Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Ransomware-Angriffe auf Active Directory

Ransomware-Angriffe auf Active Directory

Mar 1, 2024

Organisationen weltweit nutzen Active Directory (AD) als ihren primären Identitätsdienst, was es zu einem Hauptziel für Ransomware-Angriffe macht. Dieser Artikel erklärt, wie Angreifer Active Directory bei Ransomware-Angriffen ausnutzen und bietet Strategien und Werkzeuge zur Verteidigung gegen diese moderne Bedrohung.

Die zwei Phasen einer Ransomware-Attacke

Ein weit verbreiteter Irrglaube über Ransomware-Angriffe ist, dass sie schnell erfolgen: Jemand öffnet einen infizierten E-Mail-Anhang oder steckt ein infiziertes USB-Gerät ein, und innerhalb von Minuten sind Daten im gesamten Netzwerk verschlüsselt und eine Lösegeldforderung wird auf jedem Bildschirm angezeigt.

Die Realität sieht ganz anders aus. Ransomware-Angriffe sind heutzutage oft sehr ausgeklügelt und methodisch. Um so viele sensible Informationen wie möglich zu verschlüsseln und somit die Chancen auf ein hohes Lösegeld zu maximieren, gehen Angreifer in zwei Phasen vor:

  1. Einen Einstiegspunkt finden — Der erste Schritt besteht darin, einen Fuß in das Netzwerk der Opferorganisation zu setzen. Eine gängige Strategie ist es, die Active Directory-Anmeldeinformationen eines Benutzers durch Taktiken wie Phishing oder Passwortraten zu kompromittieren.
  2. Erweitern Sie ihre Reichweite — Mit einem gewöhnlichen Geschäftsnutzerkonto hat ein Angreifer nur begrenzten Zugang zu kritischen Systemen und Daten. Daher suchen sie nach Schwachstellen im Active Directory, die sie ausnutzen können, um ihre Rechte zu erweitern. Eine Taktik besteht darin, das Konto, das sie bereits kontrollieren, zu Sicherheitsgruppen hinzuzufügen, die umfangreichere Berechtigungen haben; leere Gruppen sind ein häufiges Ziel, da sie wahrscheinlich nicht sorgfältig verwaltet werden und die Hinzufügung eines neuen Mitglieds möglicherweise unbemerkt bleibt. Eine andere Möglichkeit besteht darin, die Konten anderer Benutzer zu kompromittieren, die bereits über Privileged Access-Berechtigungen verfügen, beispielsweise durch Erlangen von zwischengespeicherten Admin-Anmeldeinformationen auf dem Endpunkt, den sie bereits kontrollieren.

Sobald die Angreifer den Zugang haben, den sie wollen, führen sie die Ransomware aus, um alle Daten zu verschlüsseln, die sie erreichen können, was auch Inhalte in der Cloud einschließen kann. In vielen Fällen kopieren sie die Daten vor der Verschlüsselung, damit sie drohen können, sie als zusätzlichen Hebel zu veröffentlichen, um die Zahlung zu erzwingen. Oft versuchen sie auch, Backup-Daten zu verschlüsseln oder zu löschen, sodass die Opfer eher geneigt sind, der Lösegeldforderung nachzukommen.

Sorgfältig ausgewählte verwandte Inhalte

Ransomware-Angriffsmethoden, die Active Directory ausnutzen

Hier sind einige Methoden, wie Cyberkriminelle Active Directory ausgenutzt haben, um Ransomware-Angriffe durchzuführen:

Eindringen in ein Netzwerk mit einem deaktivierten AD-Konto

Im Angriff auf Colonial Pipeline im Jahr 2021 erlangte eine als DarkSide bekannte Gruppe Zugang zum Netzwerk durch ein deaktiviertes Active Directory-Konto. Sie kompromittierten das Konto entweder mit einer Liste häufig verwendeter Passwörter oder mit Sammlungen kompromittierter Passwörter, die im Darknet verfügbar sind. Deaktivierte Konten sind ein leichtes Ziel für Bedrohungsakteure, da ihre Übernahme weniger wahrscheinlich bemerkt wird als die Kompromittierung eines aktiven Kontos.

