Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Dieser Monat in Ransomware: Krankenhäuser und Patienten sind betroffen

A10 Blog / Cybersicherheit / Dieser Monat in Ransomware: Krankenhäuser und Patienten sind betroffen
David Bloxberg
David Bloxberg
|
Januar 11, 2023

Ransomware-Angriffsübersicht für Dezember 2022

Im Dezember 2022 gab es Ransomware-Angriffe auf viele Branchen, darunter das Gesundheitswesen, das Bildungswesen, die Fertigungsindustrie, das Finanzwesen, die Technologiebranche, die Medien, Behörden, den Energiesektor und den Einzelhandel. Wie üblich traten die Angriffe in vielen Formen auf, darunter BlackCat, LockBit, Play und Fidel Ransomware.

Es gibt jedoch eine neue Ransomware namens Royal, bei der es sich um eine umbenannte Version der Ransomware Zeon handelt. Das U.S. Department of Health and Human Services Cybersecurity Coordination Center (HC3) warnte, dass Royal-Ransomware-Angriffe immer häufiger werden.

Die Agentur erklärte: "Während die meisten bekannten Ransomware-Betreiber Ransomware-as-a-Service anbieten, scheint es sich bei Royal um eine private Gruppe ohne angeschlossene Unternehmen zu handeln, deren Ziel es ist, finanziell zu motivieren."

VORGESTELLTER CYBER-VORFALL

Französisches Krankenhaus muss Patienten aufgrund von Ransomware verlegen

Dec. 5, 2022
Das Krankenhaus Centre de Versailles im Pariser Vorort Versailles wurde von einer Cyberattacke getroffen, die seine Computer funktionsunfähig machte und es zwang, alle Operationen einzustellen. Berichten zufolge führte dies dazu, dass sechs Patienten von der Intensivstation des Krankenhauses in nahegelegene Krankenhäuser verlegt wurden, wobei der Zustand der Patienten zu diesem Zeitpunkt unbekannt ist.

Gesundheitsminister Francois Braun erklärte, dass der Cyberangriff zu einer völligen Umstrukturierung des Krankenhauses geführt hat, da aufgrund der fehlenden Vernetzungsmöglichkeiten für wichtige Maschinen zusätzliches Personal für die Intensivpflege benötigt wird.

Krankenhauszentrum Versailles André Mignot

"Centre hospitalier de Versailles André Mignot" von Henrysalome ist lizenziert unter CC BY-SA 3.0

 

 

Datenpanne bei Inkassobüros

Dec. 1, 2022
Gegen die Inkassofirma Receivables Performance Management (RPM) aus Alynwood, Washington, wurde ein Gerichtsverfahren eingeleitet, weil im April 2021 3,7 Millionen Menschen von einer Datenverletzung/Ransomware-Combo betroffen waren.

In mehreren Klagen im Bundesstaat Washington wird behauptet, dass das Unternehmen die betroffenen Personen über 18 Monate lang nicht über den Verstoß informiert hat. Laut Brian Middlebrook, dem Anwalt von RPM, gibt es jedoch "keine verifizierten Beweise dafür, dass persönliche Informationen als Folge dieses Vorfalls veröffentlicht, weitergegeben oder missbraucht wurden". Die Kläger behaupten jedoch, dass der Datenschutzverletzung ein Ransomware-Angriff vorausging, bei dem Dateien für Hacker zugänglich gemacht wurden.

Fidel Ransomware ist lebendig und gut

Dec. 2, 2022
Die Ransomware "Cuba", auch bekannt als "Fidel", verbreitete sich Ende 2019 und erneut im Jahr 2022 und veranlasste mehr als hundert Opfer zur Zahlung von Lösegeld in Höhe von insgesamt über 60 Millionen US-Dollar. Das ist fast die Hälfte der 145 Millionen Dollar, die gefordert wurden. Dies veranlasste das US-Justizministerium und das Federal Bureau of Investigation, eine Warnmeldung herauszugeben, um weitere Angriffe zu verhindern.

Die jüngste Empfehlung des FBI folgt auf einen Flash Alert vom Dezember 2021, in dem das FBI aufdeckte, dass die Lösegeldzahlungen der Bande für Angriffe auf 49 Einrichtungen 44 Millionen Dollar betrugen.

