Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware
Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
11Dezember 2025
23 min. lesen

Jenseits des Tores: Zero Trust und die Verteidigung von Active Directory

When Marks & Spencer went dark last April, it wasn’t just another outage. The British retailer had shut down its online services to contain a ransomware attack aimed at its core identity backbone.

Researchers now link the incident to Scattered Spider, a loose-knit crew of U.K.- and U.S.-based attackers, some as young as 16. The group used DragonForce, a ransomware affiliate service that makes cyberattacks as easy as renting malware and extortion tools.

Adding insult to injury, DragonForce even emailed M&S CEO Stuart Machin directly, bragging about the breach and demanding payment.

What made this incident stand out wasn’t the motive, but the precision. Rather than lingering on end-user systems, the attackers worked their way through the network toward the domain controller — the system that governs identity and trust across the enterprise.

This reflects a broader trend: ransomware groups are increasingly targeting identity infrastructure to accelerate their attacks. Understanding how that shift played out — and how it can be stopped — shows why identity has become the center of gravity in modern ransomware defense.

Number of DragonForce attacks by country according to GROUP-IB analysts. DragonForce is a ransomware-as-a-service affiliate program that often customizes attacks.

Wenn der Kern der Identität unsicher ist

Investigators have confirmed that the M&S attackers exfiltrated the NTDS.dit file — the crown jewels of Microsoft Active Directory.  

Active Directory runs on domain controllers — the servers that store and enforce the entire identity system. In plain terms, they stole the domain controller database, the system that decides who inside a company is trusted, what they’re allowed to access, and how every other system verifies identity.  

Der Raubüberfall war das digitale Äquivalent dazu, eine Bank zu verlassen – nicht nur mit dem Inhalt des Tresors, sondern auch mit den Schlüsseln, den Bauplänen und der Befugnis, nach Belieben neues Geld zu drucken.  

The attack exposed a reality that organizations may not want to admit publicly: attackers know that compromising a domain controller is the fastest and most reliable path to breaching an entire enterprise.

The M&S attack also shows how modern threat actors often think. Once they get inside a network, they don’t linger on end-user machines or look for stray servers to encrypt. They often laser-focus on finding a path to the domain controller.

This is because Active Directory is the system that holds everything together — user accounts, service accounts, permissions, authentication tickets, and the trust relationships that bind huge corporate environments. It’s a path that a Zero Trust approach would have shut down.

„Wer den Domänencontroller kontrolliert, kontrolliert die Identitätsinfrastruktur der Organisation“, sagte Michael Adjei, Leiter der Systementwicklung bei Illumio. „Man kann sich selbst sogenannte gottgleiche Berechtigungen erteilen.“ „die Kontrolle über jedes System zu erlangen, das ihm vertraut.

That insight echoes warnings from CISA.

„Wenn ein Angreifer den Domänencontroller erreicht, erhält er nicht nur Zugriff.“ „Sie erben das gesamte Identitätsgefüge der Organisation“, sagte Adjei. „Konten, Berechtigungen, Token, Dienstanmeldeinformationen: Alles läuft über Active Directory.“  

Windows Server 2012 Server Manager Dashboard mit drei Rollen: AD-Verzeichnisserver, DNS und Dateidienste.

Der Datendiebstahl bei Change Healthcare: Ein Fußabdruck, den niemand stoppte

Something similar happened in a Change Healthcare breach disclosed in February 2024, one of the largest healthcare cyber incidents in U.S. history.

Attackers, believed to be ALPHV Blackcat affiliates, gained an initial foothold through a remote server that lacked multi-factor authentication. Then they moved laterally through the environment, escalated privileges, and finally reached systems tied to the company’s core identity infrastructure.

The results were catastrophic: weeks of outages, billions in losses, nationwide pharmacy disruption, and data exposure affecting nearly 200 million people.

UnitedHealth Group CEO Andrew Witty paid the ransom, reportedly about $22 million in Bitcoin.  

But the payment didn’t bring the data back. Witty confirmed Change Healthcare recovered nothing — a familiar outcome in ransomware cases and a key reason experts warn against paying at all.  

The U.S. State Department is offering $15 million for intel that helps identify or track down the leaders behind ALPHV/BlackCat.

Wie sich die Sicherheitslücke beschleunigt: Weg zum Domänencontroller

The breach shows the real cost of an identity-layer failure combined with a lack of Zero Trust controls: one gap, a rapid lateral attack, and nationwide disruption that no ransom can reverse.

Once inside, threat actors don’t need to hit every system — they only need an east-west path of least resistance without controls.  

With nothing to contain the breach, they move laterally toward the domain controller, take hold of the victim’s core identity systems, and turn a single foothold into full-on compromise.

Adjei erklärte, dass die meisten Angriffe auf Domänencontroller mit etwas Kleinem beginnen, wie etwa einem ungepatchten System, einer falsch konfigurierten Identitätskontrolle oder einem alten Dienstkonto mit zu vielen Berechtigungen. Diese Sicherheitslücken bieten Angreifern einen ruhigen Ausgangspunkt und die Möglichkeit, die Umgebung von innen heraus zu kartieren.

From there, the reconnaissance looks ordinary: group lookups, domain trust checks, Kerberos queries, and service enumeration. None of them may trigger alarms by itself. But together, these steps reveal the most important target in the network: the domain controller and the identities that can reach it.

„Die Gefahr besteht darin, dass viele Organisationen annehmen, ihr Domänencontroller sei sicher, weil er durch Überwachung oder physische Isolation geschützt ist“, sagte Adjei. „Aber Angreifer gehen selten direkt vor.“ Sie folgen jedem internen Weg, der sich ihnen bietet – sei es eine schwache Berechtigung, ein erreichbares System oder ein flaches Ost-West-Netzwerk, das ihre Bewegungsfreiheit niemals einschränkt.“  

Das Muster bei den Sicherheitsvorfällen sowohl bei M&S als auch bei Change Healthcare macht deutlich: Wenn Angreifer Zugriff auf Active Directory erhalten, ist eine Eskalation unvermeidlich.