Verbreitung von Ransomware mithilfe von Active Directory Group Policy

Gruppenrichtlinie ist ein leistungsstarkes Feature von Active Directory, das Administratoren zur Aufrechterhaltung der Sicherheit und Benutzerproduktivität verwenden. Ransomware-Akteure können Gruppenrichtlinie missbrauchen, um ihre Schadsoftware zu verbreiten.

Zum Beispiel wird Ryuk-Ransomware oft über Gruppenrichtlinienobjekte (GPOs) verteilt, die die Angreifer modifizieren oder erstellen. Insbesondere fügen sie Ryuk in das Active Directory logon-Skript ein, was jeden infiziert, der sich am Active Directory-Server anmeldet.

Verbreitung von Ransomware über die SYSVOL-Freigabe von Active Directory

Eine weitere Methode, wie Ransomware-Banden Active Directory ausnutzen, ist die Verwendung des SYSVOL-Freigabeordners. SYSVOL speichert öffentliche Dateien der Domäne und ist für alle authentifizierten Benutzer lesbar. Sobald Gegner privilegierte Zugriffsrechte haben, verändern sie SYSVOL, um Aufgaben zu planen, die Geräte infizieren und überwachen.

Zugang durch Ausnutzung einer SharePoint-Schwachstelle erlangen

Ransomware-Akteure und andere Angreifer können auch einen Fuß in einer AD-Umgebung fassen, indem sie ungepatchte Schwachstellen ausnutzen. Zum Beispiel haben Hacker im Jahr 2019 eine Schwachstelle in Microsoft SharePoint bei den Vereinten Nationen ausgenutzt; obwohl Microsoft den Patch für die Schwachstelle veröffentlicht hatte, versäumte es die UN, die Software rechtzeitig zu aktualisieren. Obwohl bei diesem Angriff keine Ransomware freigesetzt wurde, wurden die persönlichen Daten von fast 4.000 UN-Mitarbeitern kompromittiert.

Wie man sich gegen Ransomware-Angriffe auf Active Directory verteidigt

Die Planung, einfach das Lösegeld zu bezahlen, ist keine tragfähige Ransomware-Strategie. Es gibt keine Garantie, dass Sie tatsächlich den Entschlüsselungscode erhalten, und es könnte sein, dass Sie eher erneut ins Visier genommen werden. Es gibt jedoch wirksame Strategien, um das Risiko einer Ransomware-Infektion zu verringern und den Schaden zu minimieren, falls es doch zu einer kommt. Hier sind die besten Praktiken.

Sorgfältig ausgewählte verwandte Inhalte

Bereinigen Sie AD-Konten und -Gruppen

Stellen Sie sicher, dass jeder Benutzer nur die Berechtigungen hat, die für seine Aufgaben notwendig sind. Entfernen Sie alle AD-Konten und Sicherheitsgruppen, die nicht mehr benötigt werden, und stellen Sie sicher, dass jede verbleibende Gruppe einen festgelegten Besitzer (oder Besitzer) hat, der regelmäßig die Berechtigungen und Mitgliedschaft der Gruppe überprüfen muss.

Minimieren Sie Privileged Accounts

Bösartige Akteure, einschließlich Ransomware-Banden, können den größten Schaden anrichten, wenn sie ein hochprivilegiertes Konto kompromittieren. Daher ist es unerlässlich, die Mitgliedschaft in allen privilegierten Gruppen streng zu begrenzen, insbesondere in sehr mächtigen wie Enterprise Admins, Domain Admins und Schema Admins.

Noch besser, setzen Sie auf ein modernes Privileged Access Management (PAM), das es Ihnen ermöglicht, dauerhafte privilegierte Konten durch zeitgerechten, minimal notwendigen Zugriff zu ersetzen.

Aktualisieren Sie die Software umgehend

Softwareunternehmen veröffentlichen häufig Patches, um Schwachstellen in ihren Lösungen zu beheben, und stellen regelmäßig aktualisierte Versionen bereit, die die Sicherheit verbessern. Stellen Sie sicher, dass Ihr Windows Server-Betriebssystem und andere Software-Systeme immer auf dem neuesten Stand sind und führen Sie niemals Software aus, die das Ende ihrer Lebensdauer erreicht hat und keine Sicherheitsupdates mehr erhält.

