Ransomware-Angriffe auf Ihr Active Directory: Eine kostspielige Bedrohung für Unternehmen

Hoch techologisches Auge nah herangezoomt
Inhaltsverzeichnis

Ransomware ist ein ernstzunehmendes globales Phänomen, das Unternehmen, Behörden und Privatpersonen in die Knie zwingt. Ransomware transformiert die wertvollsten Vermögenswerte eines Unternehmens – seine Daten – in ein Mittel, dessen Freigabe nur gegen Zahlung eines Lösegeldes erfolgt. Die Bedrohung ist so real und verbreitet, dass sie mittlerweile als eine der größten Herausforderungen für die Cybersicherheit gilt.

Aktuelle Bedrohungen durch Ransomware

Ein prominentes Beispiel ist der Ransomware-Angriff auf den deutschen Automobilzulieferer Continental, der 2022 stattfand. Hierbei verlief der Angriff zunächst unbemerkt, so dass eine hohe Anzahl sensibler Daten gestohlen werden konnte. Die Angreifer forderten ein beachtliches Lösegeld, was den Fokus auf die Anfälligkeit selbst großer Unternehmen lenkte.

Auch heute ist das Thema immer noch aktuell. Im Februar 2024 wurde das deutsche Unternehmen PSI Software AG, ein Entwickler von Softwarelösungen für komplexe Produktions- und Logistikprozesse und KRITIS-Spezialist, Opfer eines Ransomware-Angriffs. Die Attacke führte dazu, dass interne IT-Systeme der Firma betroffen waren. Dieser Vorfall zeigt die anhaltende Bedrohung durch Ransomware.

Mann vor Laptop mit Ransomware Angriff

Ransomware hat einen größeren Impact als herkömmliche Malware, da sie nicht nur Geräte befällt, sondern auch Daten verschlüsselt und Lösegeld verlangt, um den Zugriff wiederherzustellen. Oftmals sind die bereitgestellten Entschlüsselungsschlüssel jedoch fehlerhaft. Daher wird davon abgeraten, Lösegeld zu zahlen.

Die Entwicklung der Ransomware-Techniken schreitet stetig voran: Hacker greifen nun vermehrt Ressourcen außerhalb der infizierten Geräte an, z.B. indem sie auf Serverdateien zugreifen. Double und Triple Extortion sind fortgeschrittene Ransomware-Techniken, die den Druck auf Unternehmen erheblich verstärken. Bei Double Extortion verschlüsseln Angreifer zunächst die Daten des Opfers und verlangen ein Lösegeld für die Entschlüsselung. Wenn das Opfer nicht zahlt, stehlen sie sensible Daten und drohen, diese zu veröffentlichen oder zu verkaufen. Triple Extortion fügt eine dritte Erpressungsstufe hinzu, bei der die Angreifer auch Dritte wie Kunden, Partner oder Mitarbeiter des Opfers erpressen, indem sie Lösegeld verlangen, um die Daten nicht zu verbreiten oder zu missbrauchen.

Verbreitung von Ransomware über Active Directory

In den letzten Jahren haben Cyberkriminelle ihre Taktiken weiterentwickelt und nutzen zunehmend bestehende Infrastrukturen wie das Active Directory (AD) zur Verbreitung von Ransomware. Active Directory ist ein von Microsoft entwickeltes System zur Identitätsverwaltung, das in vielen Unternehmen als ein Herzstück der IT-Infrastruktur dient. Es wird verwendet, um Benutzerkonten, Server, Computer und Anwendungen zentral zu verwalten, Zugriffskontrollen zu konfigurieren und die Authentifizierung von Benutzern im Netzwerk sicherzustellen. Der hohe Verbreitungsgrad von AD in Organisationen macht es zu einem attraktiven Ziel für Angreifer. Ein erfolgreicher Angriff auf das Active Directory wird meist das gesamte Netzwerk eines Unternehmens gefährden.

Ransomware-Angriffe wie LockerGoga und Samas nutzten AD nicht nur, um Daten auf einzelnen Geräten zu verschlüsseln, sondern um sich im gesamten Unternehmensnetzwerk auszubreiten. Diese Ransomware-Varianten benötigen keinen eigenen Mechanismus zur Verbreitung, wie es bei traditionellen Malware-Spreader-Tools der Fall ist. Statt einen zusätzlichen Schadcode zu integrieren, der fehleranfällig sein könnte, verwenden Hacker die bereits vorhandenen Funktionen des Active Directory, um sich lateral im Netzwerk zu bewegen.

