Sicherheit + Datenschutz 9. Juni 2020 1 Min Lesezeit

Mimikatz schlägt wieder zu – diesmal ist die Industrie betroffen

Geschrieben von
Roger Klein
Mimikatz Malware

Der russische Sicherheitsanbieter Kaspersky warnt vor Hackerangriffen, die die Malware Mimikatz nutzen. Ziele sind Industrieunternehmen in Japan, England und Deutschland. Was diese Angriffe besonders heikel macht: Sie sind kaum zu identifizieren.

Offizielle Warnung vor Malware „Mimikatz“

Bereits 2017 hatte Kaspersky eine ähnliche Angriffswelle dokumentiert — damals mit Schadsoftware in über 40 Ländern, die weder Spuren noch Dateien auf Festplatten hinterliess. Mimikatz war schon damals aktiv, zusammen mit PowerShell und Metasploit.

Ursprünglich war Mimikatz kein Angriffswerkzeug. Das Tool sollte Schwachstellen in Microsofts Authentifizierungsprotokollen sichtbar machen — ein legitimes Sicherheitsprojekt. Diese Fähigkeit wurde zweckentfremdet. Hacker nutzten genau das, was als Aufdeckungsmechanismus gedacht war, als Einfallstor. 2017 traf es Banken, Behörden und Unternehmen. Heute sind es vor allem Industriebetriebe aus Japan, England und Deutschland. Ob es dieselben Akteure sind, ist unklar.

Die Funktionsweise

Der Angriff beginnt mit Phishing-E-Mails. Die Anhänge sind Word-Dokumente mit schädlichen Makros, die erst aktiv werden, wenn du eine Handlungsanweisung befolgst. Ein weiteres Detail: Die Malware greift nur, wenn das Betriebssystem mit der Sprache der E-Mail übereinstimmt.

Hat sich Mimikatz installiert, zeigt es beispielsweise Kerberos-Tickets an. Damit können sich Angreifer dieselben Zugriffsrechte wie Administratoren verschaffen und sich ungehindert im Unternehmensnetzwerk bewegen. Die Installation bleibt oft lange unentdeckt — die Downloads werden durch Steganographie-Methoden verschleiert.

Das funktioniert, weil sich in angehängten Daten ein sogenanntes Rauschen oder eine Variation einbetten lässt. Bilddaten, Audiodaten, Textdaten, Dateisystem-Fragmentierungen — all das bietet dafür geeignete Trägerdaten.

Was das konkret bedeutet: Wenn du in deinem Unternehmen E-Mails mit Anhängen bekommst, die du nicht erwartest, öffne die Dateien nicht. Lösch die E-Mail, oder leg sie dem Systemadministrator zur Prüfung vor. Das sind die ersten Schritte, die jedes Unternehmen sofort selbst umsetzen kann.

Tags: CybercrimeMalware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-12-07 Wir schaffen Bewusstsein für Cloud Sicherheit 2020-05-08 Schweizer Regierung formiert weiter zur Abwehr von Cyberangriffen 2020-06-08 Nukleare Triade gehackt? Hacker stehlen empfindliche Daten des US-Militärs

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG