchzuführen, ohne tiefgehende Kenntnisse im Bereich der Cyberkriminalität haben zu müssen.

Die Funktionsweise von PhaaS kann je nach Anbieter variieren, aber im Allgemeinen umfasst sie die Bereitstellung von Tools und Ressourcen, die für die Planung, Durchführung und Verwaltung von Phishing-Angriffen erforderlich sind. Hier sind einige Elemente, die in PhaaS-Diensten enthalten sein können:

  1. Phishing Kits: Vorgefertigte Kits, die alle erforderlichen Ressourcen enthalten, wie gefälschte Login-Seiten, E-Mails, und andere Elemente, um bestimmte Online-Dienste zu imitieren.
  2. Infrastruktur: PhaaS-Anbieter können auch Infrastrukturdienste bereitstellen, die es den Angreifern ermöglichen, gefälschte Websites zu hosten, Domain-Namen zu registrieren und Phishing-Kampagnen zu verwalten.
  3. Social Engineering-Elemente: Tools und Vorlagen für Social Engineering, die es den Angreifern erleichtern, die Opfer zu täuschen und dazu zu bringen, sensible Informationen preiszugeben.
  4. Analytik und Reporting: Einige PhaaS-Dienste bieten auch Analyse- und Reporting-Tools, um den Erfolg von Phishing-Kampagnen zu messen und zu überwachen.

In Bezug auf Tools, die in der IT-Sicherheitsgemeinschaft bekannt sind, um Phishing-Angriffe zu erkennen und zu bekämpfen, gibt es verschiedene Ansätze:

  1. E-Mail-Sicherheitslösungen: Diese Lösungen verwenden fortschrittliche Algorithmen und Machine Learning, um verdächtige E-Mails zu identifizieren und aus dem Posteingang zu filtern.
  2. Schulungen und Sensibilisierung: Schulungsprogramme für Mitarbeiter helfen dabei, die Sensibilisierung für Phishing-Angriffe zu erhöhen, damit Mitarbeiter lernen, verdächtige E-Mails zu erkennen und angemessen darauf zu reagieren.
  3. Anti-Phishing-Tools: Es gibt spezialisierte Tools, die darauf abzielen, Phishing-Websites zu erkennen und zu blockieren, bevor Benutzer darauf zugreifen können.
  4. Multi-Faktor-Authentifizierung (MFA): MFA fügt eine zusätzliche Sicherheitsebene hinzu, selbst wenn Anmeldeinformationen durch Phishing preisgegeben werden.

Es ist wichtig für Organisationen, eine umfassende Sicherheitsstrategie zu implementieren, die verschiedene Schichten von Schutzmaßnahmen umfasst, um sich vor Phishing-Angriffen und anderen Cyberbedrohungen zu schützen.

Fortsetzend zu den Sicherheitsmaßnahmen gegen Phishing-Angriffe gibt es weitere bewährte Praktiken und Tools, die in der IT-Sicherheitsgemeinschaft bekannt sind:

  1. Webfilter und Content Inspection: Durch den Einsatz von Webfiltern können Unternehmen den Zugriff auf bekannte schädliche Websites blockieren. Content Inspection kann dabei helfen, verdächtige Inhalte in Echtzeit zu identifizieren.
  2. Threat Intelligence-Feeds: Die Integration von Threat Intelligence-Feeds ermöglicht es Unternehmen, auf dem neuesten Stand bezüglich bekannter Phishing-Kampagnen, schädlicher IP-Adressen und anderer Indikatoren für Bedrohungen zu bleiben.
  3. Endpoint Protection: Endpoint-Sicherheitslösungen können helfen, Endgeräte vor schädlichen Aktivitäten zu schützen. Fortgeschrittene Endpoint-Lösungen verwenden Verhaltensanalysen und maschinelles Lernen, um verdächtige Aktivitäten zu erkennen.
  4. Incident Response-Plan: Das Vorhandensein eines gut durchdachten Incident Response-Plans ist entscheidend. Wenn ein Phishing-Angriff stattfindet, ermöglicht ein solcher Plan, schnell und effektiv zu reagieren, um den Schaden zu minimieren.
  5. Regelmäßige Sicherheitsaudits und Penetrationstests: Regelmäßige Audits und Penetrationstests helfen dabei, Schwachstellen in der Sicherheitsinfrastruktur zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.
  6. Aktualisierte Software und Sicherheitspatches: Die regelmäßige Aktualisierung von Betriebssystemen, Anwendungen und Sicherheitspatches ist entscheidend, um bekannte Schwachstellen zu schließen und Angriffsvektoren zu minimieren.
  7. Netzwerküberwachung und Intrusion Detection/Prevention Systems (IDS/IPS): Diese Systeme überwachen den Netzwerkverkehr auf Anomalien und können auf mögliche Angriffe reagieren, indem sie den Netzwerkzugriff blockieren oder Warnungen ausgeben.

Es ist wichtig zu betonen, dass Cybersicherheit ein sich ständig weiterentwickelndes Feld ist, und es ist entscheidend, dass Organisationen ihre Sicherheitsstrategien kontinuierlich überprüfen und aktualisieren, um mit den sich verändernden Bedrohungslandschaften Schritt zu halten. Zusammen mit technologischen Maßnahmen ist die Sensibilisierung und Schulung der Mitarbeiter von großer Bedeutung, um eine starke Verteidigung gegen Phishing-Angriffe aufzubauen.