FBI warnt vor Ransomwareangriffen auf US-Krankenhäuser

Die US-Bundespolizei FBI, das Heimatschutzministerium sowie das Gesundheitsministerium der USA warnen vor „unmittelbar bevorstehenden Cybercrime-Bedrohungen für US-Krankenhäuser und Gesundheitsanbieter“. Ihnen drohen Angriffe mit der Malware Trickbot und Ransomware Ryuk.

Trickbot startete 2016 als Banking-Trojaner und entwickelte sich im Lauf der Jahre zu einer Multifunktions-Schadsoftware, die weitere Malware herunterladen kann. Damit infizierte Systeme werden von Cyberkriminellen als andere Cybergangs verkauft. Heute gehören auch Datendiebstahl und die Verbreitung der Ransomware Ryuk zum Funktionsumfang.

Zuletzt hatte sich Microsoft zusammen mit Symantec, Eset, FS-ISAC und Lumen mit der Schadsoftware beschäftigt. Erst Anfang des Monats erreichte Microsoft per Gerichtsbeschluss die Abschaltung großer Teile der Trickbot-Infrastruktur. Zu dem Zeitpunkt galt Trickbot mit mehr als einer Million infizierten Computern als eines der größten Botnetze weltweit. Die Hintermänner benötigten jedoch nur einen Tag, um eine neue Infrastruktur mit neuen Befehlsservern und Domains einzurichten.

Die Warnung der US-Behörden basiert laut einem Bericht des Sicherheitsexperten Brian Krebs auf Erkenntnissen des Sicherheitsanbieters Hold Security. Dessen CEO Alex Holden erklärte, die Ryuk-Hintermänner planten, mehr als 400 Einrichtungen des US-Gesundheitssystems mit Ransomware zu infizieren.

Der Warnung zufolge haben die Trickbot-Entwickler ein neues Hacking-Werkzeug namens Anchor_DNS erstellt, das es ihnen erlaubt, per DNS-Tunneling Daten von einem infizierten Computer abzuziehen. Die Kommunikation per DNS soll Sicherheitsanwendungen täuschen und die unerwünschte Datenübermittlung in legitimen DNS-Datenverkehr verstecken.

Wie Reuters berichtet, untersucht das FBI bereits Attacken gegen Gesundheitsanbieter in den Bundesstaaten Oregon, Kalifornien und New York. Mindestens eine Einrichtung soll durch einen aktuellen Angriff gezwungen sein, Patientenbefunde nur noch in Papierform zu bearbeiten. Demnach wurden Krankenhäuser inzwischen von der US-Regierung aufgefordert, ihre System so weit wie möglich vom Internet zu trennen, private E-Mail-Kommunikation einzuschränken und Datensicherungen anzulegen.

Der Sicherheitsanbieter Mandiant wiederum veröffentlichte eine Liste mit Indicators of Compromise, mit deren Hilfe eine mögliche Infektion aufgespürt werden kann. Das Department of Homeland Security teilte mit, dass Trickbot für Windows eine ausführbare Datei (.exe) mit einem zufällig generierten Dateinamen in den Verzeichnissen „C:\Windows“, „C:\Windows\SysWOW64“ und „C:\Benutzer\Benutzername\AppData\Roaming“ ablegt.

Angriffe gegen das Gesundheitssystem sind in Corona-Zeiten als besonders perfide einzustufen. Aufgrund einer hohen Auslastung würde es Krankenhäuser derzeit besonders hart treffen, falls sie wegen eines Hackerangriffs auch nur vorübergehend auf Teile ihrer IT-Systeme verzichten müssten.

„Ransomware ist eine Bedrohung, die wir nicht länger ignorieren dürfen, sie gerät zunehmend außer Kontrolle“, kommentiert Sandra Joyce, Executive Vice President bei FireEye. „Die Hacker, die hinter Ransomware-Kampagnen stehen, schalten mittlerweile die kritischsten Ziele aus. Die Angriffe sind nicht mehr nur eine Herausforderung, sondern so umfangreich und verheerend, dass wir sie nicht länger als bloßes Ärgernis oder Geschäftsrisiko betrachten sollten – sie sind eine ernsthafte Bedrohung für die globale Sicherheit.“

Einen Angriff mit Ransomware auf die Uniklinik in Düsseldorf brachen Hacker zuletzt ab und stellten den für die Entschlüsselung von Dateien benötigten Schlüssel kostenlos zur Verfügung. Sie waren offenbar der Meinung, Systeme der Universität Düsseldorf gehackt zu haben. Auf ihren Irrtum und die damit verbundenen Gefahren für die Gesundheit von Menschen aufmerksam gemacht, brachen sie ihren Erpressungsversuch ab.