Ransomware-Angriffe auf Active Directory

Die zwei Phasen eines Ransomware-Angriffs

Ein weit verbreiteter Irrglaube über Ransomware-Angriffe ist, dass sie schnell ablaufen: Jemand öffnet einen infizierten E-Mail-Anhang oder steckt ein infiziertes USB-Gerät ein, und innerhalb von Minuten sind Daten im gesamten Netzwerk verschlüsselt und eine Lösegeldforderung wird auf jedem Bildschirm angezeigt.

Die Realität sieht ganz anders aus. Ransomware-Angriffe sind heutzutage oft sehr ausgeklügelt und methodisch. Um so viele sensible Informationen wie möglich zu verschlüsseln und damit die Chancen auf ein hohes Lösegeld zu maximieren, gehen Angreifer in zwei Phasen vor:

1. Einen Einstiegspunkt finden — Der erste Schritt besteht darin, einen Fuß in das Netzwerk der Opferorganisation zu setzen. Eine gängige Strategie ist es, die Active Directory-Anmeldeinformationen eines Benutzers durch Taktiken wie Phishing oder Passwortraten zu kompromittieren.
2. Erweitern Sie ihre Reichweite — Mit einem gewöhnlichen Geschäftskonto hat ein Angreifer nur begrenzten Zugang zu kritischen Systemen und Daten. Daher suchen sie nach Schwachstellen im Active Directory, die sie ausnutzen können, um ihre Rechte zu erweitern. Eine Taktik besteht darin, das Konto, das sie bereits kontrollieren, zu Sicherheitsgruppen hinzuzufügen, die umfangreichere Berechtigungen haben; leere Gruppen sind ein häufiges Ziel, da sie wahrscheinlich nicht sorgfältig verwaltet werden und die Hinzufügung eines neuen Mitglieds möglicherweise unbemerkt bleibt. Eine andere Möglichkeit besteht darin, die Konten anderer Benutzer zu kompromittieren, die bereits über Privileged Access Permissions verfügen, beispielsweise durch Erlangen von zwischengespeicherten Admin-Anmeldeinformationen auf dem Endpunkt, den sie bereits kontrollieren.

Sobald die Angreifer den Zugang haben, den sie wollen, führen sie die Ransomware aus, um alle Daten zu verschlüsseln, auf die sie zugreifen können, was auch Inhalte umfassen kann, die in der Cloud gespeichert sind. In vielen Fällen kopieren sie die Daten vor der Verschlüsselung, damit sie drohen können, sie freizugeben, was als zusätzlicher Hebel dient, um die Zahlung zu erzwingen. Oft versuchen sie auch, Backup-Daten zu verschlüsseln oder zu löschen, sodass die Opfer eher geneigt sind, der Lösegeldforderung nachzukommen.

Ausgewählte verwandte Inhalte:

• [Kostenloser Leitfaden] Best Practices zur Verhinderung von Ransomware

Ransomware-Angriffsmethoden, die Active Directory ausnutzen

Hier sind einige Methoden, wie Cyberkriminelle Active Directory ausgenutzt haben, um Ransomware-Angriffe durchzuführen:

Eindringen in ein Netzwerk mit einem deaktivierten AD-Konto

Im Jahr 2021 erlangte eine als DarkSide bekannte Gruppe Zugang zum Netzwerk durch ein deaktiviertes Active Directory-Konto. Sie kompromittierten das Konto entweder durch eine Liste häufig verwendeter Passwörter oder durch Sammlungen kompromittierter Passwörter, die im Darknet verfügbar sind. Deaktivierte Konten sind ein leichtes Ziel für Bedrohungsakteure, da die Übernahme weniger wahrscheinlich bemerkt wird als die Kompromittierung eines aktiven Kontos.

Verbreitung von Ransomware mithilfe von Active Directory Group Policy

Gruppenrichtlinie ist ein leistungsstarkes Feature von Active Directory, das Administratoren nutzen, um Sicherheit und Benutzerproduktivität zu gewährleisten. Ransomware-Akteure können Gruppenrichtlinien missbrauchen, um ihre Schadsoftware zu verbreiten.

Beispielsweise wird die Ryuk-Ransomware oft über Gruppenrichtlinienobjekte (GPOs) verteilt, die die Angreifer modifizieren oder erstellen. Insbesondere fügen sie Ryuk in das Active Directory-Anmeldeskript ein, was jeden infiziert, der sich am Active Directory-Server anmeldet.

Verbreitung von Ransomware über die SYSVOL-Freigabe von Active Directory

Eine weitere Methode, wie Ransomware-Banden Active Directory ausnutzen, besteht darin, die SYSVOL-Freigabe zu verwenden. SYSVOL speichert öffentliche Domaindateien und ist für alle authentifizierten Benutzer lesbar. Sobald Gegner privilegierte Zugriffsrechte haben, ändern sie SYSVOL, um Aufgaben zu planen, die Geräte infizieren und überwachen.

Zugang durch Ausnutzen einer SharePoint-Schwachstelle erlangen

Ransomware-Akteure und andere Angreifer können auch in einer AD-Umgebung Fuß fassen, indem sie ungepatchte Schwachstellen ausnutzen. Zum Beispiel haben Hacker im Jahr 2019 eine Schwachstelle in Microsoft SharePoint bei den Vereinten Nationen ausgenutzt; obwohl Microsoft den Patch für die Schwachstelle veröffentlicht hatte, hatten die UN es versäumt, die Software rechtzeitig zu aktualisieren. Obwohl bei diesem Angriff keine Ransomware freigesetzt wurde, wurden die persönlichen Daten von fast 4.000 UN-Mitarbeitern kompromittiert.

