Credential-Dumping liegt vor, wenn ein Bedrohungsakteur Ihre Anmeldeinformationen, z. B. Ihr Passwort, stiehlt, um verschiedene bösartige Aktivitäten, einschließlich Ransomware, durchzuführen. Er wird oft mit Credential-Stuffing verwechselt, einer Art von Cyber-Angriff, bei dem gestohlene Anmeldeinformationen in mehrere Webseiten ‘gestopft’ werden. Im Grunde ist Credential-Stuffing eine Trial-and-Error-Methode, während Credential-Dumping Schwachstellen in Ihrem Arbeitsspeicher ausnutzt, um Ihre Anmeldeinformationen zu stehlen und zu kopieren. Sobald auf Ihre Anmeldeinformationen zugegriffen wird, werden diese als ‘Dump’ bezeichnet.
Unabhängig davon erfordern beide Bedrohungen eine solide Strategie zur Verwaltung von Anmeldeinformationen in Ihrem Unternehmen.
Wie funktioniert Credential-Dumping?
In der Regel hacken sich Cyber-Kriminelle in den Arbeitsspeicher Ihres Geräts, und nicht in den Festwertspeicher (ROM). Dort suchen sie nach Anmeldeinformationen wie Benutzernamen und Passwörtern. Sobald böswillige Akteure Ihre Anmeldeinformationen erhalten haben, versuchen sie, auf Ihre Konten zuzugreifen oder andere Geräte zu infizieren, die mit demselben Netzwerk verbunden sind. Dies ist eine übliche ‘Vorbereitungsstrategie’ für eine unternehmensweite Ransomware-as-a-Service-Angriff, zum Beispiel).
Daher ist Credential-Dumping selten eine einmalige Bedrohung und geht in der Regel einem viel umfassenderen und mehrgleisigen Cyber-Angriff voraus. Der ‘Dump’ könnte zum Beispiel der erste Versuch sein, auf den Security-Accounts-Manager (SAM) Ihres Geräts zuzugreifen, der eine Liste von Passwort-Hashes enthält, die für die Anmeldung bei Ihren Geräten verwendet werden. Cyber-Kriminelle können dann die gestohlenen gehashten Anmeldeinformationen verwenden, um sich autorisierten Zugang zu anderen Computern im selben Netzwerk zu verschaffen. Dies wird als Pass-the-Hash (PtH)-Angriff bezeichnet.
Erleben Sie unternehmensweite Kontrolle der Zugriffsrechte mit dem Passwort-Manager von NinjaOne.
Sehen Sie sich noch heute eine kostenlose Demo an.
Warum ist Credential-Dumping so gefährlich?
Die meisten Datenschutzverletzungen beginnen wohl mit dem Dumping von Anmeldeinformationen. Dies ist vor allem deshalb ein großes Problem, weil Experten für das Jahr 2023 einen Anstieg der öffentlich gemeldeten Datenkompromittierungen um 78 % im Vergleich zu 2022 festgestellt haben. (2023 Data Breach Report, Identity Theft Resource Center) Es wird erwartet, dass diese Zahl in den nächsten Jahren noch steigen wird und die Unternehmen Millionen von Dollar an Produktivitätsverlusten kosten wird. Schauen wir uns einige Zahlen an:
- Die weltweiten Kosten für Datenschutzverletzungen beliefen sich im Jahr 2023 auf 4,45 Millionen US-Dollar – ein Anstieg um 15 % innerhalb von drei Jahren. (Cost of Data Breach Report, IBM)
- Allein im ersten Quartal 2023 sind weltweit 6,41 Millionen Datensätze geleakt worden. (Statista)
- Im Durchschnitt vergehen 204 Tage, bis eine Datenschutzverletzung erkannt wird, und 73 Tage, bis sie behoben ist. (Statista)
- Die Zahl der Cyber-Angriffe, die durch gestohlene Anmeldeinformationen und die Ausnutzung von Identitäten verursacht wurden, stieg um 71 %. (IBM)
Wozu kann Credential-Dumping führen?
Dieser Cyber-Bedrohungstyp kann das Sprungbrett für weitaus gefährlichere Cyber-Angriffe sein, darunter:
Pass-the-Hash (PtH)
Hacker:innen stehlen gehashte Benutzeranmeldeinformationen (eine Art von Kryptographie) und verwenden sie erneut, um eine neue Benutzersitzung im selben Netzwerk zu erstellen. Anstatt die Anmeldeinformationen zu knacken, verwenden PtH-Angriffe gespeicherte, verschlüsselte Passwörter, um eine neue Sitzung zu initiieren.
Pass-the-Ticket (PtT)
PtT-Angriffe stehlen Ihr Authentifizierungsticket innerhalb Ihrer Windows-Domain, um sich als Sie auszugeben und unbefugten Zugang zu Ihrem IT-Netzwerk zu erhalten. Während PtH und PtT authentifizierungsbasierte Angriffe sind, missbraucht PtT Kerberos-Tickets durch Diebstahl und ist spezifischer für Windows-Domain-Umgebungen.
Verringern Sie das Risiko von Credential-Dumping
Es gibt viele Möglichkeiten, das Risiko von Credential-Dumping zu minimieren. Treffen Sie folgende Sicherheitsmaßnahmen.
- Überprüfen und aktualisieren Sie schwache oder veraltete Algorithmen, die in der SSL/TLS-Verschlüsselung verwendet werden.
- Verwenden Sie sichere Passwörter für jede Anwendung oder Software. Vermeiden Sie es, für alles das gleiche Passwort zu erstellen.
- Begrenzen Sie die Anzahl der Konten mit Administratorrechten.
- Implementieren Sie Multi-Faktor-Authentifizierung oder 2FA für alle Konten.
- Führen Sie regelmäßige Cyber-Sicherheitsschulungen für alle Teammitglieder in Ihrem Unternehmen durch.
- Entwerfen Sie Passwortschutz-Strategien in PowerShell, z. B. die Anforderung eines Passworts nach dem Ruhezustand oder die Konfiguration des Passwortablaufs.
- Richten Sie eine Firewall ein.
- Halten Sie Ihr IT-Netzwerk mit einem robusten Patch-Management-System gesund.
Schutz vor Credential-Dumping
Es wird weiterhin eine große Bedrohung darstellen, vor allem weil immer mehr Menschen verschiedene Geräte zum Speichern ihrer persönlichen oder sensiblen Daten verwenden. Das Risiko, dass Ihre Anmeldeinformationen gestohlen werden, können wir zwar nicht ausschließen, aber Sie können es verringern, indem Sie es Hacker:innen so schwer wie möglich machen, an sie heranzukommen.
