Suchen

Security Gesundheitssystem im Fadenkreuz: Wie ein Ransomware-Angriff abläuft

| Autor / Redakteur: Hatem Naguib* / Sebastian Human

Gesundheitseinrichtungen stehen durch die Corona-Krise bereits unter enormem Druck, dennoch sehen sie sich aktuell zusätzlichen Cyberangriffen ausgesetzt. Doch das Wissen über diese Attacken hilft auch, sich davor zu schützen.

Firmen zum Thema

Gesundheitseinrichtungen wie etwa Kliniken sind in der gegenwärtigen Krisensituation zu den ohnehin erschwerten Bedingungen zusätzlich noch Cyberangriffen ausgesetzt.
Gesundheitseinrichtungen wie etwa Kliniken sind in der gegenwärtigen Krisensituation zu den ohnehin erschwerten Bedingungen zusätzlich noch Cyberangriffen ausgesetzt.
(Bild: iStock / Barracuda Networks)

Noch vor wenigen Wochen haben einige Hackergruppen angesichts der kursierenden Corona-Pandemie ihre angekündigten Attacken auf IT-Infrastrukturen von Krankenhäusern, Pflegeheimen und sonstigen medizinische Einrichtungen ausgesetzt. Es wirkte so, als ob es eine Art von Ehrgefühl auch unter Hackern gebe. Dem scheint sich allerdings nicht jeder Cyberkriminelle verpflichtet zu fühlen.
Als hätte die Gesundheitsbranche im Moment nicht schon genug zu bewältigen, sind viele Hacker immer noch bereit, Gesundheitsorganisationen ins Visier zu nehmen und überhäufen beispielsweise Krankenhäuser mit Spear-Phishing- und Ransomware-Attacken. Selbst vor dem deutschen Gesundheitsminister, Jens Spahn, sollen die Angreifer nicht Halt gemacht haben. Kliniken in Tschechien, Frankreich und auch in Deutschland seien ebenfalls angegriffen worden.

Die häufig genutzte Maze-Variante verschlüsselt nicht nur Daten, sondern exfiltriert sie auch, um sie für einen späteren Erpressungsversuch zu verwenden: Weigert sich das Opfer Lösegeld zu zahlen, sind die Daten nicht nur verloren, sondern die Kriminellen drohen überdies damit, diese zu veröffentlichen.

Warum ist das Gesundheitswesen besonders betroffen?

Die Gesundheitsbranche ist seit Jahren ein beliebtes Ziel, weil Kriminelle mehrere Möglichkeiten haben, den Angriff zu monetarisieren:

Die Unterbrechung von IT-Diensten kann den Betrieb gefährlich verlangsamen. Kriminelle setzten darauf, dass die Opfer ein Lösegeld zahlen werden. Insbesondere in Notfällen, wenn der ohnehin schon stressige Normalbetrieb noch mehr unter Druck steht.

Die Offenlegung geschützter (oder persönlicher) Gesundheitsinformationen und elektronischer Gesundheitsakten (eGA) kann für jeden Beteiligten verheerend sein. Kriminelle, die Daten aus der Organisation abgreifen, haben ein hohes Druckmittel, Lösegeld erfolgreich einzutreiben.

Kritische Gesundheitsinformationen sind für Kriminelle äußerst lohnend und lassen sich einerseits für einen höheren Preis als etwa Kreditkartennummern veräußern. Andererseits können Kriminelle diese Identitätsdiebstähle für ihre eigenen Vorhaben nutzen.

Die weltweite Reaktion auf COVID-19 hat dazu geführt, dass Kriminelle verstärkt versuchen, in Netzwerke einzudringen. Alle Informationen über ein mögliches Heilmittel oder einen Impfstoff wären für private Käufer oder andere Regierungen von großem Interesse. Forschungslabors, Testeinrichtungen, Krankenhäuser und selbst die WHO sind prädestinierte Ziele, wie entsprechende Attacken bewiesen haben. Generell prognostiziert Cybersecurity Ventures, dass bis Ende 2021 alle 11 Sekunden ein Unternehmen Opfer eines Ransomware-Angriffs sein wird.

Verstehen hilft sich zu schützen

Wo also kann eine Organisation, die sich gegen einen Lösegeldangriff wehren will, ansetzen? Am besten, indem sie einen möglichen Angriff verstehen lernt, das heißt, ihn in seine einzelnen Phasen zergliedert. Derer sind es typischerweise drei:

  • 1. Lieferung: Bösartiger Inhalt zur Auslieferung der Ransomware erreicht das Unternehmen.
  • 2. Infektion: Der Ansteckungsherd wird freigesetzt und/oder über ein Endpunktgerät verbreitet.
  • 3. Genesung: Wiederherstellung der Daten in den Zustand vor dem Angriff

Eine solche Aufschlüsselung erlaubt es, jede Phase eingehender zu untersuchen und mit der Entwicklung von Verteidigungsstrategien zur Abwehr eines Angriffs zu beginnen.

