Das Wissen über Methoden, Programme und deren Funktionen, welche von Ransomware-Angreifer verwendet werden, kann sehr hilfreich sein, um sich vor Cyber-Eindringlingen zu schützen. Je besser Sie Bescheid wissen, auf welche Art und Weise Hacker vorgehen, desto kleiner ist das Risiko, in deren Fallen zu tappen. Hacker verwenden ein Programm namens Mimikatz, um deren Ransomware über Netzwerke zu verbreiten. Mit der Prävention gegen eine Ransomware-Infizierung können hohe Kosten im Zusammenhang mit der Reaktion nach einem Angriff vermieden werden. Es lohnt sich daher, sich etwas Zeit zu nehmen, um zu erfahren, wie Mimikatz funktioniert und wie Sie Ihr Netzwerk dagegen schützen können.
Der Ursprung von Mimikatz
Mimikatz existiert seit einiger Zeit, das Programm wird in letzter Zeit jedoch vermehrt als Komponente komplexer Ransomware-Angriffe verwendet. Mimikatz wurde ursprünglich von Benjamin Delpy, der damals für die französische Regierung arbeitete, entwickelt. Delpy fand einen kritischen Fehler in der Art und Weise wie Windows seine Passwörter speichert. Er kontaktierte Microsoft, um das Unternehmen zu warnen. Das Engineering-Team von Microsoft war unbesorgt. Es war der Ansicht, dass es zu schwierig wäre, den entdeckten Fehler auszunutzen. Daraufhin entwickelte Delpy das Programm Mimikatz, um seinen Standpunkt zu beweisen.
Delpy präsentierte seine Ergebnisse später auf einer Konferenz in Moskau und eine Reihe russischer Regierungsagenten interessierten sich sofort dafür. Später machten russische Spione Schlagzeilen, da es ihnen gelungen war, sich mit dem Tool in den Deutschen Bundestag zu hacken. Das Spionageprogramm der NSA übernahm Mimikatz zu einem späteren Zeitpunkt ebenso.
Sowohl die NotPetya- als auch die BadRabbit-Ransomware-Stämme haben Mimikatz eingesetzt, um sich Zugang zu den Systemen ihrer Opfers zu verschaffen. Windows hat versucht eine Reihe von Patches zu entwickeln, um Mimikatz entgegenzuwirken. Hacker fanden jedoch schnell Wege, um die Patches zu überschreiben. Es scheint so, als würde Mimikatz auch zukünftig ein beliebtes Werkzeug für Cyberkriminelle bleiben.
Wie ist das Vorgehen von Mimikatz?
Mimikatz extrahiert Kennwortdaten von Windows-Computern, einschließlich Hashes, PINs oder Kerberos-Tickets. Anschließend werden die Daten an andere Computer weitergeleitet, um administrativen Zugriff zu erhalten.
Um Zugriff auf diese Daten zu erhalten, verwendet Mimikatz eine Funktion namens WDigest, die Teil der Single Sign-On (SSO)-Funktionen in älteren Windows-Versionen war. Windows 8.1 erlaubte die Deaktivierung von WDigest. Bei Windows 10 war WDigest standardmäßig deaktiviert. Erhält ein Angreifer jedoch Zugriff auf ein System, kann er WDigest wieder aktivieren, um damit Kennwortdaten zu sammeln.
Wie unterstützt Mimikatz die Verbreitung von Ransomware?
Wenn Ransomware-Angreifer erfolgreich in ein System eindringen konnten, versuchen sie als Erstes, sich Zugriff auf soviel Netzwerk wie möglich zu verschaffen. Sie suchen immer auch nach Backups. Denn je mehr Daten sie verschlüsseln und/oder stehlen können, desto höher können die Lösegeldforderungen ausfallen. Je höher der Wert der kompromittierten Daten ist, desto wahrscheinlicher wird eine Lösegeldzahlung.
Sobald ein Hacker Zugriff auf ein System erhält, macht es Mimikatz viel einfacher, sich lateral im Netzwerk zu bewegen. Das hat zur Konsequenz, dass mehr vom Netzwerk verschlüsselt werden kann, und dass der Zugriff auf sensiblere Daten möglich wird.
Wie können Sie die Verbreitung von lateraler Ransomware verhindern?
Eine gute Verteidigung gegen Mimikatz verringert das Risiko eines Zugriffs auf Ihr Netzwerk durch Hacker leider nicht. Das Verhindern einer Cyberattacke durch Mimikatz kann jedoch ein wirksames Mittel zur Schadensbegrenzung nach einem Angriff sein. Ein paar kleinere betriebliche Änderungen können Ihr Netzwerk vor Mimikatz schützen und die Verbreitung von Ransomware stoppen.
Wenn Sie ein Upgrade auf Windows 8.1 oder höher durchführen können, tun Sie dies. Der Einsatz von Local Security Authority Subsystem Service (LSASS) unter einer dieser neueren Versionen von Windows kann die Verwendung von Mimikatz verhindern.
Motiviertes und kompetentes Sicherheitspersonal zur Überwachung der Netzwerkaktivität kann eine gute Investition sein. Der sicherste Weg, um sicherzustellen, dass Ihr System Mimikatz-sicher ist, besteht jedoch darin, es regelmäßig mit Mimikatz selbst zu testen.
Eine der besten Möglichkeiten sich zu schützen, besteht darin, eindeutige Administratorkennwörter für jeden Windows-Computer im Netzwerk zu verwenden. Stellen Sie außerdem sicher, dass Sie Administratorrechte nur den Benutzern zuweisen, die diese Zugänge unbedingt benötigen.
In den vergangenen Monaten nutzten Ransomware-Banden Mimikatz in Verbindung mit Brute-Force-Angriffen immer häufiger. Mit Brute-Force-Angriffen können viele schwache Passwörter innerhalb weniger Tage geknackt werden. Wenn Cyberkriminelle in der Lage sind, das Administratorpasswort zu knacken, erhalten sie uneingeschränkten Zugriff auf das gesamte Netzwerk. Ein starkes Administratorkennwort kann den Unterschied zwischen einer geringfügigen Unannehmlichkeit und einer katastrophalen Datenschutzverletzung bedeuten.