FBI warnt vor Ransomware im Gesundheitswesen: Was Krankenhäuser tun können

Die US-Krankenhäuser, die von der jüngsten Welle von Ransomware-Angriffen betroffen sind, bemühen sich, ihre Systeme wiederherzustellen, während andere Krankenhäuser sich bemühen, ihre Cybersicherheit zu verbessern, indem sie Lücken in ihren Sicherheitskontrollen schließen, um sich davor zu schützen, das nächste Ransomware-Opfer zu werden.

In einer gemeinsamen Warnung des FBI, der U.S. Cybersecurity and Infrastructure Agency (CISA) und des Department of Health and Human Services (HHS) wurden Krankenhäuser und Gesundheitsdienstleister in den USA am vergangenen Mittwoch vor einer "erhöhten und unmittelbar bevorstehenden Bedrohung durch Cyberkriminalität" gewarnt. [1] In der Warnung wird die Malware-Familie identifiziert, die für Ransomware-Angriffe verwendet wird, bei denen die Daten eines Unternehmens verschlüsselt werden, so dass sie nicht mehr lesbar sind und alle Systeme, die davon abhängen, unbrauchbar werden. Die Cyberkriminellen versuchen dann, von ihren Opfern hohe Geldbeträge, in der Regel in Bitcoin, zu erpressen, um die Daten des Unternehmens wiederherzustellen.

Ransomware-Kriminelle haben es auf Krankenhaussysteme abgesehen und gehen davon aus, dass die finanzielle Auszahlung am höchsten und am einfachsten zu erreichen ist. "Sie suchen nach einem einfachen Zugang in Kombination mit einer hohen Zahlungsbereitschaft und -fähigkeit", hat Matthew Gardiner, Principal Security Strategist bei Mimecast, beobachtet. Krankenhäuser sind besonders attraktive Ziele, da sie sich darauf konzentrieren, mehr Ressourcen für die Bekämpfung der COVID-19-Pandemie bereitzustellen.

Wie die auf Krankenhäuser abzielende Ransomware funktioniert

In der FBI-Warnung wird eine Ransomware-Infektion als zweistufiger Prozess beschrieben. Trickbot oder Emotet-Trojaner werden oft zuerst in ein System eingeschleust, meist über Phishing-E-Mails. Die Trojaner schleusen dann Ryuk Ransomware, eine derzeit sehr beliebte Art von Ransomware, in das infiltrierte System ein, wo Ryuk Daten mit AES-256 verschlüsselt. Ryuk löscht auch alle Backup-Dateien und Volume Shadow Copies, die es finden kann, um zu verhindern, dass das Unternehmen die Daten einfach wiederherstellen kann. Darüber hinaus versucht die Malware, Sicherheitsprogramme zu deinstallieren oder zu deaktivieren, die Ryuk an der Ausführung hindern könnten.

Das Sonoma Valley Hospital in Kalifornien, zwei Krankenhäuser des St. Lawrence Health System in New York und das Sky Lakes Medical Center in Oregon wurden in der letzten Woche angegriffen. Diese Angriffe folgen dem Einbruch bei United Health Services im vergangenen Monat, der die 250 Einrichtungen des Unternehmens in den USA lahmlegte.

Eine kürzlich von Mimecast durchgeführte Studie ergab, dass 90 % der Einrichtungen des Gesundheitswesens bereits Opfer eines E-Mail-Angriffs waren und dass 72 % dieser Organisationen durch diese Angriffe negativ beeinflusst wurden. "Es ist nach wie vor absolut entscheidend, dass Krankenhäuser und medizinische Einrichtungen ihre Sicherheitsprogramme ehrlich bewerten und die wichtigsten Lücken schließen. Andernfalls werden diese schrecklichen Geschichten weiterhin an der Tagesordnung sein", so Gardiner.

Wichtigste Ransomware-Schutzmaßnahmen

Die folgenden Empfehlungen, die allen Organisationen - auch Krankenhäusern - helfen sollen, sich vor Ransomware-Infektionen zu schützen, stammen von Carl Wearn, Head of Threat Intelligence, Risk and Resilience, Mimecast.

