NHS-Krankenhaus-Ransomware
Ransomware geriet 2017 in die Schlagzeilen, als WannaCry, einer der bisher größten internationalen Cyberangriffe, große Organisationen auf der ganzen Welt angriff. Eines der bekanntesten Opfer war der NHS (National Health Service) im Vereinigten Königreich. Dieser Artikel befasst sich damit, wie es zu dem NHS-Ransomware-Angriff kam, welche Folgen der Angriff hatte und welche Lehren Sie daraus ziehen können, um das Risiko von Ransomware-Angriffen auf Ihr Unternehmen zu verringern.
Wann ist der Angriff auf NHS erfolgt?
Am 12. Mai 2017 wurde der NHS im Vereinigten Königreich von einer Ransomware namens WannaCry heimgesucht. Dieser groß angelegte Ransomware-Angriff machte Krankenhäuser funktionsunfähig, da wichtige Systeme ausfielen. Tausende von Arztbesuchen mussten abgesagt werden, und das Personal konnte weder auf Patientenakten zugreifen noch Telefonsysteme benutzen.
Der NHS England schätzt, dass etwa ein Drittel der 236 NHS-Trusts in England betroffen war, was zu Bedenken hinsichtlich des Datenschutzes und der Gesundheit von Mitarbeitern und Patienten führte, die Opfer der daraus resultierenden Datenlecks wurden.
Was ist WannaCry?
Im Mai 2017 wurde WannaCry zur weltweit berüchtigsten Form von Ransomware, die an nur einem einzigen Tag rund 230.000 Computer auf der ganzen Welt angriff. Der WannaCry-Angriff wurde schnell gestoppt, aber Varianten des ursprünglichen WannaCry sind immer noch aktiv.
Als Wurm ist WannaCry besonders schwer zu stoppen, da er Geräte infizieren und sich automatisch über Netzwerke verbreiten kann, wodurch eine große Anzahl von Geräten durch eine einzige Infektion gefährdet wird. Wanna Cry ist nur eine von vielen berüchtigten Formen von Ransomware. Andere Formen sind etwa Sodinokibi und Ryuk.
Was ist Eternalblue?
Der Exploit, mit dem die Sicherheitslücke im Windows-Betriebssystem ausgenutzt wird, ist als Eternalblue bekannt, wurde jedoch nicht von Hackern entwickelt. Vielmehr wurde es von der amerikanischen National Security Agency (NSA) entwickelt. Leider wurde Eternalblue von einer Hackergruppe namens The Shadow Brokers gestohlen und zur Erstellung von WannaCry verwendet. Microsoft hat zwar schnell einen Patch erstellt, aber alle Windows-PCs, die seit der Veröffentlichung des Patches nicht aktualisiert wurden, bleiben anfällig.
Eternalblue nutzt die Vorteile von SMBv1, einem alten Netzwerkkommunikationsprotokoll von Microsoft. Durch einfaches Senden eines bösartigen Pakets an den Zielserver kann sich die Malware schnell über das Netzwerk verbreiten und in kürzester Zeit eine erhebliche Sicherheitsbedrohung darstellen.
Andere Arten von Ransomware, die einen ähnlichen Ansatz verfolgen, sind Petya (ebenfalls basierend auf Eternalblue), Cerber und Locky.
NHS-Angriff – Was ist passiert?
Die WannaCry-Angriffe zielten nicht auf bestimmte Organisationen ab. Stattdessen gingen sie so vor, dass sie nach jeder Gelegenheit, Netzwerke mit bekannten Sicherheitslücken zu infizieren suchten.
WannaCry zielte zwar nicht direkt auf den NHS ab, aber mangelhafte Sicherheitsvorkehrungen und veraltete Systeme machten es dem Angriff leicht, sich auszubreiten. In britischen Krankenhäusern liefen viele Computer mit ungepatchten Versionen von Windows 7, sodass große Teile des Netzwerks zur gleichen Zeit anfällig waren, als sich dieser Ransomware-Virus rasch weltweit verbreitete.
Die WannaCry-Malware infizierte nicht nur lokale Trust-Netzwerke, sondern konnte sich auch über das N3-Netzwerk verbreiten, das alle NHS-Standorte miteinander verbindet. Der Angriff konnte sich jedoch nicht über das NHS-E-Mail-System ausbreiten, sodass nicht noch mehr Daten für Lösegeldforderungen oder Phishing verwendet werden konnten.
Wie reagierte NHS auf den Angriff?
Hat die NHS die WannaCry-Lösegeldforderung gezahlt?
Der NHS England und die National Crime Agency berichteten, dass die NHS-Organisationen kein Lösegeld für die Krankenhäuser gezahlt haben. Das Gesundheitsministerium weiß zwar nicht, wie viel die Unterbrechung der Dienste den NHS gekostet hat, aber einige Schätzungen gehen von bis zu 92 Millionen Pfund (circa 105 Millionen Euro) aus.
Der Cyberangriff wurde von dem Computersicherheitsforscher Marcus Hutchins gestoppt, der eine nicht registrierte Domäne identifizierte, auf die die Ransomware programmiert war, um sie automatisch zu überprüfen. Durch die Registrierung der Domäne konnte er einen Kill Switch einrichten. Das Nationale Cyber-Sicherheitszentrum des Vereinigten Königreichs verbrachte die folgenden Tage damit, die Domain vor Angriffen zu schützen, bis eine Entschlüsselungsmethode gefunden war.
