Neue Version von Knight Ransomware in Krankenhäusern aufgetaucht

Image in image block

Die Welt wurde von einer Reihe von Ransomware-Angriffen erschüttert, die von Ransomhub ausgeführt wurden. Allein im April gab es 26 Berichte über Angriffe auf Krankenhäuser und andere Organisationen wie das Auktionshaus Christie's. Londoner Krankenhäuser mussten aufgrund dieser Angriffe Bluttransfusionen und Operationen stoppen.

Was ist Ransomhub? Es handelt sich um eine aktualisierte Version des Ransomware-Programms Knight. Anfang 2024 wurde der Quellcode von Knight im Dark Web zum Verkauf angeboten. Der neue Eigentümer(oder möglicherweise derselbe Eigentümer) hat das Programm verbessert und bietet es jetzt als Ransomware-as-a-Service (RaaS) an. Dieser Service zieht aktiv Partner an. Viele ehemalige Lockbit-Benutzer wechseln zu Ransomhub, da der Betrieb von Lockbit kürzlich von Polizei und Justiz hart getroffen wurde. Der Mann hinter Lockbit ist immer noch auf freiem Fuß und aktiv.

Gesundheitssektor unter Beschuss

In der Vergangenheit wiesen mehrere RaaS-Betriebe darauf hin, dass Angriffe auf den Gesundheitssektor nicht akzeptabel seien, insbesondere während der Corona. In letzter Zeit hat es Ransomhub jedoch auf Organisationen des Gesundheitswesens und deren Zulieferer abgesehen.

Doppelte Erpressung: Neben dem traditionellen Ransomware-Umsatzmodell, bei dem ein Lösegeld für die Wiederherstellung des Zugriffs auf verschlüsselte Daten gefordert wird, nutzen Kriminelle jetzt auch die Methode der "doppelten Erpressung". Dabei stehlen sie zunächst Daten und drohen dann damit, sie zu verkaufen oder weiterzugeben.

Schneller als bisher Das schnelle Wachstum und die Entwicklung dieses neuen RaaS-Dienstes lassen vermuten, dass Ransomhub eine wichtige Rolle in der Welt der Cyberkriminellen spielen wird. Das ist besorgniserregend, denn die Zeit zwischen dem ersten Zugriff und dem Einsatz von Ransomware wird immer kürzer.

Untersuchungen zeigen , dass Ransomware ab 2023 in mehr als der Hälfte der Fälle bereits innerhalb einer Woche eingesetzt wird. In einem Drittel der Fälle wird sie sogar innerhalb von 48 Stunden eingesetzt. Die Mehrheit der Ransomware wird außerhalb der Arbeitszeiten aktiviert, oft früh am Morgen.

Verwendete Methoden

Wie bei Ransomware-Angriffen üblich, erfolgt der erste Zugriff oft über Daten, die durch Phishing oder Spearphishing erlangt wurden. Daher ist es wichtig, dass Ihr Unternehmen ständig darauf achtet, seine Mitarbeiter für die Cybersicherheit zu sensibilisieren, zum Beispiel mit dem SAFE-Programm.

Hacker installieren Schadsoftware und in zunehmendem Maße auch Fernzugriffssoftware. Denken Sie an Programme wie Teamviewer, VNC, Atera und Splashtop. Außerdem nutzen sie regelmäßig das Vorhandensein bekannter Schwachstellen im internen Netzwerk aus.

Welche bekannten Schwachstellen?

Wir können nie genau wissen, was die Ransomware-Affiliates ausprobieren. Aber anhand unserer eigenen Nachforschungen können wir aufzeigen, was in Bezug auf die Cybersicherheit im Gesundheitswesen regelmäßig schief läuft. Auch die Angreifer selbst geben manchmal Ratschläge, siehe das Bild unten.