• Schulungen zum Bewusstsein für Cybersicherheit. Ein wichtiger, manchmal übersehener Schutz gegen E-Mail-Phishing ist die Schulung der Mitarbeiter in Bezug auf Social-Engineering-Angriffe und die Einführung sicherer Praktiken. Natürlich ist es am besten, den Phish zu blockieren, bevor er zugestellt werden kann, aber die Kombination von guten technischen Kontrollen mit verbessertem Bewusstsein und Verständnis der Benutzer ist eine großartige Kombination. Cyberkriminelle infizieren Systeme, indem sie Benutzer dazu verleiten, auf Links zu klicken oder Anhänge zu öffnen, um mehr über aktuelle Ereignisse zu erfahren oder für wohltätige Zwecke zu spenden. So nutzen Cyberangreifer beispielsweise das derzeitige Wiederaufleben von COVID-19-Infektionen aus, um Klicks zu erhalten - und das funktioniert; ein 55 %iger Anstieg unsicherer E-Mail-Klicks, der zu Beginn der Pandemie zu beobachten war, hat angehalten. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, ist Cyberhygiene noch wichtiger.
• Starke Kennwörter. Es mag abgenutzt oder wie ein Klischee klingen, aber starke Kennwörter sind immer noch von entscheidender Bedeutung, insbesondere angesichts des erheblichen Anteils an Ransomware, die von Emotet verbreitet wird. Sobald Emotet eingebettet ist, probiert es seine Liste schwacher und gängiger Kennwörter aus, um Zugang zu erhalten. Unternehmen können sich vor diesem Angriff schützen, indem sie strenge Kennwortrichtlinien einführen und sicherstellen, dass alle administrativen Kennwörter gegenüber den Standardwerten des Systems geändert werden. Darüber hinaus sollten Unternehmen ihre Mitarbeiter ermutigen, eindeutige Passwörter zu erstellen und - noch besser - eine Zwei-Faktor-Authentifizierung zu implementieren, wo dies möglich ist. Mitarbeiter, die ihre Systeme zu Hause nutzen, sollten ihre Bildschirme sperren, wenn sie nicht in Gebrauch sind, um zu verhindern, dass Familienmitglieder oder Mitbewohner das System versehentlich kompromittieren.
• Halten Sie die Software auf dem neuesten Stand. Die rechtzeitige Aktualisierung und das Patchen von Systemen ist ein weiterer wichtiger Schutz gegen diese Art von Angriffen. Wichtige VPN- und andere Software, die auf dem neuesten Stand gehalten werden sollte, sind Apache Tomcat/Ghostcat, Pulse VPN-Server, Citrix-Server, Telerik UI und Windows. Vermeiden Sie die Verwendung dieser besonders anfälligen Softwaresysteme ganz: Windows 2007, Internet Explorer und Flash.

Das FBI rät vor allem davon ab, das Lösegeld zu zahlen, da die Zahlung keine Garantie dafür bietet, dass die Dateien wiederhergestellt werden, und natürlich nur die Machenschaften der Entführer belohnt. Das FBI empfiehlt dringend, Sicherungskopien offline oder an einem anderen Ort zu speichern, wo die Ransomware die Dateien nicht finden, verschlüsseln oder löschen kann. So kann das betroffene Unternehmen seine Daten schnell wiederherstellen, ohne das Lösegeld zahlen zu müssen.

Die Quintessenz

Viele Organisationen im Gesundheitswesen müssen ihre Sicherheitsprogramme verstärken. Die Aufklärung und Sensibilisierung der Mitarbeiter für potenzielle Angriffe kann die Abwehrmaßnahmen deutlich verbessern. Sichere Passwörter und eine Zwei-Faktor-Authentifizierung sind eine hervorragende zweite Verteidigungslinie. Am wichtigsten ist die regelmäßige Erstellung von Sicherungskopien und die Speicherung von Daten offline oder außerhalb des Unternehmens, wo die Ransomware sie nicht erreichen kann.

[1] " Ransomware-Aktivitäten, die auf das Gesundheitswesen und den öffentlichen Gesundheitssektor abzielen ," U.S. Cybersecurity & Infrastructure Agency