FBI warnt vor Ransomwareangriffen auf US-Krankenhäuser

Die US-Bundespolizei FBI, das Heimatschutzministerium sowie das Gesundheitsministerium der USA warnen vor „unmittelbar bevorstehenden Cybercrime-Bedrohungen für US-Krankenhäuser und Gesundheitsanbieter“. Ihnen drohen Angriffe mit der Malware Trickbot und Ransomware Ryuk.

Trickbot startete 2016 als Banking-Trojaner und entwickelte sich im Lauf der Jahre zu einer Multifunktions-Schadsoftware, die weitere Malware herunterladen kann. Damit infizierte Systeme werden von Cyberkriminellen als andere Cybergangs verkauft. Heute gehören auch Datendiebstahl und die Verbreitung der Ransomware Ryuk zum Funktionsumfang.

Zuletzt hatte sich Microsoft zusammen mit Symantec, Eset, FS-ISAC und Lumen mit der Schadsoftware beschäftigt. Erst Anfang des Monats erreichte Microsoft per Gerichtsbeschluss die Abschaltung großer Teile der Trickbot-Infrastruktur. Zu dem Zeitpunkt galt Trickbot mit mehr als einer Million infizierten Computern als eines der größten Botnetze weltweit. Die Hintermänner benötigten jedoch nur einen Tag, um eine neue Infrastruktur mit neuen Befehlsservern und Domains einzurichten.

Die Warnung der US-Behörden basiert laut einem Bericht des Sicherheitsexperten Brian Krebs auf Erkenntnissen des Sicherheitsanbieters Hold Security. Dessen CEO Alex Holden erklärte, die Ryuk-Hintermänner planten, mehr als 400 Einrichtungen des US-Gesundheitssystems mit Ransomware zu infizieren.

Der Warnung zufolge haben die Trickbot-Entwickler ein neues Hacking-Werkzeug namens Anchor_DNS erstellt, das es ihnen erlaubt, per DNS-Tunneling Daten von einem infizierten Computer abzuziehen. Die Kommunikation per DNS soll Sicherheitsanwendungen täuschen und die unerwünschte Datenübermittlung in legitimen DNS-Datenverkehr verstecken.

Wie Reuters berichtet, untersucht das FBI bereits Attacken gegen Gesundheitsanbieter in den Bundesstaaten Oregon, Kalifornien und New York. Mindestens eine Einrichtung soll durch einen aktuellen Angriff gezwungen sein, Patientenbefunde nur noch in Papierform zu bearbeiten. Demnach wurden Krankenhäuser inzwischen von der US-Regierung aufgefordert, ihre System so weit wie möglich vom Internet zu trennen, private E-Mail-Kommunikation einzuschränken und Datensicherungen anzulegen.

Der Sicherheitsanbieter Mandiant wiederum veröffentlichte eine Liste mit Indicators of Compromise, mit deren Hilfe eine mögliche Infektion aufgespürt werden kann. Das Department of Homeland Security teilte mit, dass Trickbot für Windows eine ausführbare Datei (.exe) mit einem zufällig generierten Dateinamen in den Verzeichnissen „C:\Windows“, „C:\Windows\SysWOW64“ und „C:\Benutzer\Benutzername\AppData\Roaming“ ablegt.

Angriffe gegen das Gesundheitssystem sind in Corona-Zeiten als besonders perfide einzustufen. Aufgrund einer hohen Auslastung würde es Krankenhäuser derzeit besonders hart treffen, falls sie wegen eines Hackerangriffs auch nur vorübergehend auf Teile ihrer IT-Systeme verzichten müssten.

„Ransomware ist eine Bedrohung, die wir nicht länger ignorieren dürfen, sie gerät zunehmend außer Kontrolle“, kommentiert Sandra Joyce, Executive Vice President bei FireEye. „Die Hacker, die hinter Ransomware-Kampagnen stehen, schalten mittlerweile die kritischsten Ziele aus. Die Angriffe sind nicht mehr nur eine Herausforderung, sondern so umfangreich und verheerend, dass wir sie nicht länger als bloßes Ärgernis oder Geschäftsrisiko betrachten sollten – sie sind eine ernsthafte Bedrohung für die globale Sicherheit.“

Einen Angriff mit Ransomware auf die Uniklinik in Düsseldorf brachen Hacker zuletzt ab und stellten den für die Entschlüsselung von Dateien benötigten Schlüssel kostenlos zur Verfügung. Sie waren offenbar der Meinung, Systeme der Universität Düsseldorf gehackt zu haben. Auf ihren Irrtum und die damit verbundenen Gefahren für die Gesundheit von Menschen aufmerksam gemacht, brachen sie ihren Erpressungsversuch ab.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Forscher melden Durchbruch im Bereich Quanten-Computing

Das chinesische System soll zumindest bei einer speziellen Berechnung 100-Billionen-Mal schneller sein als der schnellste…

19 Stunden ago

Samsung kündig größte Reorganisation seit drei Jahren an

Das Unternehmen befördert 214 Führungskräfte. Alleine 31 Manager tragen nun den Titel Executive Vice President.…

21 Stunden ago

Malware für den Diebstahl von Finanzdaten versteckt sich hinter Social-Media-Buttons

Die Buttons erlauben angeblich das Teilen von Inhalten per Facebook, Twitter und Instagram. Stattdessen aktivieren…

23 Stunden ago

Phishing-Kampagne nimmt die Kühlkette für COVID-19-Impfstoff ins Visier

Die Hintermänner erhalten nach Einschätzung von IBM X-Force Unterstützung von einem Nationalstaat. Zu den Zielen…

1 Tag ago

Neue TrickBot-Variante macht sich am BIOS zu schaffen

Derzeit liest TrickBot nur den Schreibschutzstatus des BIOS aus. Die Malware verfügt aber bereits über…

1 Tag ago

8 Prozent aller Apps im Play Store anfällig für alte Sicherheitslücke

Sie steckt in der Bibliothek Play Core, die Google bereitstellt. Angreifer können vertrauliche Daten wie…

1 Tag ago