Fidel/Kuba Ransomware

"Fidel" von gianluca cozzolino ist lizenziert unter CC BY-NC-ND 2.0

Neuseeländische Regierung von Ransomware-Angriff betroffen

Dec. 6, 2022
Die neuseeländische Regierung hat bestätigt, dass sie von einem Ransomware-Angriff auf ihren Managed Service Provider (MSP) Mercury IT betroffen war. Mercury IT bietet eine Reihe von IT-, Telekommunikations- und Support-Diensten für mehrere Organisationen in Neuseeland an, darunter das Gesundheitsministerium, Te Whakatoo Ora und das Middlemore Hospital.

Der Angriff verhindert den Zugriff auf einige Patientendaten, darunter etwa 14.000 Datensätze. Das Ministerium stellte fest, dass der Cyberangriff auch sechs andere Regulierungsbehörden betraf, darunter die folgenden Regierungsorganisationen: Die Psychologenkammer, die Chiropraktikerkammer, die Podologenkammer, die Diätetikerkammer, die Optometristen- und Optikerkammer und die Physiotherapiekammer Neuseelands.

623.000 Patientendaten bei Cyberangriff auf Krankenhaus gestohlen

Dec. 8, 2022
CommonSpirit Health aus Chicago, IL, das zweitgrößte Gesundheitssystem in den USA, berichtet, dass während eines Ransomware-Angriffs im Oktober auf die persönlichen Daten von 623.774 Patienten zugegriffen wurde.

Am 1. Dezember gab das Unternehmen die Ergebnisse der Untersuchung bekannt, auf die im Portal des US-Gesundheitsministeriums verwiesen wurde und die den mit der Datenexfiltration verbundenen Angriff bestätigten. CommonSpirit betreibt 140 Krankenhäuser und 1.000 Pflegeeinrichtungen in 21 Bundesstaaten, was zu erheblichen Störungen führen kann.

Verwandt: NBC News erklärt, wie Ransomware-Angriffe die Gesundheit von Patienten beeinträchtigen

Deutsche Hotelkette H-Hotels von Play Ransomware heimgesucht

Dec 11, 2022
Die Mitarbeiter der deutschen Hotelkette H-Hotels wurden von der Play-Ransomware-Bande angegriffen und konnten nicht mehr auf E-Mail-Dienste zugreifen. Wie üblich kündigte Play auf seinem Opfer-Blog an, dass der Ransomware- und Datenexfiltrationsangriff durchgeführt wurde, bei dem Daten, darunter auch Reisepassinformationen der Gäste, offengelegt wurden.

Das Hotel hat bestätigt, dass ein Angriff stattgefunden hat, aber dass keine Daten gestohlen wurden, und wenn doch, würden sie die Kunden über den Einbruch informieren. Die Hotelkette hat nicht gesagt, ob ein Lösegeld gefordert oder gezahlt wurde.

Antwerpen von Play Ransomware betroffen

Dec. 12, 2022
Die Ransomware-Operation Play, die Mitte 2022 aufkam, übernahm die Verantwortung für einen Ransomware-Angriff in Antwerpen, Belgien. Konkret war das IT-Unternehmen Digipolis von einem Ransomware-Angriff betroffen, der die IT-, E-Mail- und Telefondienste der Stadt unterbrochen hat. Lokale Medien berichteten, dass die Windows-Anwendungen und E-Mails der Stadt nicht mehr verfügbar waren.

Die Stadt fügte hinzu, dass fast alle Dienste nicht verfügbar waren oder sich erheblich verzögerten. Auf der Website von Play wird behauptet, dass 557 GB an Daten gestohlen wurden, darunter persönliche Informationen, Pässe, Ausweise und Finanzdokumente.

Ransomware-Forderung abspielen

LockBit-Ransomware-Angriff auf kalifornische Behörde

Dec. 12, 2022
Das Finanzministerium von Kalifornien ist nach Angaben des Staates von einer Ransomware-Cyberattacke betroffen. Nach Angaben des Governor's Office of Emergency Services wurden bei dem Angriff keine staatlichen Gelder in Mitleidenschaft gezogen, aber man war nicht in der Lage, weitere Informationen über die Ermittlungen zu liefern. Einige Nachrichtenagenturen berichten jedoch, dass bis zu 76 GB an Daten aus der Behörde gestohlen wurden, darunter vertrauliche Finanzdokumente und andere sensible Informationen.

