In der Corona-Krise sind Krankenhäuser und deren IT-Systeme schwer belastet. Untersuchungen von CybelAngel zeigen nun, wie sich Cyberkriminelle gestohlene Anmeldeinformationen und Datenbankdateien aus spezialisierten Quellen im Cybercrime-Untergrund besorgen um Ransomware-Angriffe und andere Attacken im Gesundheitswesen zu planen.
In ihrem neuen Report „Gesundheitsdaten im Darkweb“ beschreiben die CybelAngel-Analysten, wie die anhaltende Belastung der Krankenhäuser durch die COVID-19-Pandemie in Verbindung mit den mangelhaften Abwehrmaßnahmen den Kriminellen ausreichend Möglichkeiten und Ressourcen bietet, um lukrative Angriffe durchzuführen.
Um die Bedrohungen für Gesundheitseinrichtungen besser verstehen zu können, verfolgten die Forscher von CybelAngel Cyberkriminelle, die es auf Krankenhäuser in Frankreich abgesehen haben, und analysierten deren Angriffsmethoden und Erpressungsgelder.
Die wichtigsten Ergebnisse im Überblick:
- Offene Datenbanken begünstigen Datenverlust
In Darkweb-Foren konnte CybelAngel beobachten, wie versierte Kriminelle exponierte Datenbanken von Gesundheitseinrichtungen gezielt sammeln und dann weiterverkaufen. Diese Datenbanken können auf lokalen Servern, dedizierten Geräten oder auch auf SaaS und anderen cloudbasierten Plattformen gespeichert sein, welche durch Fehlkonfigurationen oder schlechte Zugriffskontrollen Daten leicht sichtbar machen.
- Angreifer kombinieren Credential-Stuffing mit Drittanbieter-Zugriff, um eine Erkennung zu umgehen
Der SolarWinds-Angriff hat gezeigt, dass auch beliebte Software von Drittanbietern Möglichkeiten eröffnet, strenge Sicherheitsvorkehrungen zu umgehen. Dies bedroht auch den Gesundheitssektor. So zeigen die Untersuchungen von CybelAngel unter anderem Screenshots von gut vernetzten Kriminellen, die eine Datei mit Tausenden von Mitarbeiterausweisen verkaufen. Diese stammt ursprünglich von einem Unternehmen, das mit vielen verschiedenen Krankenhäusern zusammenarbeitet.
Zahlreiche Verstöße und Ransomware-Angriffe gehen auf Kooperationen mit Drittanbietern zurück, da der Gesundheitssektor auf deren Software, den technischen Support, die Abrechnung und Datenberichterstattung angewiesen ist. Cyberkriminelle müssen letztlich also nur einen einzigen dieser Service Provider angreifen, um auf viele seiner nachgeschalteten Kunden und Partner zugreifen zu können.
- Das Teilen von Krankenakten bedeutet Kontrollverlust
Durch die starke Verbreitung von billigen Netzwerkspeichern und anderen Geräten mit hoher Kapazität können Kriminelle sowohl autorisierte als auch versteckte Schatten-IT-Systeme leicht aufspüren. Das bedeutet, dass Millionen sensibler Gesundheitsakten öffentlich zugänglich sind.
So entdeckte CybelAngel im Darkweb 500.000 französische Krankenhausunterlagen, die dort zum Kauf angeboten wurden. Sie enthalten sensible personenbezogene Patientendaten und können für weiteren Betrug oder zur Verfeinerung von Phishing- und Ransomware-Angriffen genutzt werden.
Praktische Sicherheitsempfehlungen zur Abwehr und Schadensbegrenzung:
- Schulen Sie die Mitarbeiter
Abgesehen davon, dass personenbezogene Sicherheitslücken wie Phishing-E-Mails und das Übertragen von sensiblen Daten auf nicht genehmigte Geräte erkannt und vermieden werden sollten, ist es wichtig, dass die Belegschaft im Gesundheitswesen sich der aktuellen Bedrohungen bewusst ist. Es liegt an jedem Mitarbeiter sicherzustellen, dass sein Team im stressigen Arbeitsalltag nicht versehentlich gegen Sicherheitskontrollen oder Compliance-Richtlinien verstößt.
- Setzen Sie auf Patchen und eine angemessene Verschlüsselung
Jahrelang ungepatchte Software ist anfällig für Kompromittierung und vergrößert somit die Angriffsfläche. Genauso besorgniserregend ist das weit verbreitete Versäumnis, integrierte Verschlüsselungsfunktionen auf Software-, Kollaborations- und Geräteplattformen zu aktivieren. Verschlüsselte Daten sind für Angreifer nutzlos. Leider wird diese sichere Abwehr nicht genutzt, wenn Systeme falsch konfiguriert werden.
- Überwachen Sie notwendige, aber riskanten Remote-Verbindungen:
Die Gesundheitsbranche ist auf diese Verbindungen angewiesen. Jedoch erhöhen unvollständige Asset-Erkennungen das Risiko für Privilegien-Missbrauch, auch wenn nur ein Gerät oder eine Abteilung kompromittiert wird. Wenn ein Remote-Desktop-Protokoll (RDP) oder ein VPN-Zugang erforderlich sind, muss unbedingt sichergestellt sein, dass alle erweiterten Sicherheitseinstellungen aktiviert sind und der Internetverkehr auf Anzeichen von Missbrauch, wie zum Beispiel anormale Datenexfiltration, überwacht wird.