Organisationen des Gesundheitswesens von Coronavirus-bezogener Ransomware angegriffen

Gesundheitseinrichtungen, die mit der COVID-19-Krise zu kämpfen haben, sehen sich nun einer weiteren großen Bedrohung gegenüber, die durch die Pandemie ausgelöst wurde: Ransomware-Angriffe, die über gefälschte, mit dem Coronavirus versehene E-Mails verbreitet werden. Die Angriffe haben bereits in einigen Krankenhäusern die Systeme lahmgelegt. Sie verbreiten sich in erster Linie über E-Mails, die Benutzer dazu verleiten, auf infizierte Links oder Anhänge zu klicken, indem sie vorgeben, Informationen zum Coronavirus von Regierungsbehörden oder anderen Quellen zu enthalten, so die internationale Polizeiorganisation Interpol.[1]

Ransomware-Angriffe können für Krankenhäuser, die mit der Bewältigung der durch die COVID-19-Pandemie ausgelösten Patientenflut zu kämpfen haben, nahezu katastrophale Störungen und erhebliche finanzielle Verluste verursachen. Im März 2020 zahlte der Champaign-Urbana Public Health District in Illinois Berichten zufolge 350.000 Dollar Lösegeld, nachdem Angreifer seine Website lahmgelegt hatten; ein anderer Angriff legte die Systeme eines tschechischen Krankenhauses lahm, das gerade seine ersten Coronavirus-Patienten versorgte. [2] Interpol warnte die Polizeikräfte weltweit vor Ransomware-Bedrohungen für Gesundheitseinrichtungen, nachdem seit März dieses Jahres sieben versuchte Ransomware-Angriffe auf medizinische Einrichtungen gemeldet wurden, so Craig Jones, Interpols Direktor für Cyberkriminalität, gegenüber The Wall Street Journal.[3]

Ransomware-Angriffe bedrohen alle Branchen

Die Ransomware-Angriffe auf Gesundheitsdienstleister sind Teil eines breiteren Anstiegs der Cyberkriminalität, die den aktuellen Informationshunger der Nutzer über die Coronavirus-Pandemie opportunistisch ausnutzt. "Es gibt eine Zunahme der opportunistischen Cyberkriminalität, und Ransomware ist eine Bedrohung für das Gesundheitswesen, aber sie bleibt auch eine Bedrohung für alle vertikalen Branchen", sagte Phillip Hay, Mimecast Threat Intelligence Analyst.

Leider sind viele Organisationen im Gesundheitswesen anfällig für Malware-Angriffe, einschließlich Ransomware-Angriffen. Neun von zehn Organisationen des Gesundheitswesens waren im vergangenen Jahr von einer E-Mail-Bedrohung betroffen, und eine von vier gab an, dass diese Angriffe sehr oder extrem störend waren, so ein Bericht von Mimecast und HIMSS Media vom März 2020 . Darüber hinaus nannten Krankenhäuser und andere Gesundheitsdienstleister in einer Umfrage von Mimecast und dem College of Healthcare Information Management Executives (CHIME) Ransomware/Malware als einen der drei Angriffsvektoren, für die sie sich am anfälligsten fühlen.

Der Mimecast-Bericht "State of Email Security" ergab, dass die weltweiten Ransomware-Angriffe im Vergleich zu den Vorjahren deutlich zugenommen haben und durch die Kosten für die Wiederherstellung verlorener Daten, den Markenschaden, die Betriebskosten, die Versicherung und andere damit verbundene Kosten finanzielle Schäden in Millionenhöhe verursacht haben. Mehr als die Hälfte der befragten Unternehmen gab an, einen Ransomware-Angriff erlebt zu haben, der sich direkt auf den Geschäftsbetrieb ausgewirkt hat. 86 % der betroffenen Unternehmen mussten infolgedessen mindestens zwei Tage Ausfallzeit in Kauf nehmen.

Emotet öffnet die Tür für weitere Ransomware

Viele der jüngsten Ransomware-Angriffe wurden mit der Emotet-Malware in Verbindung gebracht, die über ein Botnetz infizierter Computer arbeitet. Emotet ist eine "Dropper"-Malware; sobald sie ein System infiziert hat, nutzt sie das System, um andere Malware, einschließlich Ransomware, zu verbreiten. Das Emotet-Botnet steht Angreifern als Malware-as-a-Service zur Verfügung, was die Bedrohung vergrößert, da es Kriminellen eine einfache Möglichkeit bietet, Ransomware-Kampagnen durchzuführen, selbst wenn sie über keine technischen Kenntnisse verfügen.

