Verbreitung von Ransomware durch Gruppenrichtlinien

Die Ransomware LockBit 2.0 verbreitet sich im lokalen Netzwerk mittels Gruppenrichtlinien, die in einem gehackten Domänencontroller erstellt werden.

Ransomware, auch als Erpressersoftware oder Verschlüsselungstrojaner bekannt, hat sich seit einigen Jahren zu einer eigenständigen Schwarzmarktbranche mit technischem Kundendienst, Pressezentren und Werbekampagnen entwickelt. Wie bei jeder Branche sind auch bei Ransomware ständige Verbesserungen erforderlich, damit das Produkt wettbewerbsfähig bleibt. LockBit ist beispielsweise eine von mehreren Cybergangs, die aktuell für die neue Funktionalität von Ransomware werben, die es ermöglicht über einen Domänencontroller lokale Computer zu infizieren.

LockBit betreibt die Erpressungssoftware als Ransomware as a Service (RaaS) und bietet seinen Kunden (Partner, die die eigentlichen Ransomware-Angriffe durchführen) die Infrastruktur und die Malware an. Als Gegenleistung erhält die Cyberverbrechergruppe einen Teil des Lösegeldes. Der Auftragnehmer übernimmt die Aufgabe in das Netzwerk des Opfers einzudringen und verwendet dann die recht interessante Technologie von LockBit, um die Ransomware im Netzwerk zu verteilen.

Verteilung von LockBit 2.0

Laut Bleeping Computer dringen die Angreifer in das Netzwerk ein, gehen direkt zum Domänencontroller und lassen die Malware darauf laufen, um neue Benutzergruppenrichtlinien zu erstellen, die anschließend an alle mit dem kompromittierten Netzwerk verbundenen Gerät gesendet werden. Zuerst wird die eingebaute Sicherheitstechnologie des Betriebssystems durch die Gruppenrichtlinien deaktiviert. Daraufhin werden zusätzliche Gruppenrichtlinien eingerichtet, darunter eine, die eine geplante Aufgabe auf Windows-Geräten erstellt, um Malware auszuführen.

Bleeping Computer zitiert den renommierten Cybersicherheitsforscher Vitali Kremez, der erläuterte, dass die Ransomware die Schnittstelle für das Active Directory von Windows verwendet, um LDAP-Abfragen (LDAP ist die Abkürzung für das „Lightweight Directory Access Protocol“) zu erstellen und eine Liste mit Computern zu erhalten. LockBit 2.0 umgeht dann den User Account Control (UAC) und läuft im Hintergrund, ohne Warnungen auf den Geräten auszulösen, die verschlüsselt werden.

Allem Anschein nach handelt es sich hier um die erste Massenverteilung von Malware über Benutzergruppenrichtlinien. Darüber hinaus verwendet LockBit 2.0 eine recht skurrile Methode für die Zustellung der Lösegeldforderung: Alle mit dem Netzwerk verbundene Drucker werden durch eine Funktion der Malware dazu gezwungen die Erpressernachricht auszudrucken.

Wie kann ich mein Unternehmen vor ähnlichen IT-Bedrohungen schützen?

Denken Sie daran, dass ein Domänencontroller im Grunde genommen ein Windows-Server ist und als solcher angemessenen geschützt werden sollte. Sie können sich beispielsweise mit Kaspersky Security for Windows Server rüsten, eine dedizierte Sicherheitslösung, die in den meisten [KESB placeholder]Produkten mit Endpoint-Schutz für Unternehmen[/KESB placeholder]enthalten ist und Windows Server – eine Produktlinie von Betriebssystemen, die Microsoft speziell für die Verwendung auf einem Server entwickelt – vor den meisten modernen Cybergefahren schützt.

Die Verbreitung von Ransomware über Gruppenrichtlinien gehört allerdings zur letzten Phase des Angriffs. Die bösartigen Aktivitäten sollten schon lange vorher erkannt werden, zum Beispiel, wenn die Angreifer ins Netzwerk eindringen und versuchen den Domänencontroller zu hacken. Sicherheitstechnologien, wie Managed Detection and Response, sind besonders effektiv für die Erkennung von Anzeichen dieser Art von Angriffen.

Bedenken Sie außerdem, dass Cyberkriminelle oft Social-Engineering-Techniken und Phishing-Mails verwenden, um sich Zugriff auf das Netzwerk zu verschaffen. Es ist wichtig Mitarbeiter regelmäßig in Sachen Cybersicherheit zu schulen, damit sie nicht auf solche Tricks hereinfallen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.