Der Angriff erfolgte, nachdem eine mit Russland verbundene Hackergruppe namens LockBit behauptet hatte, das Außenministerium sei eines ihrer jüngsten Opfer. LockBit hat damit gedroht, Daten herauszugeben, wenn nicht bis zum 24. Dezember bestimmte Forderungen erfüllt werden. Dieses Datum ist bereits verstrichen, aber das kalifornische Finanzministerium hat sich noch nicht geäußert.

BlackCat Ransomware legt Energieversorger lahm

Dec. 16, 2022
Die Ransomware-Gruppe BlackCat beansprucht die Verantwortung für den Angriff auf den größten öffentlichen Wasser-, Strom- und Gasversorger Kolumbiens, Empresas Públicas de Medellín (EPM).

Durch den Ransomware-Angriff wurden die Dienste von EPM offline geschaltet und der Betrieb des Unternehmens unterbrochen, so dass mehr als 4.000 Mitarbeiter zu Hause blieben und keinen Zugang zu ihrer IT-Infrastruktur hatten. BleepingComputer berichtet, dass die Ransomware-Gruppe BlackCat für den Hack verantwortlich war und behauptet, während des Angriffs auf Geschäftsdaten zugegriffen zu haben.

Kanadische Supermarktkette verliert bis zu 25 Millionen Dollar durch Cyberattacke

Dec. 16, 2022
Der kanadische Supermarkt-Einzelhändler Empire Company hat in seinen Quartalsergebnissen erklärt, dass er möglicherweise bis zu 25 Millionen C$ für Kosten verliert, die nicht von der Cyber-Versicherung abgedeckt sind, die er am 4. November 2022 erlitten hat.

"Am 4. November traten bei Empire einige IT-Systemprobleme im Zusammenhang mit einem Cybersecurity-Ereignis auf. Basierend auf einer ersten Einschätzung schätzt die Geschäftsleitung die finanziellen Auswirkungen des Cybersecurity-Ereignisses auf den jährlichen Nettogewinn im Geschäftsjahr 2023 auf ca. 25 Mio. USD, abzüglich der Versicherungsentschädigungen."

Dieser Angriff zeigt, dass ein Unternehmen selbst mit einer Cyberversicherung erhebliche Verluste durch einen Malware-Angriff erleiden kann. Daher sind bewährte Verfahren zur Cybersicherheit wie die Überprüfung des SSL-Verkehrs auf bösartige Inhalte, Backups, die Absicherung von Endpunkten, die Aufrechterhaltung von Systempatches und Zero-Trust-Schulungen unerlässlich.

 

Geschichte der Cybersicherheit

Wissen Sie, was der erste dokumentierte Ransomware-Angriff war?

Auch hier kam Social Engineering zum Einsatz. Im Jahr 1989 wurde der AIDS-Trojaner von dem Evolutionsbiologen Dr. Joseph Popp entwickelt, auf Disketten geladen und an 20.000 Teilnehmer der AIDS-Konferenz der Weltgesundheitsorganisation verschickt.

Die Diskette trug die Aufschrift "AIDS Information, Introductory Diskette" und enthielt eine Anleitung, wie sie in das Laufwerk A zu laden und zu installieren ist. Die Malware zählte dann bis zum 90. Neustart des Systems, als sie zuschlug, Verzeichnisse versteckte und die Namen aller Dateien auf dem Laufwerk C verschlüsselte. Der Benutzer sah dann ein Pop-up-Fenster, das ihn darüber informierte, dass er "die Lizenz erneuern" müsse, und schickte 189 Dollar an ein Postfach in Panama.

Trotz der unglaublichen Logistik, die erforderlich war, um den Hack durchzuführen, befand ein Richter, dass Popp nicht verhandlungsfähig sei. Er trug einen Pappkarton auf dem Kopf und verhielt sich anderweitig seltsam, was zu der Entscheidung des Gerichts beigetragen haben könnte.