Nach einer Phase der Inaktivität wurde Emotet in der zweiten Jahreshälfte 2019 in einem noch nie dagewesenen Ausmaß eingesetzt und verursachte weltweit Cybersecurity-Probleme, so der Mimecast Threat Intelligence Report, RSA Conference Edition 2020. Mimecast Global Threat Intelligence entdeckte Emotet im vierten Quartal in allen Branchen und Regionen. Aufgrund der Raffinesse der Angriffe und der Vielzahl der Unternehmen, auf die sie abzielten, ist es sehr wahrscheinlich, dass diese Angriffe von organisierten kriminellen Gruppen durchgeführt wurden, um Geld zu verdienen. Zu diesen Angriffen gehörten mindestens drei Kampagnen gegen Organisationen des US-Gesundheitswesens; bei einem dieser Angriffe entdeckte Mimecast mehr als 22.000 mit Emotet infizierte Dateien.

Die Erkennungen von Emotet gingen im Februar 2020 zurück, da sich die Angreifer einer noch einfacheren Methode zuwandten, um eine große Anzahl von Nutzern zu erreichen: Spam- oder Phishing-E-Mails mit dem Thema Coronavirus, die darauf abzielen, die Anmeldedaten der Nutzer zu stehlen, so Carl Wearn, Head of Risk & Resilience, E-Crime & Cyber Investigation, Mimecast. Ransomware bleibt jedoch eine Hauptbedrohung für alle Unternehmen.

Wie sich Organisationen des Gesundheitswesens gegen Ransomware-Angriffe wehren können

Neben dem Scannen von E-Mails auf bösartige Bedrohungen können Unternehmen eine Reihe von Maßnahmen ergreifen, um die Wahrscheinlichkeit von Schäden durch Ransomware-Angriffe zu verringern, so Hay von Mimecast:

• Erhöhen Sie das Bewusstsein der Benutzer. Da menschliches Versagen ein Faktor bei den meisten erfolgreichen Angriffen ist, kann das Unternehmen durch die Sensibilisierung der Benutzer für aktuelle Ransomware- und Phishing-Kampagnen besser vor Kompromittierungen geschützt werden.
• Verwenden Sie starke Passwörter und Multifaktor-Authentifizierung (MFA). Emotet versucht, mit einem "Brute-Force"-Ansatz unter Verwendung häufig verwendeter und schwacher Passwörter Zugang zu Systemen zu erhalten. Unternehmen können daher ihre Netzwerke durch die Verwendung von starken Benutzerpasswörtern und MFA absichern und sicherstellen, dass alle administrativen Passwörter gegenüber ihren Standardeinstellungen geändert wurden.
• Keine anfällige Software mehr verwenden. Unternehmen sollten darauf achten, keine veraltete oder aus anderen Gründen anfällige Software mehr zu verwenden, wie z. B. das inzwischen überholte Windows 2007 und den Internet Explorer von Microsoft.
• Flicken Sie umgehend. Das frühzeitige Flicken von Software zur Beseitigung von Schwachstellen bleibt der Schlüssel zur Aufrechterhaltung der Netzwerksicherheit.
• Prüfen Sie die Risiken von Dritten. Unternehmen sollten auf potenzielle Bedrohungen achten, die über Geschäftspartner und andere Dritte übertragen werden - einschließlich Transportunternehmen, die von Angreifern besonders ins Visier genommen wurden.
• Erwägen Sie das Blockieren von Bilddateien. Mimecast hat festgestellt, dass Bedrohungsakteure zunehmend Bilddateiformate verwenden, um Malware zu verbergen und die Erkennung zu umgehen.
• Führen Sie häufige Backups durch , um Kopien der Daten für den Fall aufzubewahren, dass Ransomware den Zugriff auf betriebliche Systeme unmöglich macht.

Die Quintessenz

Während sie mit der Eindämmung der Coronavirus-Pandemie kämpfen, müssen Krankenhäuser und andere medizinische Dienstleister nun auch gegen Ransomware-Bedrohungen im Zusammenhang mit dem Coronavirus kämpfen, die über Phishing-E-Mails initiiert werden.

Zu den grundlegenden Vorkehrungen zur Minimierung von Ransomware-Bedrohungen gehören die Sensibilisierung der Benutzer, die Durchsetzung der Verwendung sicherer Passwörter und einer mehrstufigen Authentifizierung sowie die sofortige Beseitigung bekannter Software-Schwachstellen.

[1] "Cyberkriminelle nehmen wichtige Gesundheitseinrichtungen mit Ransomware ins Visier," Interpol

[2] "Cyberkriminelle nutzen die Vorteile des Coronavirus," The Wall Street Journal

[3] "Interpol sagt, dass Krankenhäuser mit einer Reihe von Ransomware angegriffen wurden," The Wall Street Journal