Ransomware-Attacke auch auf das irische Gesundheitsministerium​

Bei der Cyberattacke auf das irische Gesundheitssystem hatten die Angreifer auch das Gesundheitsministerium im Visier. Zwar wurden auch die IT-Systeme des Ministeriums vorsorglich heruntergefahren, doch konnte der Angriff rechtzeitig entdeckt werden. Unterdessen drohen die Täter mit der Veröffentlichung der beim Angriff auf die Gesundheitsverwaltung HSE erbeuteten Patientendaten, sollte sich die irische Regierung weiter weigern, ein Lösegeld zu zahlen.

In den frühen Morgenstunden des vergangenen Freitags war der Angriff auf die Gesundheitsverwaltung HSE entdeckt worden. Bisherigen Erkenntnissen zufolge haben die Täter die Ransomware Conti auf Computern in verschiedenen Systemen der HSE installieren können. Nachdem der Angriff auf zahlreichen Computern entdeckt worden war, hat die HSE sofort sämtliche Systeme heruntergefahren. Es ist bisher nicht bekannt, wie viele Systeme Conti tatsächlich verschlüsselt hat.

Cobalt Strike Beacons

Bereits am Tag zuvor hatten IT-Experten verdächtige Aktivitäten im Netz des Gesundheitsministeriums entdeckt. Am Donnerstagnachmittag seien in Systemen des Ministeriums Spuren von Cobalt Strike Beacons entdeckt worden, teilte das irische National Cyber Security Centre (NCSC) mit. Zusammen mit externen Experten sei sofort eine Untersuchung eingeleitet und weitere Sicherheitsmaßnahmen getroffen worden.

Cobalt Strike ist eine Software-Suite, die zur Simulation von Angriffen und für Penetrationstests vermarktet wird. Sie wird allerdings auch von echten Angreifern eingesetzt, die sich damit Zugang zu Systemen verschaffen können. Das speicherresidente Beacon dient dabei als umfassendes Remote-Access-Tool, mit dem sich Angreifer in einem System bewegen und weitere Malware nachladen.

Lesen Sie auch

Cybercrime: Erpressung auf neuem Niveau

Als am frühen Freitagmorgen die Ransomware bei der HSE ausgelöst wurde, sollte das offenbar auch im Netz des Gesundheitsministeriums passieren. Bereits installierter Virenschutz und die vom Expertenteam im Rahmen ihrer Untersuchung ergriffenen Maßnahmen haben laut NCSC verhindert, dass die Angreifer ihre Ransomware auslösen konnten. Als Vorsichtsmaßnahme sei die IT des Ministeriums dennoch heruntergefahren worden, bestätigte das Ministerium. Derzeit werden Backups zurückgespielt.

Nach bisherigen Erkenntnissen der Behörden tragen beide Angriffe, die mit der Ransomware "Conti" ausgeführt wurden, die Handschrift der russischen Gruppe "Wizard Spider". Laut im Internet kursierenden, bisher unbestätigten Chatprotokollen fordern die Erpresser 20 Millionen US-Dollar Lösegeld. Außerdem sollen die Täter einige der Dateien, die sie erbeutet haben, als Beweis präsentiert haben.

Welche Zero Day?

Offen ist weiterhin, welche Schwachstelle die Angreifer ausgenutzt haben. Die Attacke sei über eine "Zero-Day-Lücke mit einer brandneuen Variante der Ramsomware Conti" geführt worden, hatte HSE-Operativchefin Anne O'Connor bestätigt, aber keine weiteren Details genannt.

Unter Berufung auf einen Chat berichtet die Wirtschaftsnachrichtenagentur Bloomberg, dass die Angreifer damit gedroht haben, am kommenden Montag erbeutete Patientendaten zu veröffentlichen, sollte HSE nicht zahlen. Doch die irische Regierung weigert sich bisher offiziell, ein Lösegeld zu zahlen oder mit den Tätern zu verhandeln. Inzwischen sprechen sich aber einige irische Parlamentarier dafür aus, das Lösegeld zu zahlen, um weiteren Schaden von der Bevölkerung abzuwenden.

Von den Angriffen sind zahlreiche Krankenhäuser und diagnostische Systeme betroffen. Die HSE musste rund 85.000 Computer und 2000 verschiedene Systeme herunterfahren. Insbesondere in der Radiologie und bei der Versorgung von Kindern und Schwangeren sind Termine ausgefallen. Krankenhäuser, die nicht direkt an die Systeme der HSE angeschlossen sind, sind weniger stark betroffen. Die irische Covid-19-Impfkampagne ist offiziellen Angaben zufolge nicht eingeschränkt.

(vbr)