{"id":27141,"date":"2021-08-04T12:57:38","date_gmt":"2021-08-04T10:57:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27141"},"modified":"2021-08-04T12:57:38","modified_gmt":"2021-08-04T10:57:38","slug":"ransomware-group-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/","title":{"rendered":"Verbreitung von Ransomware durch Gruppenrichtlinien"},"content":{"rendered":"<p>Ransomware, auch als Erpressersoftware oder Verschl\u00fcsselungstrojaner bekannt, hat sich seit einigen Jahren zu einer eigenst\u00e4ndigen\u00a0<a href=\"https:\/\/www.kaspersky.de\/blog\/darkside-ransomware-industry\/26522\/\" target=\"_blank\" rel=\"noopener\">Schwarzmarktbranche<\/a> mit technischem Kundendienst, Pressezentren und Werbekampagnen entwickelt. Wie bei jeder Branche sind auch bei Ransomware st\u00e4ndige Verbesserungen erforderlich, damit das Produkt wettbewerbsf\u00e4hig bleibt. LockBit ist beispielsweise eine von mehreren Cybergangs, die aktuell f\u00fcr die neue Funktionalit\u00e4t von Ransomware werben, die es erm\u00f6glicht \u00fcber einen Dom\u00e4nencontroller lokale Computer zu infizieren.<\/p>\n<p>LockBit betreibt die Erpressungssoftware als Ransomware as a Service (RaaS) und bietet seinen Kunden (Partner, die die eigentlichen Ransomware-Angriffe durchf\u00fchren) die Infrastruktur und die Malware an. Als Gegenleistung erh\u00e4lt die Cyberverbrechergruppe einen Teil des L\u00f6segeldes. Der Auftragnehmer \u00fcbernimmt die Aufgabe in das Netzwerk des Opfers einzudringen und verwendet dann die recht interessante Technologie von LockBit, um die Ransomware im Netzwerk zu verteilen.<\/p>\n<h2>Verteilung von LockBit 2.0<\/h2>\n<p>Laut <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies\/\" target=\"_blank\" rel=\"noopener nofollow\">Bleeping Computer<\/a> dringen die Angreifer in das Netzwerk ein, gehen direkt zum Dom\u00e4nencontroller und lassen die Malware darauf laufen, um neue Benutzergruppenrichtlinien zu erstellen, die anschlie\u00dfend an alle mit dem kompromittierten Netzwerk verbundenen Ger\u00e4t gesendet werden. Zuerst wird die eingebaute Sicherheitstechnologie des Betriebssystems durch die Gruppenrichtlinien deaktiviert. Daraufhin werden zus\u00e4tzliche Gruppenrichtlinien eingerichtet, darunter eine, die eine geplante Aufgabe auf Windows-Ger\u00e4ten erstellt, um Malware auszuf\u00fchren.<\/p>\n<p>Bleeping Computer zitiert den renommierten Cybersicherheitsforscher Vitali Kremez, der erl\u00e4uterte, dass die Ransomware die Schnittstelle f\u00fcr das Active Directory von Windows verwendet, um LDAP-Abfragen (LDAP ist die Abk\u00fcrzung f\u00fcr das \u201eLightweight Directory Access Protocol\u201c) zu erstellen und eine Liste mit Computern zu erhalten. LockBit 2.0 umgeht dann den User Account Control (UAC) und l\u00e4uft im Hintergrund, ohne Warnungen auf den Ger\u00e4ten auszul\u00f6sen, die verschl\u00fcsselt werden.<\/p>\n<p>Allem Anschein nach handelt es sich hier um die erste Massenverteilung von Malware \u00fcber Benutzergruppenrichtlinien. Dar\u00fcber hinaus verwendet LockBit 2.0 eine recht skurrile Methode f\u00fcr die Zustellung der L\u00f6segeldforderung: Alle mit dem Netzwerk verbundene Drucker werden durch eine Funktion der Malware dazu gezwungen die Erpressernachricht auszudrucken.<\/p>\n<h2>Wie kann ich mein Unternehmen vor \u00e4hnlichen IT-Bedrohungen sch\u00fctzen?<\/h2>\n<p>Denken Sie daran, dass ein Dom\u00e4nencontroller im Grunde genommen ein Windows-Server ist und als solcher angemessenen gesch\u00fctzt werden sollte. Sie k\u00f6nnen sich beispielsweise mit Kaspersky Security for Windows Server r\u00fcsten, eine dedizierte Sicherheitsl\u00f6sung, die in den meisten [KESB placeholder]Produkten mit Endpoint-Schutz f\u00fcr Unternehmen[\/KESB placeholder]enthalten ist und Windows Server \u2013 eine Produktlinie von Betriebssystemen, die Microsoft speziell f\u00fcr die Verwendung auf einem Server entwickelt \u2013 vor den meisten modernen Cybergefahren sch\u00fctzt.<\/p>\n<p>Die Verbreitung von Ransomware \u00fcber Gruppenrichtlinien geh\u00f6rt allerdings zur letzten Phase des Angriffs. Die b\u00f6sartigen Aktivit\u00e4ten sollten schon lange vorher erkannt werden, zum Beispiel, wenn die Angreifer ins Netzwerk eindringen und versuchen den Dom\u00e4nencontroller zu hacken.\u00a0Sicherheitstechnologien, wie <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/managed-detection-and-response?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Managed Detection and Response<\/a>, sind besonders effektiv f\u00fcr die Erkennung von Anzeichen dieser Art von Angriffen.<\/p>\n<p>Bedenken Sie au\u00dferdem, dass Cyberkriminelle oft Social-Engineering-Techniken und Phishing-Mails verwenden, um sich Zugriff auf das Netzwerk zu verschaffen. Es ist wichtig Mitarbeiter regelm\u00e4\u00dfig in Sachen <a href=\"https:\/\/k-asap.com\/de\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">Cybersicherheit<\/a> zu schulen, damit sie nicht auf solche Tricks hereinfallen.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Die Ransomware LockBit 2.0 verbreitet sich im lokalen Netzwerk mittels Gruppenrichtlinien, die in einem gehackten Dom\u00e4nencontroller erstellt werden.<\/p>\n","protected":false},"author":2581,"featured_media":27142,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3861,535],"class_list":{"0":"post-27141","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-domanencontroller","11":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-group-policies\/27141\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-group-policies\/23123\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-group-policies\/18605\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-group-policies\/9294\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-group-policies\/25107\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-group-policies\/23122\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-group-policies\/22466\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-group-policies\/25745\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-group-policies\/25234\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-group-policies\/31178\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-group-policies\/9888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-group-policies\/40877\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-group-policies\/17409\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-group-policies\/17873\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-group-policies\/15096\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-group-policies\/31314\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-group-policies\/27355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-group-policies\/24164\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-group-policies\/29500\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-group-policies\/29305\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27141"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27141\/revisions"}],"predecessor-version":[{"id":27143,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27141\/revisions\/27143"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27142"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}