1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Ukraine-Krieg: Mehr Malware im Umlauf

Ukraine-Krieg: Mehr Malware im Umlauf

Sicherheit

Veröffentlicht 30.03.2022 09:30, Dagmar Finlayson

Im Zusammenhang mit der aktuellen Kriegssituation kursiert im Moment deutlich mehr Schadsoftware als gewöhnlich. Verschiedene Akteure und Angriffsformen sind involviert. Krankenhäuser in Deutschland sind auf Cyberattacken schlecht vorbereitet.

Der russische Angriffskrieg gegen die Ukraine hat eine gestiegene Gefahr für die IT-Sicherheit medizinischer Einrichtungen in Deutschland zur Folge. Schon 2020 stellte die Agentur der Europäischen Union für Cybersicherheit fest, dass die Anzahl der IT-Sicherheitsvorfälle im Gesundheitssektor im Vergleich zum Vorjahr um fast 50 Prozent gestiegen war. Diese bereits seit Jahren ansteigende Gefahr durch Cyberattacken wird durch die Aktivitäten verschiedenster Hackergruppen im Zusammenhang mit den aktuellen Ereignissen einmal verstärkt. Russische Hacker arbeiten mit DDoS-Attacken, Website Defacements, Betrugsnachrichten und Malware wie Ransomware oder Wipern.

Ransomware-Gruppen und andere Cyberkriminelle handeln häufig im Einklang mit staatlichen Hackern und stimmen sich mit diesen ab. In diesen Kreisen existieren Verwertungsketten mit Gruppen, die auf Spammails und Phishing spezialisiert sind. Wenn das Opfer in das Beuteschema der Regierung passt, werden bestimmte Initialeintrittsvektoren gerne an staatliche Stellen weitergereicht.

Conti-Gruppe warnt den Westen

Als eine der bekanntesten und aggressivsten Erpressergruppen mit den höchsten Lösegeldforderungen gilt Conti. Sie hat sich auf High-Value Targets spezialisiert. Dazu zählen auch die IT-Systeme großer Kliniken. Schwachstellen werden gefunden, wichtige Informationen extrahiert und am Ende wird die Ransomware auf den Systemen installiert und der Zugang zu den Daten und Konten verschlüsselt, bis das Lösegeld bezahlt ist. Conti nutzt das Geschäftsmodell Ransomware-as-a-Service (RaaS), bei der die Erpressersoftware von Kunden als Dienst gebucht werden kann.
Ende Februar postete Conti eine Warnung an den Westen und kündigte „volle Unterstützung“ für Russland an. Daraufhin wurden 60.000 Chats der Gruppe im Netz veröffentlicht. Firmen, die Lösegeld gezahlt haben, damit sie auch nicht öffentlich genannt werden, sind jetzt in den Chatlogs auffindbar. Es ist noch umstritten, ob ein Security Researcher, ein Hacker oder ein Mitglied der Gruppe die Daten geleakt hat.

Im vergangenen Jahr attackierte Conti den irischen Gesundheitsdienst HSE. Daraufhin mussten in Krankenhäusern viele Behandlungstermine abgesagt werden. Speziell in der Radiologie und bei der Versorgung mit Kindern und Schwangeren fielen Termine aus. Die Erpresser forderten die Zahlung von Lösegeld in Form von Bitcoin, doch der irische Staat lehnte ab. Das FBI gab infolge dieses Angriffs eine Warnung vor Conti heraus und auch andere US-Behörden warnten mehrmals vor Conti. 2020 hatte es in den USA 16 Angriffe mit Conti Ransomware auf Netzwerke des Gesundheitswesens und der Rettungsdienste gegeben.

Wiper-Attacken nehmen zu

Charakteristisch für Cyberattacken von russischer Seite ist auch das Streuen von zerstörerischer Wiper-Malware, die sich meist als Ransomware tarnt. Das Ziel ist hier nicht finanzieller Gewinn, sondern allein das Anrichten von Schaden und somit das Schwächen des Feindes. So enthüllte Microsoft Mitte Januar den Wiper WhisperGate, der auf verschiedene ukrainische Organisationen zielte. Kurz vor Kriegsbeginn wurden ukrainische Regierungsinstitutionen und Unternehmen mit HermeticWiper infiziert. Diese bestehen aus drei verschiedenen Komponenten: HermeticWiper, das ein System durch Löschen von Daten unbrauchbar macht, HermeticWizard, das den Wiper in einem lokalen Netzwerk verbreitet, und der Ransomware HermeticRansom. Von dieser Art von Schadsoftware können auch Krankenhäuser betroffen sein. Auch das US-Gesundheitsministerium warnte Anfang März vor HermeticWiper und WhisperGate.

