Eigentlich war Mimikatz ein Programm, das bei Windows Sicherheitslücken aufspüren sollte. Im Detail sind darunter Schwachstellen in Authentifizierungsprotokollen von Microsoft zu verstehen. Aber wie es immer so im IT-Leben sein kann, können gute und nützliche Funktionen missbraucht werden. Hacker haben sich erneut diese Eigenschaften von Mimikatz zu eigen gemacht und sie zur Malware umfunktioniert. Nachstehend werden diese Machenschaften näher beschrieben.

Industrieunternehmen im Fokus von Hackern

Im Jahr 2017 tauchten bereits die ersten Sicherheitslücken auf, die weltweit bei Banken, Behörden und Unternehmen entdeckt wurden. Bereits damals nutzten unbekannte Täter Mimikatz neben PowerShell sowie Metasploit und hinterließen in vierzig Ländern ihre Spuren, die zunächst unerkannt blieben. Denn die Malware ist schwer zu entdecken, wenn sie nicht auf der Festplatte, sondern auf dem Arbeitsspeicher gespeichert wird.

Die aktuellen Nachrichten der bekanntesten IT-Unternehmen wie beispielsweise Kaspersky berichten nun von einem Angriff, der sich insbesondere in Japan, Deutschland und England vollzog. Diesmal waren vorwiegend Industrieunternehmen im Visier.

Die Installation erfolgte durch sogenannte Phishing-E-Mails, die immer wieder auf unterschiedliche Mitarbeiter im Unternehmen treffen. Wenn sie die Anhänge öffnen, installiert sich die Software durch einen Klick ganz alleine. Gefährliche Anhänge sind demnach Audiodaten, Bilddaten, Textdaten oder Dateisystem-Fragmentierungen. Die Downloads werden hingegen durch Steganographiemethoden versteckt und bleiben somit unerkannt. Die Hacker können sich danach Nutzungszugriffe sichern, die Systemadministratoren gleichkommen. Der Erfolg der Installation ist aber nur gegeben, wenn das infiltrierte Betriebssystem mit der Sprache der E-Mails übereinstimmt. Ansonsten kann die Malware keinen Schaden anrichten und die Hacker die genannten Nutzungsrechte nicht bekommen.

Insgesamt ist nicht klar, ob die Hacker von 2017 und im aktuellen Geschehen dieselben sind. Auch ist es nicht klar, welchen Hintergrund sie haben, ob sie lediglich Industriespionage betreiben wollten oder sogar die kompletten Funktionsweisen der Unternehmen lahmlegen wollten. Auf jeden Fall sind nun alle Mitarbeiter in Unternehmen angeraten, im Zweifel die E-Mails nicht zu öffnen oder diese den Administratoren zur Aufklärung vorzulegen beziehungsweise weiterzuleiten.