Ransomware Royal: Gesundheitseinrichtungen im Fokus

Eine neue Ransomware bedroht die Gesundheitsbranche. Die virtuelle Seuche heißt Royal und wurde im September 2022 erstmals beobachtet. Laut einer Warnung des US-Gesundheitsministeriums (HHS) wurden bereits Lösegelder in Millionenhöhe gefordert. Dabei konzentrierten sich die Angriffe bislang auf US-amerikanische Gesundheitseinrichtungen.

Die Royal-Ransomware-Operation scheint erfahrene Akteure zu vereinen. Denn obwohl die meisten bekannten Ransomware-Betreiber das Ransomware-as-a-Service-Schema verwenden, weist Royal die Merkmale einer selbstständigen geheimen Gruppe mit finanzieller Motivation auf. Die Gruppierung behauptet, Daten für doppelte Erpressungsangriffe zu stehlen. Das Bündnis fordert also nicht nur Lösegeld, sondern droht auch damit, vertrauliche Daten preiszugeben.

Nachdem Royal in die Netzwerke der Opfer eingedrungen ist, werden ähnliche Aktivitäten wie bei anderer Ransomware ausgeführt. Dazu gehören zum Beispiel die Bereitstellung von Tools für den Fernzugriff, die Verwaltung infizierter Systeme, das Sammeln von Anmeldeinformationen und laterale Bewegungen sowie die Verschlüsselung von Dateien.

Die Lösegeldforderungen erscheinen in einer README.TXT-Datei, die auch einen Link zur Trading Page enthält.

Mehrere Akteure haben die Ransomware Royal verbreitet – allerdings hebt ein Microsoft-Bericht die jüngsten Aktivitäten einer bestimmten Gruppe hervor, die das Unternehmen als DEV-0569 bezeichnet. Die Angriffe von DEV-0569 zeigen ein Muster kontinuierlicher Innovation, wobei regelmäßig neue Enthüllungstechniken, Verteidigungsmechanismen und verschiedene Arbeitsschritte nach dem Eindringen integriert werden. Außerdem nutzt DEV-0569 in erster Linie „Malvertising“ und Phishing-Links, die in Spam-E-Mails, gefälschten Forenseiten und Blog-Kommentaren auf einen Malware-Downloader verweisen, der sich als legitimes Software-Installationsprogramm oder als Update ausgibt. In den letzten Monaten wurden darüber hinaus auch Verbesserungen dieser Methoden beobachtet, zum Beispiel durch die Verwendung von Kontaktformularen, das Hosten von Dateien auf gefälschten Download-Seiten und die Ausweitung von Malvertising über Google Ads.

Andere aktuelle Angriffe, die Unternehmen des Gesundheitswesens bedrohen, stammen von Venus, Maui und Daixi Team.

Die Ransomware-Angriffe auf Gesundheitseinrichtungen haben, von den finanziellen Aspekten abgesehen, auch Prozesse und Behandlungen gefährdet. Ein aktuelles Beispiel hierfür ist Frankreich: Dort musste ein Krankenhaus seine Patienten nach einem Hack durch Cyberkriminelle verlegen.

Das Lehrkrankenhaus André-Mignot in einem Vorort von Paris war aufgrund eines Ransomware-Angriffs gezwungen, Telefone und Computer auszuschalten. Darüber hinaus musste es zum Teil Operationen absagen und sechs Patienten aus der Neugeborenen- und Intensivstation in andere Gesundheitseinrichtungen verlegen. Nach Angaben der Einrichtung forderten die Angreifer auch ein Lösegeld.

Das HHS und andere Einrichtungen wie das FBI und die CISA (United States Cybersecurity and Infrastructure Agency) empfehlen, den Lösegeldforderungen nicht nachzugeben. Der Grund: Eine solche Zahlung garantiert weder die Wiederbeschaffung der gestohlenen Dateien die spätere Weitergabe solcher Informationen. Außerdem kann die Begleichung von Lösegeld Cyberkriminelle zu ähnlichen Handlungen ermuntern und weitere illegale Aktivitäten finanzieren. Für Organisationen und Einzelpersonen, die Opfer von Ransomware geworden sind, unterhält das FBI deshalb eine Seite, über die Samples der Ransomware-Aktivitäten mitgeteilt werden können.

Der Gesundheitszustand der Cybersicherheit

Wenn wir über den Gesundheitszustand der globalen Cybersicherheit nachdenken, stellen wir fest: Sie befindet sich in einem kritischen Zustand – und bedarf deshalb besonderer Pflege. Grenzt man diese Überlegung auf medizinische Unternehmen ein, scheint das Bild noch schlimmer zu sein.

Eine aktuelle Studie von Sophos, die Anfang 2022 durchgeführt wurde, zeigt: Die Zahl der Ransomware-Angriffe auf die Gesundheitsbranche nimmt zu und stellt eine immer komplexere Bedrohungslage dar. Denn die Attacken haben sich fast verdoppelt – 66 % der befragten Organisationen im Gesundheitswesen waren 2021 von Ransomware betroffen, im Jahr 2020 waren es noch 34 %. Zudem scheint das gesamte Szenario auch immer schwieriger zu bewältigen zu sein – sowohl das wahrgenommene Volumen (69 %) als auch die Komplexität (67 %) stiegen an, sodass insgesamt das zweithöchste Anstieg von Cyberangriffen (59 %) zu verzeichnen war.

Das Gesundheitswesen scheint außerdem eher dazu zu neigen, Lösegeld zu zahlen, um verschlüsselte Daten wiederherzustellen – denn mit 61 % der Befragten steht die Branche in die Sophos-Studie an erster Stelle. Im weltweiten Durchschnitt wären dagegen nur 46 % zu einer solchen Handlung bereit. Dieser Anteil im Gesundheitswesen hast sich dazu im Vergleich zu 2020 den 34 %, die 202 Lösegelder gezahlt hätten, fast verdoppelt.

Doch auch Gesundheitsunternehmen, die Lösegeld für Ransomware gezahlt haben, konnten 2021 nur 65 % ihrer Daten wiederherstellen. Im Vergleich zum Jahr 2020 (69 %) bedeutet das einen Rückgang um 4 %. Darüber hinaus wurden die gestohlenen Daten 2021 nur bei 2 % der zahlenden Unternehmen vollständig wiederhergestellt – 2020 waren es immerhin noch 8 %.

Hinzu kommt, dass 44 % der Unternehmen, die 2021 Opfer eines Ransomware-Angriffs wurden, bis zu einer Woche für die Wiederherstellung brauchten – 25 % sogar einen Monat.