In der Corona-Krise sind Krankenhäuser und deren IT-Systeme schwer belastet. Untersuchungen von Cybelangel zeigen nun, wie Kriminelle nach Zugangsdaten und Zugriff über Drittanbieter für Betrug und Erpressung suchen und erhalten.
Cybelangel hat eine umfassende Studie veröffentlicht, die zeigt, wie Cyberkriminelle Betrug, Ransomware-Angriffe und andere Attacken im Gesundheitswesen planen, indem sie gestohlene Anmeldeinformationen, durchgesickerte Datenbankdateien und andere Materialien aus spezialisierten Quellen im Cybercrime-Untergrund beschaffen. In ihrem neuen Report „Gesundheitsdaten im Darkweb“ beschreiben die Cybelangel-Analysten, wie die anhaltende Belastung der Krankenhäuser durch die COVID-19-Pandemie in Verbindung mit den mangelhaften Abwehrmaßnahmen den Kriminellen ausreichend Möglichkeiten und Ressourcen bietet, um lukrative Angriffe durchzuführen.
„Cyberangreifer, die Krankenhäuser lahmlegen und gestohlene Krankenakten als Waffen einsetzen, sind dreist und gewissenlos – vor allem in Zeiten einer Pandemie, in der die Verfügbarkeit jeder Pflegeeinrichtung und die Genauigkeit jeder Krankenakte darüber entscheiden, ob Leben gerettet werden kann“, sagte Camille Charaudeau, Vice President of Product Strategy bei Cybelangel. „Obwohl sich Umfang und Risiken dieser Angriffe übermächtig anfühlen, zeigen unsere Untersuchungen, dass das Abschotten bestimmter exponierter Daten einen bedeutenden Effekt hat, da Lieferketten unterbrochen werden, auf die sich die Angreifer verlassen, um diese Angriffe durchzuführen.“
Um die Bedrohungen für Gesundheitseinrichtungen besser verstehen zu können, verfolgten die Forscher von Cybelangel Cyberkriminelle, die es auf Krankenhäuser in Frankreich abgesehen haben, und analysierten deren Angriffsmethoden und Erpressungsgelder.
Die wichtigsten Ergebnisse der Cybelangel-Studie „Gesundheitsdaten im Darkweb“ im Überblick
Offene Datenbanken begünstigen Datenverlust:
In Darkweb-Foren konnte Cybelangel beobachten, wie versierte Kriminelle exponierte Datenbanken von Gesundheitseinrichtungen gezielt sammeln und dann weiterverkaufen. Diese Datenbanken können auf lokalen Servern, dedizierten Geräten oder auch auf SaaS und anderen cloudbasierten Plattformen gespeichert sein, welche durch Fehlkonfigurationen oder schlechte Zugriffskontrollen Daten leicht sichtbar machen.
Angreifer kombinieren Credential-Stuffing mit Drittanbieter-Zugriff, um eine Erkennung zu umgehen:
Der Solarwinds-Angriff hat gezeigt, dass auch beliebte Software von Drittanbietern Möglichkeiten eröffnet, strenge Sicherheitsvorkehrungen zu umgehen. Dies bedroht auch den Gesundheitssektor. So zeigen die Untersuchungen von Cybelangel unter anderem Screenshots von gut vernetzten Kriminellen, die eine Datei mit Tausenden von Mitarbeiterausweisen verkaufen. Diese stammt ursprünglich von einem Unternehmen, das mit vielen verschiedenen Krankenhäusern zusammenarbeitet. Zahlreiche Verstöße und Ransomware-Angriffe gehen auf Kooperationen mit Drittanbietern zurück, da der Gesundheitssektor auf deren Software, den technischen Support, die Abrechnung und Datenberichterstattung angewiesen ist. Cyberkriminelle müssen letztlich also nur einen einzigen dieser Service-Provider angreifen, um auf viele seiner nachgeschalteten Kunden und Partner zugreifen zu können.
Das Teilen von Krankenakten bedeutet Kontrollverlust:
Durch die starke Verbreitung von billigen Netzwerkspeichern und anderen Geräten mit hoher Kapazität können Kriminelle sowohl autorisierte als auch versteckte Schatten-IT-Systeme leicht aufspüren. Das bedeutet, dass Millionen sensibler Gesundheitsakten öffentlich zugänglich sind. So entdeckte Cybelangel im Darkweb 500.000 französische Krankenhausunterlagen, die dort zum Kauf angeboten wurden. Sie enthalten sensible personenbezogene Patientendaten und können für weiteren Betrug oder zur Verfeinerung von Phishing- und Ransomware-Angriffen genutzt werden.
Praktische Sicherheitsempfehlungen zur Abwehr und Schadensbegrenzung
Schulen Sie die Mitarbeiter: Abgesehen davon, dass personenbezogene Sicherheitslücken wie Phishing-E-Mails und das Übertragen von sensiblen Daten auf nicht genehmigte Geräte erkannt und vermieden werden sollten, ist es wichtig, dass die Belegschaft im Gesundheitswesen sich der aktuellen Bedrohungen bewusst ist. Es liegt an jedem Mitarbeiter sicherzustellen, dass sein Team im stressigen Arbeitsalltag nicht versehentlich gegen Sicherheitskontrollen oder Compliance-Richtlinien verstößt.
Setzen Sie auf Patchen und eine angemessene Verschlüsselung: Jahrelang ungepatchte Software ist anfällig für Kompromittierung und vergrößert somit die Angriffsfläche. Genauso besorgniserregend ist das weit verbreitete Versäumnis, integrierte Verschlüsselungsfunktionen auf Software-, Kollaborations- und Geräteplattformen zu aktivieren. Verschlüsselte Daten sind für Angreifer nutzlos. Leider wird diese sichere Abwehr nicht genutzt, wenn Systeme falsch konfiguriert werden.
Überwachen Sie notwendige, aber riskanten Remote-Verbindungen: Die Gesundheitsbranche ist auf diese Verbindungen angewiesen. Jedoch erhöhen unvollständige Asset-Erkennungen das Risiko für Privilegien-Missbrauch, auch wenn nur ein Gerät oder eine Abteilung kompromittiert wird. Wenn ein Remote-Desktop-Protokoll (RDP) oder ein VPN-Zugang erforderlich sind, muss unbedingt sichergestellt sein, dass alle erweiterten Sicherheitseinstellungen aktiviert sind und der Internetverkehr auf Anzeichen von Missbrauch, wie zum Beispiel anormale Datenexfiltration, überwacht wird.
Info: Die vollständige Studie von Cybelangel lässt sich hier nach einer E-Mail-Akkreditierung einsehen.
#Cybelangel