Einige Rechtswissenschaftler bezweifeln jedoch, dass es sich bei Popps Vorgehen um eine strafrechtlich verfolgbare Erpressung handelte, da er auf einem Flugblatt, das den Discs beilag, folgende Angaben machte

"Diese Programmmechanismen werden andere Programmanwendungen auf Mikrocomputern beeinträchtigen. Sie werden hiermit auf die schwerwiegenden Konsequenzen hingewiesen, die sich aus der Nichteinhaltung der Bedingungen dieser Lizenzvereinbarung ergeben: Ihr Gewissen kann Sie für den Rest Ihres Lebens verfolgen; Sie werden der PC Cyborg Corporation eine Entschädigung und möglicherweise Schadenersatz schulden; und Ihr Mikrocomputer wird nicht mehr normal funktionieren."

 

Social Engineering ist für fast 50 Prozent der Datenschutzverletzungen verantwortlich

19. Dezember 2022
EinBericht des Datenschutzunternehmens Acronis stellt fest, dass die Bedrohungen durch Phishing und bösartige E-Mails im Jahr 2022 um 60 Prozent gestiegen sind und prognostiziert, dass die durchschnittlichen Kosten für Datenschutzverletzungen im Jahr 2023 bei 5 Millionen US-Dollar liegen werden. Das Forschungsteam von Acronis beobachtete in den letzten vier Monaten des Jahres 2022 einen Anstieg der Social-Engineering-Angriffe. Der Diebstahl von Zugangsdaten, der es Angreifern ermöglichte, Ransomware-Kampagnen zu starten, war für fast 50 Prozent der in den ersten sechs Monaten des Jahres 2022 gemeldeten Sicherheitsverletzungen verantwortlich. Offenbar brauchen wir alle einen Auffrischungskurs in Sachen Zero-Trust-Sicherheit.

College-Studenten erhielten Hive-Ransomware-Forderungen

Dec 20, 2022
Zum ersten Mal berichteten Medien, dass Ransomware-Hacker die Studenten einer von ihnen angegriffenen Universität kontaktierten. Aus den Berichten geht nicht hervor, ob die Hacker Geld verlangten oder die Studenten einfach unter Druck setzten, in der Hoffnung, dass sie die Universitätsverwaltung unter Druck setzen würden, die Lösegeldforderungen der Ransomware-Gruppe Hive zu bezahlen.
In der E-Mail, die die Studenten des Knox College in Illinois am 12. Dezember erhielten, hieß es,

"Wir haben die Netzwerke Ihres Colleges infiltriert. Zu den Daten, die wir haben, gehören Ihre persönlichen Informationen, medizinische Unterlagen, psychologische Gutachten und viele andere sensible Daten. Darüber hinaus werden alle Ihre SSN und medizinischen Aufzeichnungen zum Verkauf angeboten, damit jeder Hacker Zugang zu Ihren Daten erhält und sie für jede beliebige illegale Aktivität nutzen kann."

Drittes am schnellsten wachsendes Medienunternehmen wird erpresst

21. Dezember 2022

Die Zeitung The Guardian meldete einen schwerwiegenden IT-Zwischenfall, bei dem es sich vermutlich um eine Ransomware-Attacke handelte. Zum Zeitpunkt der Erstellung dieses Artikels ist jedoch nur bekannt, was The Guardian selbst berichtet:

  1. Die Geschäftsführung erklärte, dass die Online-Veröffentlichung nicht beeinträchtigt wurde und sie zuversichtlich ist, dass eine Morgenzeitung ohne Probleme gedruckt werden kann.
  2. Die Geschäftsführerin der Guardian Media Group, Anna Bateson, und die Chefredakteurin Katharine Viner baten ihre Mitarbeiter, vorerst von zu Hause aus zu arbeiten, eine Praxis, mit der die Belegschaft während der Pandemie vertraut war.

Auf der Grundlage von Similarweb-Daten stufte die britische Press Gazette den Guardian als die am viertschnellsten wachsende Nachrichtenseite der Welt ein: 387,6 Millionen Besuche im November 2022, 13 Prozent mehr als im Vormonat.