Frau vor großem Serverraum

Angriffsszenarien von Ransomware über Active Directory

Ein typisches Angriffsszenario beginnt mit der Kompromittierung eines einzelnen Geräts. Sobald die Angreifer administrativen Zugriff auf einen Endpunkt erhalten, können sie mit standardmäßigen AD-Tools auf die Verzeichnisstruktur zugreifen und Informationen über alle Benutzer, Computer und Anwendungen im Netzwerk sammeln. Diese Informationen ermöglichen es, gezielt Rechte auszuweiten, neue Konten anzulegen oder bestehende Berechtigungen zu manipulieren. Das Active Directory bietet dabei eine Fülle von Schnittstellen, die es den Angreifern erlauben, tiefgreifende und unbemerkte Änderungen vorzunehmen. Beispielsweise können Hacker mithilfe des „LDAP-Protokolls“ (Lightweight Directory Access Protocol) Active Directory-Abfragen durchführen, um Domänencontroller zu identifizieren und die Benutzerberechtigungen zu analysieren. Anschließend können sie diese Informationen nutzen, um die Ransomware auf weitere Geräte im Netzwerk zu verteilen.

Besonders problematisch ist, dass die standardmäßigen Administrationstools von AD oft nicht von Sicherheitssoftware überwacht werden. Das bedeutet, dass eine Kompromittierung des Active Directory selbst dann unerkannt bleiben kann, wenn eine Sicherheitslösung auf allen Endpunkten aktiv ist. Diese Tatsache macht das Active Directory zu einer potenziell unsichtbaren Angriffsfläche, die Cyberkriminelle ausnutzen können, um Ransomware-Angriffe unbemerkt durchzuführen.

Ein weiteres Beispiel für die Gefährdung durch AD ist die Fähigkeit, auf verbundene Ressourcen wie Dateiserver zuzugreifen. In vielen Netzwerken werden Laufwerke und Dateifreigaben über das Active Directory gesteuert. Hat ein Angreifer Zugang zu einem privilegierten AD-Konto, kann er sich Zugang zu sämtlichen freigegebenen Dateien verschaffen und diese verschlüsseln. In solchen Fällen verbreitet sich die Ransomware nicht direkt auf andere Endgeräte, sondern nutzt die bestehenden Netzwerkfreigaben, um die Verschlüsselung aus der Ferne durchzuführen. Dieser Ansatz erlaubt es den Angreifern, massive Schäden anzurichten, ohne dass sie physisch an den betroffenen Systemen arbeiten müssen.

Mann vor Computer

Angreifer können auch Ransomware in die „SYSVOL-Freigabe“ von Active Directory injizieren. SYSVOL ist eine spezielle Freigabe, die auf jedem Domänencontroller repliziert wird und Codes für Anmeldeskripte und Gruppenrichtlinien enthält. Angreifer mit Schreibzugriff auf SYSVOL können Schadcodes in geplante Tasks oder Anmeldeskripte integrieren, die bei der Anmeldung von Benutzern ausgeführt werden. Dadurch wird sichergestellt, dass sich die Ransomware auf jedes Gerät ausbreitet, das sich bei der Domäne anmeldet.

Schließlich wird die AD häufig für die Verteilung von Software-Updates und Konfigurationsänderungen verwendet. Diese Funktionalität kann ebenfalls missbraucht werden, um Ransomware auf mehreren Geräten zu verteilen, indem es als scheinbar legitimes Update eingespielt wird. Diese Vorgehensweise ermöglicht es den Angreifern, den Schaden exponentiell zu vergrößern und die Wiederherstellung nach einem Angriff zu erschweren.

Maßnahmen zum Schutz gegen die Verbreitung von Ransomware über Active Directory

Ransomware-Angriffe stellen eine ernsthafte Bedrohung für Unternehmen dar, insbesondere wenn sie das Active Directory zur Ausbreitung nutzen. Um die Sicherheit zu erhöhen und das Risiko solcher Angriffe zu verringern, sollten Unternehmen mehrere Maßnahmen ergreifen, um die Sicherheit privilegierter AD-Konten zu stärken.

Zunächst sollte die Mitgliederzahl in hochprivilegierten Gruppen, wie beispielsweise Domain Admins und Enterprise Admins, auf ein Minimum beschränkt werden. Je weniger Personen Zugriff auf diese Gruppen haben, desto geringer ist das Risiko eines Angriffs. Regelmäßige Überprüfungen sind erforderlich, um sicherzustellen, dass nur die unbedingt notwendigen Mitarbeiter Teil dieser Gruppen sind.

Darüber hinaus sollten privilegierte AD-Konten nicht für alltägliche Aufgaben verwendet werden. Der Einsatz von speziellen, gesicherten Geräten für alle Aufgaben, die erhöhte Zugriffsrechte erfordern, hilft, das Risiko von Angriffen zu verringern. Diese Geräte sollten spezifisch konfiguriert und regelmäßig auf Schwachstellen überprüft werden, um ihre Integrität zu gewährleisten.

Ein weiterer wichtiger Schritt ist die Implementierung von Multi-Faktor-Authentifizierung (MFA) mindestens für privilegierte AD-Konten, da dies eine effektive Maßnahme zur Erhöhung der Sicherheit darstellt. MFA gewährleistet, dass selbst wenn ein Angreifer das Passwort eines privilegierten Kontos kennt, der Zugriff auf das Konto weiterhin verweigert wird, da eine zusätzliche Authentifizierungsebene erforderlich ist.

