Planned Parenthood Opfer eines Cyberangriffs
Planned Parenthood ist Ziel eines Cyberangriffs geworden. Die US-Behörde CISA warnt vor den Cyberkriminellen, die hinter dem und weiteren Vorfällen stecken.
Die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet, ist am 28. August Ziel eines Cyberangriffs geworden. Das berichten verschiedene US-Medien. Gegenüber The Register hat Planned Parenthood of Montana den Vorfall bestätigt, nannte allerdings keine Details – etwa, welche Daten betroffen sind. Die Untersuchungen laufen derzeit noch.
Die Ransomware-Gruppe RansomHub behauptet, in die IT-Systeme der Organisation eingedrungen zu sein und gedroht, bei Nichtzahlung die 93 Gigabyte gestohlene Daten zu veröffentlichen.
Einen Tag nach dem Vorfall, am 29. August, warnte die Cybersecurity and Infrastructure Security Agency (CISA) vor Ransomhub – zusammen mit dem Federal Bureau of Investigation (FBI), dem Multi-State Information Sharing and Analysis Center (MS-ISAC), und dem Department of Health and Human Services (HHS).
"Stop Ransomware"
Zusammen veröffentlichten die Behörden ein Advisory, das Informationen zu zahlreichen kritischen, teils auch älteren und bereits ausgenutzten, Sicherheitslücken enthält und Teil der "#StopRansomware"-Kampagne ist: CVE-2023-3519, CVE-2023-27997, CVE-2023-46604, CVE-2023-22515, CVE-2023-46747, CVE-2023-48788, CVE-2017-0144, CVE-2020-1472, CVE-2020-0787.
Ransomhub-Partnern gelinge der Zugang zu Systemen laut Advisory in der Regel unter anderem durch Phishing, unsichere Passwörter und durch Ausnutzung bekannter Schwachstellen. Laut CISA nutzen die Angreifer zur Verschlüsselung Curve 25519, eine als sehr sicher geltende Verschlüsselung auf Basis elliptischer Kurven (ECC). Die Cyberkriminellen hinterlassen eine Ransomware-Notiz, die in der Regel eine Client-ID enthält und Anweisungen, wie die Gruppe über einen Onion-Link im Darknet zu kontaktieren ist. Dann haben die Opfer in der Regel bis zu 90 Tage Zeit für eine Lösegeldzahlung.
Als Vorsichtsmaßnahmen empfiehlt die CISA, regelmäßig Updates für Betriebssysteme, Software und Firmware zu installieren. Neben einer Sensibilisierung der Mitarbeiter für Phishing-Versuche weist die US-Cybersicherheitsagentur auf die Relevanz der Multi-Faktor-Authentifizierung hin. Ausdrücklich nicht gemeint ist dabei die SMS als weiterer Faktor.
Ransomhub veröffentlicht regelmäßig neue Opfer auf seiner Leaksite und steckt beispielsweise auch hinter dem Angriff auf Christie's. Zudem steht die Gruppe unter anderem in Verbindung mit der inzwischen nicht mehr aktiven ALPHV/Blackcat.
(mack)