Implementieren Sie Zero Trust und Multifaktor-Authentifizierung (MFA)

A Zero Trust security model coupled with MFA helps thwart adversaries, both when they are trying to enter your network and when they attempt to move laterally and elevate their permissions. MFA renders stolen passwords useless, and Zero Trust means that even after a user has authenticated, suspicious or risky activity will be met with additional authentication demands.

Investieren Sie in fortschrittliche Threat Detection and Response

Wie oben erläutert, verbringen Ransomware-Akteure typischerweise Zeit damit, sich durch das Netzwerk zu bewegen, um mächtigere Anmeldeinformationen und wertvolle Vermögenswerte zu suchen. Es ist unerlässlich, die Umgebung ständig auf verdächtige Aktivitäten zu überwachen. Darüber hinaus führt moderne Irreführungstechnologie dazu, dass Angreifer sich selbst durch Techniken wie Honeypots offenbaren.

Bilden Sie alle Benutzer aus

Einer der effektivsten Ansätze zum Schutz von Active Directory besteht darin, alle Benutzer in der Organisation über die Taktiken aufzuklären, die Angreifer verwenden, um Ransomware zu verbreiten, wie z. B. Phishing-E-Mails mit bösartigen Links oder Anhängen. Führen Sie regelmäßige Schulungen durch und bewerten Sie deren Wirksamkeit mit Tests wie Phishing-ähnlichen E-Mails.

Bereiten Sie sich auf ein Ransomware-Ereignis vor

Das Vorhandensein von Playbooks für die Reaktion auf Ransomware-Angriffe wird helfen, eine schnelle und effektive Antwort sicherzustellen. Einige Lösungen können sogar automatisch spezifische Aktionen durchführen, wenn eine bekannte Bedrohung erkannt wird. Stellen Sie außerdem sicher, dass Sie Active Directory regelmäßig sichern, die Daten außerhalb der Reichweite von Ransomware speichern und den Wiederherstellungsprozess regelmäßig üben.

Absicherung von Active Directory mit Netwrix Directory Manager

Implementing best practices for Active Directory security is a complex and time-consuming task. Netwrix Directory Manager is a comprehensive identity and access management solution that simplifies and automates the work. For example, with Netwrix Directory Manager, you can:

  • Halten Sie die Mitgliedschaft in AD-Sicherheitsgruppen automatisch aktuell
  • Stellen Sie sicher, dass jede Gruppe einen Besitzer hat und weisen Sie sogar mehrere Besitzer zu
  • Ermöglichen Sie Benutzern, ihre Passwörter sicher zurückzusetzen und ihre Konten selbst zu entsperren
  • Implementieren Sie die Multifaktor-Authentifizierung
  • Implementieren Sie Passwortkomplexitätsanforderungen
  • Bericht über die Gesundheit des Verzeichnisses

FAQ

Verschlüsselt Ransomware Active Directory?

Ja, Ransomware kann Active Directory-Dateien verschlüsseln.

Warum greifen Hacker Active Directory an?

Active Directory spielt eine zentrale Rolle bei der Verwaltung von Identitäten und deren Zugriff auf Netzwerkressourcen, was es zu einem lukrativen Eintrittspunkt macht.

Was sind Active Directory-Angriffe?

Angriffe auf Active Directory umfassen das Kompromittieren von Benutzeranmeldeinformationen, das Manipulieren von Mitgliedschaften und Berechtigungen in Sicherheitsgruppen sowie das Ändern von Gruppenrichtlinienobjekten.

Ist Active Directory anfällig?

Ja. Active Directory ist ein komplexes System, das oft überprivilegierte Konten, falsch konfigurierte Sicherheitsrichtlinien und andere Schwachstellen aufweist, die Angreifer ausnutzen können.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Jonathan Blackwell

Leiter der Softwareentwicklung

Seit 2012 hat Jonathan Blackwell, ein Ingenieur und Innovator, eine führende Rolle in der Ingenieurskunst übernommen, die Netwrix GroupID an die Spitze des Gruppen- und Benutzermanagements für Active Directory und Azure AD Umgebungen gebracht hat. Seine Erfahrung in Entwicklung, Marketing und Vertrieb ermöglicht es Jonathan, den Identity-Markt und die Denkweise der Käufer vollständig zu verstehen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen