Security

Microsoft Defender predictive shielding stopper GPO-ransomware

3 min læsning

Resumé

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Lydresumé

0:00--:--
Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsofts seneste Defender-case study fremhæver en voksende ransomware-taktik: misbrug af Group Policy Objects (GPO'er) til at deaktivere sikkerhedsværktøjer og distribuere payloads i stor skala. For IT- og sikkerhedsteams er dette vigtigt, fordi GPO'er er betroede administrative mekanismer i de fleste Windows-miljøer, hvilket gør dem til en attraktiv angrebsvej for menneskestyret ransomware.

Hvad skete der

Microsoft undersøgte et angreb mod en stor uddannelsesinstitution med tusindvis af enheder, 33 servere, 11 domain controllers og 2 Entra Connect-servere. Angriberen havde allerede opnået Domain Admin-adgang og bevægede sig gennem flere velkendte faser:

  • Rekognoscering: Active Directory-enumerering og brute-force-aktivitet
  • Adgang til legitimationsoplysninger: Kerberoasting og NTDS dump-aktivitet
  • Lateral movement: Brug af legitimationsoplysninger med høje privilegier og oprettelse af lokale konti for persistens
  • Forsøg på påvirkning: GPO-baseret manipulation og ransomware-udrulning

Sådan fungerede GPO-angrebet

Angriberen brugte GPO'er i to faser:

  • Fase 1: Sikkerhedsmanipulation
    En ondsindet GPO forsøgte at deaktivere centrale Defender-beskyttelser, herunder real-time protection og behavioral monitoring.

  • Fase 2: Ransomware-distribution
    Omkring 10 minutter senere oprettede angriberen endnu en GPO, som implementerede en scheduled task til at kopiere og køre ransomware-filer fra SYSVOL.

Dette er effektivt, fordi angriberen kun behøver at angive politikken én gang; domain-joined enheder klarer resten automatisk.

Sådan stoppede Defender det

Defenders predictive shielding genkendte GPO-manipulationen som en sandsynlig forløber for ransomware og udløste GPO hardening, før ransomware-GPO'en kunne sprede sig bredt.

Vigtige resultater fra case study'et:

  • Nul enheder krypteret via GPO-vejen
  • Cirka 97 % af den forsøgte krypteringsaktivitet blev samlet set blokeret
  • 700 enheder modtog GPO hardening-beskyttelse
  • Mere end et dusin kompromitterede entiteter blev afbrudt
  • Tusindvis af angriberes godkendelses- og adgangsforsøg blev blokeret

Hvorfor dette er vigtigt for administratorer

Hændelsen viser, at ransomware-operatører i stigende grad misbruger standardværktøjer til IT-administration i stedet for kun at stole på åbenlyse malware-leveringsmetoder. GPO'er, scheduled tasks, SMB og værktøjer til fjernadministration er alle legitime driftsmekanismer, hvilket gør misbrug sværere at opdage uden avanceret registrering og respons.

For administratorer er læringen klar: kompromitteret identitet kombineret med GPO-misbrug kan hurtigt udvikle sig til en hændelse på tværs af hele virksomheden.

Anbefalede næste skridt

  • Gennemgå eksponering af privilegerede konti, især brug af Domain Admin
  • Auditer nylige GPO-ændringer og udrulninger af scheduled tasks
  • Undersøg tegn på Kerberoasting, NTDS-adgang og usædvanlig SMB-baseret eksekvering
  • Sørg for, at Microsoft Defender attack disruption-funktioner er aktiveret
  • Bekræft Defender tamper protection og endpoint-dækning på tværs af alle domain-joined enheder
  • Overvåg SYSVOL for uventede scripts, eksekverbare filer og DLL'er

Organisationer, der bruger Microsoft Defender, bør se denne sag som en påmindelse om at hærde identitet, overvåge administrative værktøjer og forberede sig på ransomware-kampagner, der misbruger indbyggede enterprise-kontroller.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.

Security

Microsoft advarer om phishing i skattesæsonen

Microsoft advarer om en bølge af skatte-relaterede phishing- og malwarekampagner, der udnytter emner som W-2, 1099, refusioner og kontakt med revisorer til at stjæle legitimationsoplysninger og omgå 2FA. Det er vigtigt, fordi angrebene i stigende grad er målrettede og bruger teknikker som QR-koder, flertrins-omdirigeringer, cloud-hostede filer og legitime administrationsværktøjer, hvilket gør dem sværere at opdage med traditionelle sikkerhedskontroller.