Der Militärgeheimdienst GRU und die ihm zugeschriebene Hackergruppierung „Sandworm“ fallen als staatliche Institutionen besonders ins Auge, hacken aber in der Regel keine deutschen Krankenhäuser. Sie werden vor allem mit der Beeinflussung der US-Wahlen in Verbindung gebracht. Zudem infiltrieren sie kritische Infrastrukturen und sorgen so zum Beispiel für eine Lahmlegung des Stromnetzes, wie im Falle von NotPetya im Jahr 2017. Es gilt als erwiesen, dass der Geheimdienst GRU hinter diesem als Ransomware getarnten Wiper-Angriff steckt, der auch Daten in Systemen zahlreicher internationaler Firmen löschte.

Cyberattacken können Menschenleben kosten

Mit dem hohen Aufkommen von Ransomware und anderer Malware geht auch eine gestiegene Gefahr von Angriffen auf Krankenhäuser und andere medizinische Einrichtungen einher. Im schlimmsten Fall können Cyberattacken Menschenleben kosten. So starb im August 2020 eine Patientin, weil der Rettungswagen von Düsseldorf nach Wuppertal umgeleitet werden musste und daher eine halbe Stunde länger brauchte. Hacker hatten die IT der Düsseldorfer Uniklinik lahmgelegt. Das Erpresserschreiben zwar ursprünglich an die Heinrich-Heine-Universität gerichtet und die Hacker händigten der Polizei den digitalen Schlüssel aus, als diese sie warnte, dass sie Menschenleben gefährdeten, doch der Schaden war schon entstanden.

Von ungesperrten PCs in der Arztpraxis

Im Zuge des Krankenhauszukunftsgesetzes stellt der Bund drei Milliarden Euro für die Digitalisierung von Kliniken bereit, die auch in die IT-Sicherheit fließen sollen. Das ist bitter nötig. Corona hat zwar die Digitalisierung in vielen Aspekten gefördert. Das Thema IT-Sicherheit wurde dabei aber vernachlässigt. Bekannte Beispiele hierfür sind die Skandale um die Luca-App und Datenleaks in Impfzentren. Ein anderes Beispiel: PCs in Arztpraxen oder im Impfzentrum, die nicht passwortgeschützt sind. Hier reicht es meist, einen USB-Stick anzustecken, um eine Reverse Shell zu initiieren. Über die kann der Angreifer dann von zu Hause aus problemlos weiter hacken.

Basics: Isolation von Netzwerksegmenten

Was müssen Krankenhäuser tun? Eigentlich ist alles bekannt. Zu den Basismaßnahmen gehören die folgenden: Kritisches medizinisches Equipment sollte pauschal von denjenigen PCs abgeriegelt werden, an denen freier gearbeitet werden kann. Röntgen-PCs dürfen zum Beispiel gar nicht erst ins Internet kommen. Vernetzte Arbeitscomputer gehören strikt gehärtet und dürfen nicht an das Internet angebunden werden. Mit PCs für die Patientenannahme auf der Station muss niemand in der Pause surfen können. Eine Lösung kann sein, dass für kreative Internet-Recherchen Tablet-PCs angeschafft werden, mit denen das Personal bei Bedarf aus dem Gäste-Wlan online gehen und Internet-Recherchen vornehmen kann.
Unentbehrlich: Schwachstellenmanagement und Threat Intelligence
In abgesteckten Bereichen, in denen es sicher möglich ist, sollte die Krankenhaus-IT mit Produkten von Tenable auf Schwachstellen gescannt werden. Konfigurationen müssen gehärtet werden. Für die Threat Intelligence eignet sich Software des Unternehmens Recorded Future. Hier gibt es sogar spezielle Healthcare Pakete. Diese informieren automatisiert und in Echtzeit über neue Angriffe und wenn Passwörter oder Patientendaten im Internet geleakt werden. Selbstverständlich ist es auch wichtig, dass alle Systeme sauber und zentral administriert, verwaltet und gepatcht werden.

Autor:

Sebastian Brabetz ist in der Geschäftsleitung bei mod IT Services für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat bislang zwei Werke zum Thema „Penetration Testing“ veröffentlicht.


Symbolbild: Pixabay/Pexels


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser
IT-Sicherheit & Kritis
Video

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz
IT-Sicherheit & Kritis
Studie

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
IT-Sicherheit & Kritis
DOS

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen
IT-Sicherheit & Kritis
2FA

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen

Cyberagentur vergibt Vorstudie nach Berlin
IT-Sicherheit & Kritis
Studie

Cyberagentur vergibt Vorstudie nach Berlin

Lesen Sie hier die neuesten Beiträge

18.600 Teilnehmer:innen, rund 800 Aussteller und über 350 Speaker: DMEA – Connecting Digital Health zieht erfolgreiche Bilanz
DMEA 2024
DMEA

18.600 Teilnehmer:innen, rund 800 Aussteller und über 350 Speaker: DMEA – Connecting Digital Health zieht erfolgreiche Bilanz

Universität Bamberg ist das bedeutendste KI-Zentrum der Region
Künstliche Intelligenz
BaCAI

Universität Bamberg ist das bedeutendste KI-Zentrum der Region

Collaboration-Tools: Risiken für das Business vorbeugen
IT-Management
Tool

Collaboration-Tools: Risiken für das Business vorbeugen

Diese Webseite verwendet Cookies.   Mehr Info.      oder