Image in image block

Beispielnachricht der Angreifer

Oftmals verschaffen sich die Hacker zunächst Zugang zu einem einzelnen System oder Konto im internen Netzwerk. Dann verschaffen sich die Eindringlinge Zugang zu anderen Systemen und Konten im Netzwerk, indem sie z.B. missbrauchen:

  • Schwache Passwörter und fehlende Multi-Faktor-Authentifizierung
  • Sogenannte "Null-Sitzungen", die manchmal von Systemen im Netzwerk zugelassen werden. Dies ermöglicht es einem Angreifer, ohne Anmeldeinformationen begrenzten Zugriff auf den Inhalt des Systems zu erhalten.
  • Ein sogenannter"NTLM-Relay"-Angriff, der es einem Angreifer ermöglicht, legitime Anmeldeversuche zu missbrauchen, um Zugang zu anderen Systemen zu erhalten.
  • Netzwerkports und -dienste, die nur von Administratoren benötigt werden, sind häufig auch für Mitarbeiter verfügbar oder nutzbar, die keine Administratoren sind.
  • Systeme im internen Netzwerk, die nicht auf dem neuesten Stand sind, enthalten bekannte kritische Sicherheitslücken, die ausgenutzt werden können, wie z.B. Zerologon.

Nächster Schritt: Höchste Privilegien

Sobald der Zugang zum Netzwerk etwas ausgeweitet wurde, ist es dann regelmäßig möglich, durch Angriffe wie diesen weitreichende oder sogar die höchsten Rechte innerhalb der Umgebung zu erlangen:

  • Missbrauch einer Fehlkonfiguration im Active Directory (die so genannten ADCS-Vorlagen, die standardmäßig in einer AD-Umgebung vorhanden sind), die es dem Angreifer ermöglicht, direkt die höchsten Rechte in der Umgebung zu erhalten.
  • Erlangung von Konten mit hohen Rechten durch so genannte"Kerberoasting-Angriffe", die es dem Angreifer ermöglichen, das Passwort des jeweiligen Kontos mit hohen Rechten herauszufinden.
  • Auslesen von Passwörtern oder mathematischen Werten von Passwörtern kürzlich angemeldeter Benutzer aus dem Arbeitsspeicher des Computers mit Administratorrechten auf einem System. Bei Serversystemen führt dies in der Regel zu Konten von Administratoren mit hohen Rechten, da dies die einzigen Konten sind, die sich an solchen Systemen anmelden.

Wir empfehlen daher, dass insbesondere Organisationen des Gesundheitswesens den oben genannten Aspekten besondere Aufmerksamkeit schenken, um die Böswilligen kurzfristig fernzuhalten.

Wie kann Secura helfen?

Secura verwendet eine risikobasierte Methode, um zu beurteilen, wie anfällig Ihre Organisation für Ransomware-Angriffe ist: das Ransomware Resilience Assessment. Auf der Grundlage der identifizierten und klassifizierten Risiken geben wir Ihnen handlungsorientierte Ratschläge, um Ihre Cyber-Resilienz zu erhöhen.

Lesen Sie hier mehr über unser Ransomware Resilience Assessment

AUCH FÜR SIE INTERESSANT

Überwachung des Dark Web

Dark Web Monitoring

Entdeckung gestohlener Anmeldedaten, die beide zunächst Zugang zum Netzwerk des betroffenen Unternehmens gewähren können.

Programme zur Sensibilisierung/Phishing

Phishing Awareness Program Secura

Schulung von Mitarbeitern durch eine wissenschaftlich erprobte Methode, bei der das Ziel nicht nur darin besteht, die Menschen zu "sensibilisieren", sondern eine Verhaltensänderung herbeizuführen.

Interner Penetrationstest

Why you need more than a classical pentest External Attack Surface Management

Was ist möglich, wenn jemand eindringt, und wo liegen die Schwachstellen? Diese Untersuchung testet unter anderem die kritischen Erkenntnisse aus diesem Artikel.

Mehr Informationen

Wünschen Sie weitere Informationen zur Erhöhung der Widerstandsfähigkeit gegen Ransomware? Füllen Sie das Formular aus und wir werden Sie innerhalb eines Arbeitstages kontaktieren.

USP

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.