Phase 1: Lieferung

Dies ist der Moment, in dem die Ransomware zum ersten Mal in das Netzwerk gelangt. Zu diesem Zeitpunkt stellen sich verschiedene Fragen: nach der Art der Ransomware-Software und den von ihr verwendeten Bedrohungsvektoren.

Die Art der Ransomware

Ransomware ist eine spezifische Untergruppe sogenannter Advanced Threats. Das heißt, es handelt sich um ein ausgeklügeltes Stück Malware, das häufig neu verpackt wird, um nicht entdeckt zu werden. Neue Malware-Varianten sind darauf ausgelegt, traditionelle Erkennungstechniken zu umgehen, und werden häufig durch gezielte Zero-Hour-Angriffe verbreitet. Zur Abwehr dieser intelligenteren Art von Malware hilft Advanced Threat Protection (ATP), idealerweise eine ATP-Lösung, die die den Verkehr über alle wichtigen Bedrohungsvektoren hinweg analysiert.

Die Bedrohungsvektoren von denen jeder ein Angriffspunkt sein kann

  • E-Mail: E-Mail ist der Haupt-Bedrohungsvektor. Die überwiegende Mehrheit der Malware-Lieferungen wird über diesen Weg verteilt.
  • Web: Drive-by-Downloads, Cross-Site-Scripting-Angriffe, Sicherheitslücken in sozialen Medien und infizierte Werbung können Malware an einen Endpunkt liefern.
  • Netzwerk: Angreifer können automatisierte Tools einsetzen, um Netzwerke zu scannen und Lücken zu finden, die es ihnen ermöglichen, in das Netzwerk einzudringen. Befinden sich die Angreifer erst einmal im Netzwerk, können sie dort zusätzliche Malware verbreiten.
  • Anwendungen: Zu den anfälligsten Vektoren zählen Webanwendungen wie Webmail, Online-Shops oder Online-Formulare.

Phase 2: Infektion

Die zweite Phase beginnt, wenn der Ransomware-Prozess im Netzwerk ausgeführt wird. In den meisten Fällen dringt ein Angreifer mit einem Phishing-Angriff ein, bei dem er sich als Autoritätsperson ausgibt, um einen Mitarbeiter im Zielnetzwerk dazu zu bringen, unwissentlich einen infizierten E-Mail-Anhang mit der Malware zu öffnen. Häufig gibt der Hacker vor, ein Mitarbeiter der Personal- oder Finanzabteilung oder einer externen, der Organisation bekannten Stelle zu sein, wie etwa ein Dienstleister oder Lieferant. Sobald der Mitarbeiter den E-Mail-Anhang öffnet, wird eine darin eingebettete Bedrohung ausgeführt, die die Malware im Netzwerk freigibt.

Phase 3: Wiederherstellung

Wenn ein Ransomware-Angriff innerhalb des Netzwerks erfolgreich war, liegt der Fokus in der Schadenbegrenzung, das heißt, Eindämmung und Wiederherstellung. Hierzu gehört es, die Verbreitung der Malware zu stoppen, sie aus dem Netzwerk zu entfernen, das Netzwerk auf weitere Malware zu prüfen und den Endpunkt-Antivirus zu testen.

Sobald das Netzwerk gründlich gesäubert und resistent ist, sind Backups zur Wiederherstellung von Dateien einsetzbar. Um ab sofort effektiv zu sein, müssen das Netzwerk und der Endpunktschutz auf dem neuesten Stand sein und einwandfrei funktionieren, damit keine infizierten Dateien versehentlich wiederhergestellt werden, und die Malware zu neuem Leben erwachen kann.

Die in dieser Phase erforderlichen Maßnahmen sind je nach Organisation unterschiedlich. Zu den möglichen Schritten gehören die Prüfung von Datenprotokollen, die Befragung von Mitarbeitern, Vorher-Nachher-Vergleiche und die Bewertung vorhandener Disaster-Recovery-Lösungen. Wichtig ist, dass Management und IT zusammenarbeiten, um festzulegen, welche Maßnahmen in der Wiederherstellungsphase nach der Infektion sinnvoll sind.

Gesundheitseinrichtungen werden auch weiterhin ein beliebtes Angriffsziel von Cyberkriminellen bleiben, aber sie müssen nicht zwangsläufig Opfer sein. Die richtigen Systeme und Prozesse sowie eine robuste Backup- und Wiederherstellungslösung stellen sicher, dass selbst im schlimmsten Fall, berechtigte Hoffnungen auf baldige Genesung besteht.

* Hatem Naguib arbeitet als SVP & Head of Security bei Barracuda Networks.

(ID:46564428)