Zusätzlich ist die kontinuierliche Überwachung des Active Directory auf ungewöhnliche Aktivitäten entscheidend für die frühzeitige Erkennung von Bedrohungen. Der Einsatz von Security Information and Event Management (SIEM)-Lösungen ermöglicht es Unternehmen, sicherheitsrelevante Daten in Echtzeit zu analysieren. Durch die Identifizierung von Anomalien, wie etwa ungewöhnlichen Anmeldeversuchen oder unautorisierten Änderungen an Benutzerkonten, können Administratoren schnell auf potenzielle Angriffe reagieren.

Überwachungskamera

Zudem sollten Unternehmen ein mehrstufiges Administrationsmodell für Active Directory implementieren (siehe z.B. Microsoft). In einem solchen Modell sollten die Ressourcen in mehrere Sicherheitsstufen unterteilt werden, um eine klare Trennung zwischen hochprivilegierten Konten und denjenigen mit geringeren Berechtigungen zu gewährleisten. Diese strukturierte Verwaltung sorgt dafür, dass privilegierte Konten nicht unnötig auf Systeme zugreifen, die ein höheres Risiko für Sicherheitsverletzungen darstellen.

Audit zur Überprüfung der Active Directory-Infrastruktur

Ein Audit der Active Directory (AD)-Infrastruktur hat das Ziel, die Sicherheit, Effizienz und die Einhaltung von Compliance-Richtlinien einer Organisation im Hinblick auf ihre AD-Umgebung zu bewerten. Dabei werden verschiedene Kernbereiche untersucht:

Benutzer- und Gruppenverwaltung

Hier wird geprüft, ob Benutzerkonten und Berechtigungen korrekt eingerichtet sind. Insbesondere wird auf die Verwaltung privilegierter Konten, wie Administratoren, geachtet, um Missbrauch zu verhindern.

Passwortrichtlinien

Es wird analysiert, ob Richtlinien zur Passwortsicherheit, wie Mindestlänge, Komplexität und Ablaufzeiten, den geltenden Sicherheitsstandards entsprechen und konsequent umgesetzt werden.

Überwachung und Protokollierung

Die Protokollierung von Anmelde- und Zugriffsereignissen wird bewertet, um sicherzustellen, dass auffällige Aktivitäten erkannt und protokolliert werden können.

Zusätzlich wird die Konfiguration der Gruppenrichtlinienobjekte (GPOs) unter die Lupe genommen, um sicherzustellen, dass diese ordnungsgemäß angewendet werden und den Sicherheitsstandards genügen. Ein zentraler Punkt ist auch die Prüfung der Sicherheitskonfiguration der Domänencontroller, inklusive der Backup-Strategien und der Datenreplikation, um zu garantieren, dass die AD-Daten im Ernstfall wiederherstellbar und synchronisiert sind.

Das Audit umfasst auch die Analyse inaktiver oder verwaister Benutzer- und Computerkonten, die ein Sicherheitsrisiko darstellen könnten, sowie deren Deaktivierung oder Entfernung. Ein weiterer Schwerpunkt ist die Einhaltung von Sicherheitsrichtlinien und regulatorischen Vorgaben, um sicherzustellen, dass die AD-Infrastruktur mit den relevanten Vorschriften übereinstimmt. Dabei wird auch geprüft, ob die Organisation auf einen möglichen Ausfall der AD-Infrastruktur vorbereitet ist.

Insgesamt trägt ein Active Directory-Audit dazu bei, dass die IT-Umgebung nicht nur sicher und regelkonform, sondern auch effizient betrieben wird.

User Experience

Ist das Thema Active Directory bei Ihnen umfassend geprüft und abgesichert? Wir checken mit unserem Audit den Status Quo Ihrer Active Directory-Infrastruktur und empfehlen Ihnen passend zur Analyse sinnvolle Sicherheitsmaßnahmen.

Externes Pentesting reicht nicht mehr aus! Moderne Angriffe erfordern proaktive Abwehr, interne Tests & kontinuierliche Überwachung.
In Notfällen kommen sogenannte Break-Glass-Accounts zum Einsatz, die einen schnellen und sicheren Zugriff auf kritische Systeme ermöglichen.
Active Directory bildet das Fundament vieler Unternehmensnetzwerke – und ist deshalb ein bevorzugtes Ziel von Cyberangriffen. Schwachstellen in der AD-Sicherheit können fatale Folgen haben.

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen

kostenfrei und unverbindlich

Rufen Sie uns direkt an

Vielen Dank, dass entsprechende Cookie wurde gesetzt. Damit wird die Verarbeitung der Daten bei Ihrem nächsten Besuch unterbunden. Hier klicken um dich auszutragen.