Der Guardian ist nicht allein. Nachrichtenagenturen auf der ganzen Welt werden immer wieder von Cyberkriminellen und Nationalstaaten ins Visier genommen, wie einige Beispiele zeigen:

  • Die französische Zeitung L'Équipe wurde im März 2022 von Ransomware heim gesucht. Die Bedrohungsakteure drangen mehrere Wochen lang in die Server der Sporttageszeitung ein und forderten ein Lösegeld, damit die Mitarbeiter der Zeitung wieder Zugang zu ihren Online-Anwendungen erhalten konnten.
  • Die deutsche Mediengruppe Stimme hatte im Oktober 2022 mit Ransomware zu kämpfen, was Uwe Ralf Heer, Chefredakteur der Heilbronner Stimme, als Angriff einer "bekannten cyberkriminellen Gruppe" bezeichnete, die ihre Systeme verschlüsselt hatte. Der Angriff legte die gedruckte Zeitung für vier Tage lahm.

Fenster des Gebäudes, in dem die Zeitung The Guardian untergebracht ist, London England

"Window of the building housing The Guardian newspaper, London England" von Bryantbob ist lizenziert unter CC BY-SA 3.0

Clop Ransomware ändert seine Taktik zur Maximierung von Lösegeldzahlungen

22. Dezember 2022
Clop, eine Ransomware-Gruppe, die in den Datenbruch bei Accellion verwickelt war. Clop zielt auf medizinische Einrichtungen mit einem Jahresumsatz von mehr als 10 Millionen Dollar ab, hat aber auch kleinere Kliniken wie Zahnarzt- und Arztpraxen angegriffen. Clop änderte seine Vorgehensweise und infizierte Dateien, die als medizinische Bilder und Dokumente getarnt waren, nachdem er Schwierigkeiten hatte, Personen zu finden, die bereit waren, das Lösegeld zu zahlen.

Während der COVID verlegte sich die Gruppe auf die Telemedizin und versuchte, medizinische Daten und Bilder zu stehlen und sogar gefälschte Terminanfragen und Krankenakten zu erstellen, um Malware einzusetzen.

Der Gründer von Hold Security, Alex Holden, warnte SCMedia: "Sie sind im Grunde genommen als der Patient selbst registriert. Sie nehmen die medizinischen Daten des Opfers und niemand schaut hin ... Sie müssen nicht flunkern, weil es sich um Telemedizin handelt, und es ist glaubwürdig".

So kann Clop beispielsweise bei der Überweisung eines Telemedizin-Patienten zur Bildgebung dessen Krankenakte und Versicherungsdaten abrufen und dann eine mit Malware gefüllte Datei, getarnt als die Ergebnisse, an den Arzt senden. Diese würde dann das System der Praxis infizieren.

Gehört die Cyberversicherung bald der Vergangenheit an?

Dec. 26, 2022
Mario Greco, der CEO eines der größten europäischen Versicherer, Zurich Insurance, hat in einem Gespräch mit der Financial Times erklärt, dass die Versicherungsbranche eine Grenze für die Höhe der Verluste hat, die sie durch die ständig zunehmenden Cyberattacken decken kann.

Führungskräfte aus der Versicherungswirtschaft haben sich in letzter Zeit besorgt über Risiken wie Pandemien und Klimawandel und ihre Fähigkeit, Versicherungsschutz zu bieten, geäußert. Seit zwei Jahren übersteigen die Schäden aus Naturkatastrophen 100 Milliarden Dollar. Greco erklärte jedoch gegenüber der FT, dass Cyberangriffe das Risiko sind, das man im Jahr 2023 und darüber hinaus im Auge behalten sollte.

"Was nicht mehr versicherbar sein wird, ist Cyber... es geht nicht nur um Daten... es geht um die Zivilisation. Diese Leute können unser Leben ernsthaft stören."
- Mario Greco, CEO der Zurich Versicherung, Quelle: Financial Times

Verwandte Ressourcen

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
David Bloxberg
David Bloxberg
|
Januar 11, 2023

David Bloxberg ist ein erfahrener Kommunikator in der Tech-Branche und arbeitet an vorderster Front im Bereich Netzwerke und Cybersicherheit. Als ausgebildeter Journalist begann Bloxberg seine Karriere bei Knight-Ridder, Associated Press,... Mehr lesen

3 Schlüsselbereiche, die beim Datenschutz im Gesundheitswesen zu berücksichtigen sind

Das eBook lesen

Verwandte Ressourcen

  1. 2022 Ransomware-Angriffe und die Entwicklung der Datenexfiltration
  2. Ransomware-Angriffe bedrohen die Sicherheit von Wahlen - und vieles mehr
  3. Für 2020: Ransomware-Cyber-Attacken sind die Norm