Was waren die Konsequenzen des NHS-Ransomware-Angriffs?
Mindestens 80 der 236 NHS-Trusts im Vereinigten Königreich waren von dem Virus betroffen, zusätzlich zu 603 Einrichtungen der medizinischen Grundversorgung und anderen NHS-Einrichtungen sowie 595 Hausarztpraxen.
Der Cyberangriff wurde von dem Computersicherheitsforscher Marcus Hutchins gestoppt, der eine nicht registrierte Domäne identifizierte, auf die die Ransomware programmiert war, um sie automatisch zu überprüfen. Durch die Registrierung der Domäne konnte er einen Kill Switch einrichten. Das Nationale Cyber-Sicherheitszentrum des Vereinigten Königreichs verbrachte die folgenden Tage damit, die Domain vor Angriffen zu schützen, bis eine Entschlüsselungsmethode gefunden war.
Andere Beispiele von Ransomware-Angriffen auf große Krankenhäuser
Die NHS-Ransomware ist nicht der einzige bekannte Vorfall, der medizinische Einrichtungen betrifft. Im Juli 2019 wurde das Springhill Medical Center in Alabama, USA, von einem Ransomware-Angriff getroffen, der zu einem Netzwerkausfall führte, der die Überwachungssysteme für die Kreißsaalabteilung lahmlegte. Eine der betroffenen Mütter, Teiranni Kidd, reichte daraufhin Klage ein, nachdem ihr Kind mit einem Hirnschaden zur Welt gekommen und später an den Folgen des Angriffs gestorben war, welcher die Qualität der Zustandsüberwachung verringert hatte. Dieser Fall wurde als erster mutmaßlicher Todesfall infolge von Ransomware bekannt.
Ein weiterer schwerwiegender Ransomware-Angriff der letzten Jahre betraf im September 2020 United Health Services. Das IT-Netzwerk des Unternehmens wurde durch die Ransomware Ryuk tagelang lahmgelegt, was zur Folge hatte, dass Termine abgesagt wurden, Patienten in andere Einrichtungen verlegt wurden und man auf Papierunterlagen angewiesen war. Es dauerte fast einen Monat, um alles wiederherzustellen, bei Kosten, die sich etwa auf 64 Millionen Euro bezifferten.
Leider werden Ransomwareangriffe auf Krankenhäuser immer häufiger. Aus einem Bericht geht hervor, dass im Jahr 2021 45 Millionen Menschen von Angriffen auf das Gesundheitswesen betroffen sein werden, ein dramatischer Anstieg gegenüber 34 Millionen im Jahr 2020. Eine andere Umfrage hat herausgefunden, dass 81 % der Gesundheitseinrichtungen im Vereinigten Königreich im Jahr 2021 Opfer von Ransomware-Angriffen waren.
Welche Lehren lassen sich daraus für Unternehmer ziehen?
Das britische Gesundheitsministerium wurde ein Jahr vor dem WannaCry-Angriff vor den Risiken von Cyberangriffen auf den NHS gewarnt, und obwohl bereits an entsprechenden Maßnahmen gearbeitet wurde, war es zu spät. Das Ministerium wurde damals auch dafür kritisiert, dass es die Verwendung von Windows-Systemen erlaubt, die teilweise so alt sind wie Windows XP, das Microsoft seit 2014 nicht mehr unterstützt.
Die wichtigste Lehre, die aus diesem vielbeachteter Angriff gezogen werden kann, besteht darin, bewährten Verfahren für die Cybersicherheit Priorität einzuräumen und ein Patch-Management zu implementieren. Dies kann in einer anspruchsvollen Umgebung schwierig sein, ist aber unerlässlich, um Schwachstellen zu vermeiden, die von Hackern ausgenutzt werden können, um Zugang zu Ihrem Unternehmensnetzwerk und Ihrem Server zu erhalten.
Neben diesen Verfahren sollten Grundregeln der Cybersicherheit befolgt werden, wie etwa:
- Erstellung eines IT-Notfallwiederherstellungsplans
- Die Implementierung von Ransomware-Schutz-Tools
- Mitarbeiterschulung zur Vermeidung von Phishing-/Social-Engineering-Angriffen
- Erstellung sicherer Backups von Daten, damit sensible Dokumente wiederhergestellt werden können
Durch die Kombination dieser Komponenten kann das Risiko eines Angriffs verringert werden, was zu einer Minimierung der Ausfallzeiten und der Wiederherstellungsdauer beiträgt. Wenn Ihr Unternehmen Opfer eines Angriffs wird, sollten Sie wissen, dass viele Sicherheits- und Regierungsbehörden Entschlüsselungstools entwickelt haben, um Daten wiederherzustellen, die durch bestimmte Arten von bekannter Ransomware gestohlen wurden.
Wenn Sie mehr über größere Ransomware-Angriffe erfahren möchten, lesen Sie unsere Fallstudien über die Angriffe auf die Städte Atlanta und Baltimore.
Lassen Sie Avast Ihr Unternehmen vor Ransomware schützen
Backups und eine effektive Sicherheitslösungen sind für den Schutz Ihres Unternehmens vor Ransomware-Angriffen unerlässlich. Mit den Cybersicherheitslösungen für kleine Unternehmen von Avast können Sie das Schutzniveau wählen, das der Größe und den Anforderungen Ihres Unternehmens am besten entspricht, und so Ihre Geräte vor Ransomware und anderen Arten von Cyberangriffen schützen.