Wie man sich gegen Ransomware-Angriffe auf Active Directory verteidigt

Die Planung, einfach das Lösegeld zu bezahlen, ist keine tragfähige Ransomware-Strategie. Es gibt keine Garantie, dass Sie tatsächlich den Entschlüsselungscode erhalten, und es könnte sein, dass Sie eher erneut ins Visier genommen werden. Es gibt jedoch wirksame Strategien, um das Risiko einer Ransomware-Infektion zu verringern und den Schaden zu minimieren, falls es doch zu einer kommt. Hier sind die wichtigsten Best Practices.

Ausgewählte verwandte Inhalte:

• [Kostenloser Leitfaden] Best Practices für die Sicherheit von Active Directory

Bereinigen Sie AD-Konten und -Gruppen

Stellen Sie sicher, dass jeder Benutzer nur die Berechtigungen hat, die für seine Aufgaben erforderlich sind. Entfernen Sie alle nicht mehr benötigten AD-Konten und Sicherheitsgruppen und stellen Sie sicher, dass jede verbleibende Gruppe einen festgelegten Eigentümer (oder Eigentümer) hat, der regelmäßig die Berechtigungen und Mitgliedschaft der Gruppe überprüfen muss.

Minimieren Sie privilegierte Konten

Bösartige Akteure, einschließlich Ransomware-Banden, können den größten Schaden anrichten, wenn sie ein hochprivilegiertes Konto kompromittieren. Daher ist es unerlässlich, die Mitgliedschaft in allen privilegierten Gruppen streng zu begrenzen, insbesondere in sehr mächtigen wie Enterprise Admins, Domain Admins und Schema Admins.

Noch besser, setzen Sie auf ein modernes Privileged Access Management (PAM), das es Ihnen ermöglicht, dauerhafte privilegierte Konten durch zeitgerechten, minimal notwendigen Zugriff zu ersetzen.

Aktualisieren Sie die Software umgehend

Softwareunternehmen veröffentlichen häufig Patches, um Schwachstellen in ihren Lösungen zu beheben, und bieten regelmäßig aktualisierte Versionen an, die die Sicherheit verbessern. Stellen Sie sicher, dass Ihr Windows Server-Betriebssystem und andere Software-Systeme gepatcht bleiben und führen Sie niemals Software aus, die das Ende ihrer Lebensdauer erreicht hat und keine Sicherheitsupdates mehr erhält.

Implementieren Sie Zero Trust und Multifaktor-Authentifizierung (MFA)

Ein Zero Trust-Sicherheitsmodell in Kombination mit MFA hilft dabei, Angreifer abzuwehren, sowohl beim Versuch, in Ihr Netzwerk einzudringen, als auch beim Versuch, sich seitwärts zu bewegen und ihre Berechtigungen zu erhöhen. MFA macht gestohlene Passwörter nutzlos, und Zero Trust bedeutet, dass selbst nach der Authentifizierung eines Benutzers verdächtige oder riskante Aktivitäten mit zusätzlichen Authentifizierungsanforderungen begegnet werden.

Investieren Sie in fortschrittliche Threat Detection and Response

Wie oben erläutert, verbringen Ransomware-Akteure typischerweise Zeit damit, sich durch das Netzwerk zu bewegen, um mächtigere Anmeldeinformationen und wertvolle Vermögenswerte zu suchen. Es ist wesentlich, die Umgebung ständig auf verdächtige Aktivitäten zu überwachen. Darüber hinaus führen moderne Ablenkungstechnologien Angreifer dazu, sich selbst durch Techniken wie Honeypots zu enttarnen.

Bilden Sie alle Benutzer aus

Einer der effektivsten Ansätze zum Schutz von Active Directory besteht darin, alle Benutzer in der Organisation über die Taktiken aufzuklären, die Angreifer verwenden, um Ransomware zu platzieren, wie Phishing-E-Mails mit bösartigen Links oder Anhängen. Führen Sie regelmäßige Schulungen durch und bewerten Sie deren Wirksamkeit mit Tests wie Phishing-ähnlichen E-Mails.

Bereiten Sie sich auf ein Ransomware-Ereignis vor

Das Vorhandensein von Playbooks für die Reaktion auf Ransomware-Angriffe wird eine schnelle und effektive Antwort sicherstellen. Einige Lösungen können sogar automatisch spezifische Aktionen durchführen, wenn eine bekannte Bedrohung erkannt wird. Stellen Sie außerdem sicher, dass Sie Active Directory sichern, die Daten außerhalb der Reichweite von Ransomware speichern und den Wiederherstellungsprozess regelmäßig üben.

Absicherung von Active Directory mit Netwrix Directory Manager

Die Implementierung von Best Practices für Active Directory security ist eine komplexe und zeitaufwändige Aufgabe. Netwrix Directory Manager ist eine umfassende Lösung für Identity and Access Management, die die Arbeit vereinfacht und automatisiert. Zum Beispiel können Sie mit Netwrix Directory Manager:

• Halten Sie die Mitgliedschaft in der AD-Sicherheitsgruppe automatisch aktuell
• Stellen Sie sicher, dass jede Gruppe einen Besitzer hat und weisen Sie sogar mehrere Besitzer zu
• Ermöglichen Sie Benutzern, ihre eigenen Passwörter sicher zurückzusetzen und ihre Konten zu entsperren
• Implementieren Sie die Multifaktor-Authentifizierung
• Implementieren Sie Passwortkomplexitätsanforderungen
• Bericht über die Directory Management-Gesundheit