Ransomware: Angriffe auf kritische Infrastrukturen und Hörgerätekette Kind
Kliniken weltweit, ein Pipelinebetreiber in Kanada und ein hessisches Wasserwerk gehören zu den Opfern der Erpressungstrojaner.
(Bild: Foxeel,Shutterstock.com)
In den vergangenen Tagen haben Ransomware-Banden wieder international ihr Unwesen getrieben – auch deutsche Unternehmen und Einrichtungen gerieten ins Fadenkreuz. Erneut haben die Täter sich auch an Krankenhäusern und medizinischen Einrichtungen vergriffen.
Mitarbeiter rund 100 medizinischer Einrichtungen in Rumänien müssen seit Anfang dieser Woche weitgehend ohne Computer arbeiten. Eine Ransomware namens Backmydata infizierte 26 Krankenhäuser und 74 weitere medizinische Einrichtungen, so das rumänische Direktorat für Cybersicherheit DNSC in einer aktuellen Meldung. Wie das DNSC berichtet, verbreitet sich Backmydata über das Remote Desktop Protocol (RDP) und gehört zur Malware-Familie Phobos. Diese Malware wurde in vergangenen Angriffen durch eine Gruppe namens 8Base eingesetzt, die sich unter anderem auf medizinische Einrichtungen spezialisiert hatte – so warnte das US-Gesundheitsministerium bereits vergangenen November vor der Gruppe.
Auch in Deutschland standen in den letzten Tagen Gesundheitseinrichtungen unter Beschuss durch Ransomware. So meldete der niedersächsische Verein "Gesundheits- und Pflegeeinrichtungen Lindenbrunn", dass fünf seiner Dependancen durch einen Cyberangriff beeinträchtigt seien. Die Patienten und Bewohner der Einrichtungen sind ohne Einschränkungen versorgt, jedoch nicht telefonisch erreichbar. Ob Daten durch die Angreifer kopiert wurden, ist gemäß der Informationsseite des Vereins derzeit unklar.
Ransomware-Angriffe auf Krankenhäuser, obgleich bei Banden wie Lockbit offiziell ungern gesehen, treten derzeit gehäuft auf und können Menschenleben gefährden.
Daten- statt Rohrleck bei Wasserwerk und Pipelinebetreiber
Unbekannte Kriminelle haben die Verwaltung des Wasserwerks im hessischen Fritzlar-Homberg am 9. Februar lahmgelegt. Wie das Unternehmen auf einer Informationsseite mitteilt, sei die Wasserversorgung in den angeschlossenen Gemeinden zu keiner Zeit in Gefahr gewesen, da die Betriebstechnik unabhängig vom Verwaltungsnetzwerk sei. Dieses werde nun wiederaufgebaut, man sei daher nur eingeschränkt über elektronische Medien erreichbar.
(Bild: heise security / cku)
Ebenfalls durch Rohre, jedoch nicht in der nordhessischen Provinz, sondern quer durch Kanada, fließt die Ware eines weiteren Ransomware-Opfers. Trans-Northern Pipelines, Betreiber mehrerer Öl- und Gas-Pipelines in den kanadischen Provinzen Alberta, Ontario und Quebec, hatte ungebetenen Besuch von AlphV. Wie die Gruppe auf ihrer Leaksite im Darknet angibt, hat sie 190 GByte "wichtiger Informationen" kopiert und veröffentlicht. Der Download-Mirror listet einen bunten Datei-Mischmasch auf, der anscheinend authentische Daten des Pipelinebetreibers enthält, wie eine Stichprobe durch heise security ergab.
Auch Hörgerätekette Kind betroffen
Bereits am 6. Februar hatte es die hannoversche Hörgerätekette Kind erwischt, wie die Hannoversche Allgemeine Zeitung (HAZ) berichtet. Als Reaktion auf den Angriff habe man die Systeme sehr schnell vom Netz genommen und so möglicherweise größere Schäden abwenden können, so ein Mitarbeiter der Kind-Gruppe gegenüber der HAZ. Die IT-Infrastruktur des Unternehmens mit rund 3000 Mitarbeitern und 600 Ladengeschäften werde jetzt durch Fachleute geprüft und Stück für Stück wieder hochgefahren. Hinweise auf den Abfluss personenbezogener Daten gebe es nicht – ob andere Daten wie etwa Geschäftsinformationen abhandengekommen sind, ist unklar.
Abzocker unerwünscht: Lockbit fliegt aus Untergrund-Communities
(Bild: Analyst1)
Einer der profiliertesten Akteure der Ransomware-Szene hat derweil Stress hinter den Kulissen: Der kriminelle Kopf der Lockbit-Bande hat sich in zwei der größten Cybercrime-Tummelplätze im Darknet ein virtuelles Hausverbot eingehandelt, den Foren "XSS" und "Exploit". Offenbar hatte sich einer seiner Handlanger betrogen gefühlt und den prominenten Digitalgangster bei den Forums-Administratoren als Abzocker angeschwärzt. Die ließen nicht mit sich reden und warfen den Lockbit-Chef kurzerhand raus. Das Profil des "Lockbit Support" ist nun als "Ripper" (etwa: Abzocker) gebrandmarkt, während er sich missverstanden fühlt und anderswo seine Wunden leckt.
Angriffe per Ransomware gehören mittlerweile zu den häufigsten Sicherheitsvorfällen. Wer sich detailliert über Taktiken und Methoden der Angreifer informieren und lernen möchte, wie die eigene IT-Infrastruktur widerstandsfähiger wird, kann am 21. und 22. Februar das heise-security-Webinar "Ransomware – Angriffe verstehen und erfolgreich abwehren" besuchen.
(cku)
