Als neue Episode eine aktuell nicht abebbenden Welle an Cyberattacken wurde Ende der vergangenen Woche die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware durch die Hackergruppe Conti. Palo Alto Networks kommentiert mit einem lokalen Experten den jüngsten Vorfall und liefert eine Analyse der Vorgänge und der Beteiligten.
„Was die HSE tut, ist absolut richtig, um das Problem einzudämmen. Die Bekämpfung eines Ransomware-Angriffs ist extrem schwierig, aber ähnlich wie der Schutz von Organisationen vor anderen Malware-Angriffen, obwohl die Risiken viel grösser sind. Der Angriff auf das irische Gesundheitssystem ist ein weiteres Indiz dafür, dass Ransomware-Betreiber ständig in Bewegung sind. Sie verbessern und automatisieren ihre Aktivitäten und werden immer effektiver, wenn es darum geht, immer grössere Organisationen anzugreifen. Sie bekommen zudem viel mehr Geld für ihre Bemühungen. Laut unserem Ransomware Threat Report 2021 hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt – auf 312.493 US-Dollar im Vergleich zu 2019. Im Jahr 2021 hat sich die durchschnittliche Zahlung im Vergleich zum Vorjahr fast verdreifacht – auf etwa 850.000 US-Dollar. Die höchste Forderung, die wir in den letzten vier Monaten gesehen haben, lag bei 50 Millionen Dollar – im Vergleich zu 30 Millionen Dollar im gesamten Jahr 2020.“ Paul Donegan rät zudem: „Eine Zero-Trust-Architektur ist der effektivste Weg, die Cyber-Assets und -Infrastruktur eines Unternehmens zu schützen. Mit dem richtigen Design funktioniert sie unabhängig von der Netzwerktopologie des Unternehmens. Das treibende Prinzip von Zero Trust lautet „Niemandem vertrauen, alles überprüfen.“. Es hilft Sicherheitsteams, die es implementieren, ihre Umgebung gegen alle bekannten Angriffsvektoren, einschliesslich böswilliger Insider- und Phishing-Angriffe, zu verteidigen. Zero Trust schränkt die Fähigkeit des Angreifers ein, sich durch das Netzwerk zu bewegen. Es macht Sicherheitsadministratoren auf die Aktivitäten des Angreifers aufmerksam, während er versucht, sich durch das Netzwerk vorzuarbeiten.“
Hintergründe der Ransomware-Attacke auf HSE:
Hinter dem Angriff auf die zentrale irische Gesundheitsbehörde HSE steckt aller Wahrscheinlichkeit nach die Hacker-Gruppe Conti. Sie verwendet beim Angriff auf die HSE einen „Spray and Pray“-Ansatz, um Netzwerke zu infizieren. Dies bedeutet, dass die Gruppe am Ende eine breite Palette von Zielen infiziert, um große und kleine Organisationen in Branchen wie dem Gesundheitswesen, der Energiewirtschaft und Regierungsbehörden treffen. Sobald ein Netzwerk kompromittiert ist, gräbt sich Conti tief ein. Die Kriminellen treten in Aktion und praktizieren die sogenannte „doppelte Erpressung“ (Double Extortion). Sie verschlüsseln Daten und verlangen eine Zahlung für Entschlüsselungsschlüssel. Sie stehlen auch Daten und drohen, sie zu veröffentlichen. Malware-Forscher von Palo Alto Networks haben beobachtet, dass die Cyberkriminellen Lösegelder zwischen 500.000 und 10.000.000 US-Dollar fordern. Die Höhe des Lösegelds hängt davon ab, wie leicht das Unternehmen wieder online gehen kann, wie viel Schaden durch die Freigabe der gestohlenen Daten entstehen würde und wie zahlungsfähig das Opfer ist. Conti verspricht, den Nachweis zu erbringen, dass gestohlene Daten gelöscht wurden, wenn die Opfer zahlen. Es werden Beispiele von angeblich grossen Mengen gestohlener Daten veröffentlicht, und es wird damit gedroht, diese auf einer Leak-Site namens „Conti News“ zu veröffentlichen, wenn die Opfer nicht zahlen. Die Kriminellen halten sich nicht immer an diese Versprechen. Sie sagt zum Beispiel, dass sie Beweise dafür liefern wird, dass sie gestohlene Daten gelöscht hat, und tut dies dann doch nicht. Manchmal ist sie nicht in der Lage, den Beweis zu erbringen, dass sie tatsächlich so viele Daten gestohlen hat, wie behauptet. Dies steht im Gegensatz zu einigen anderen Cybererpresserbanden, die sich stärker als „vertrauenswürdige“ Akteure darstellen, die ihre Versprechen einhalten, wenn die Opfer Lösegeld zahlen.
DarkSide kassierte fünf Millionen Dollar Erpressungsgelder
DarkSide, die Gruppe hinter dem Angriff auf Colonial Pipeline, gibt vor, unter einem formalen Verhaltenskodex zu operieren und sich um die Qualität ihres „Kundendienstes“ zu kümmern. Wenn die Opfer zahlen, wird DarkSide seinen guten Willen zu demonstrieren, einschliesslich der Bereitstellung von Entschlüsselungsschlüsseln und der Vorlage von Beweisen, die zeigen, dass gestohlene Daten gelöscht wurden. Die Gruppe wird den Opfern mitteilen, wie sie an die Daten gelangt ist, damit sie einen erneuten Angriff verhindern können. Nach dem Angriff auf Colonial Pipeline erklärte sie sich in einer offiziellen „Pressemitteilung“. Die Gruppe teilte mit, sie wolle nur Profit machen und keine weitreichende Störung der Gesellschaft verursachen. Sie versprach zudem, die Wahl der Opfer in Zukunft sorgfältiger zu überprüfen, so dass ihre Aktivitäten weniger störend sein würden.