“You need graph-based visibility, not just logs,” Adjei said. “You must understand relationships between entities — how account A talks to system B, which authenticates through the domain controller. That’s where dependency mapping becomes critical.”

Sicherung des Identitätskerns durch Segmentierung

Domänencontroller können nicht in einem offenen Netzwerk betrieben werden. Wenn alles sie erreichen kann, können es auch Angreifer.  

Segmentation creates simple, strong Zero Trust boundaries around these systems. It blocks unnecessary east-west traffic and removes the easy paths attackers use to move deeper.

Der erste Schritt besteht darin, zu erkennen, wie alles zusammenhängt. Erstellen Sie eine Übersicht, welche Systeme mit Active Directory kommunizieren und welche Konten davon abhängig sind. Mit dieser Vorgehensweise können Sie den Zugriff einschränken, sodass nur die Systeme, die den Domänencontroller wirklich benötigen, ihn erreichen können.

Ein Zero-Trust-Ansatz zur Segmentierung sollte auch in jeder Umgebung funktionieren – Cloud, Rechenzentrum und Endgeräte. Ohne diese Möglichkeit könnten Angreifer theoretisch durch alle diese Systeme vordringen.  

Ein segmentierter Identitätskern verhindert, dass aus einer kleinen Sicherheitslücke eine vollständige Kompromittierung wird.

Verbesserung der Erkennung und Reaktion auf Seitwärtsbewegungen

Die meisten Angriffe werden erst nach dem ersten Erfolg ernst.  

Deshalb muss die Erkennung über den anfänglichen Sicherheitsvorfall hinausgehen. Starke Sicherheit beginnt mit einem klaren Kontext: Sie müssen erkennen, wie Workloads, Konten und der Domänencontroller miteinander in Beziehung stehen.

Als Nächstes sollten Sie sich auf die Signale der Seitwärtsbewegung konzentrieren. Dazu gehören seltsame Verbindungen zwischen Systemen, ungewöhnliche Verkehrsmuster oder eine Identität, die etwas erreicht, das sie niemals berührt. Wenn die Erkennung nur die wichtigen Ereignisse hervorhebt, können Teams schneller und mit weniger Störungen handeln.

Der letzte Schritt ist die schnelle Eindämmung. Erkennung und Segmentierung sollten zusammenarbeiten, um ein System zu isolieren, sobald es sich risikoreich verhält. Dies hindert einen Angreifer daran, sich dem Identitätskern zu nähern und verringert den Wirkungsradius eines möglichen Sicherheitsvorfalls.

Experience Illumio Insights free today to learn how to see and stop domain controller attacks before they spread.

Verwandte Themen

Eindämmung von Ransomware

Verwandte Artikel

Studie zu den globalen Kosten von Ransomware: Was uns die Zahlen sagen
Eindämmung von Ransomware

Studie zu den globalen Kosten von Ransomware: Was uns die Zahlen sagen

Erfahren Sie, wie Angreifer zu Betriebsunterbrechungen übergehen, warum Prävention nicht ausreicht und wie Zero Trust und Mikrosegmentierung die Auswirkungen von Ransomware eindämmen.

Mehr lesen
Was ist bei einem Cybervorfall zu tun, Teil 2: Nicht-technische Reaktion
Eindämmung von Ransomware

Was ist bei einem Cybervorfall zu tun, Teil 2: Nicht-technische Reaktion

Verstehen Sie die entscheidende, nicht-technische Seite der Reaktion auf Cybervorfälle: Vorfallbewertung, Berichterstattung, behördliche Einreichungen, Offenlegung und Durchsetzung von Prozessen.

Mehr lesen
Wie Illumio die laterale Ausbreitung von Ransomware in hybriden Multi-Cloud-Umgebungen stoppt
Eindämmung von Ransomware

Wie Illumio die laterale Ausbreitung von Ransomware in hybriden Multi-Cloud-Umgebungen stoppt

Erfahren Sie, wie die Cloud-Erkennungs- und Segmentierungslösungen von Illumio die seitliche Ausbreitung von Ransomware verhindern und Sicherheitslücken in hybriden Clouds eindämmen.

Mehr lesen
Das Hauptschlüsselproblem: Im Inneren des Salesloft-Datenlecks und die anhaltende Bedrohung
Eindämmung von Ransomware

Das Hauptschlüsselproblem: Im Inneren des Salesloft-Datenlecks und die anhaltende Bedrohung

Entdecken Sie, was der Salesloft-Datenleck über den Missbrauch von OAuth-Token und versteckte Vertrauensrisiken verrät und wie Sie Bedrohungen eindämmen können, bevor sie sich ausbreiten.

Mehr lesen
Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt
Eindämmung von Ransomware

Modernes Trojanisches Pferd: Wie Angreifer vom Land leben und wie man sie stoppt

Erfahren Sie, wie Angreifer mit vertrauenswürdigen Tools wie PowerShell und SSH "vom Land leben" und wie Sie LOTL-Bedrohungen mit Transparenz und Eindämmung stoppen können.

Mehr lesen
Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen
Cyber-Resilienz

Hier sind Drachen: Die wachsenden Cyberbedrohungen für kritische Infrastrukturen

Erfahren Sie, wie Cyberangriffe auf kritische Infrastrukturen im Jahr 2025 zunehmen werden, da die globalen Spannungen zunehmen und staatlich unterstützte Gruppen Versorgungsunternehmen, das Gesundheitswesen und vieles mehr ins Visier nehmen.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren