Aktuelles, Branche - geschrieben von dp am Dienstag, Mai 18, 2021 13:54 - noch keine Kommentare
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter
Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.
[datensicherheit.de, 18.05.2021] Als neue Episode einer gegenwärtig offensichtlich „nicht abebbenden Welle an Cyber-Attacken“ wurde Ende der 19. Kalenderwoche 2021 auch die irische Gesundheitsbehörde HSE (Health Service Executive) Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe „Conti“, meldet Palo Alto Networks. Paul Donegan, „Country Manager, Ireland“ bei Palo Alto Networks kommentiert diesen Vorfall und liefert eine Analyse der Vorgänge und der Beteiligten.
Paul Donegan: Laut unserem Ransomware Threat Report 2021 hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt
Ransomware-Betreiber ständig in Bewegung – sie verbessern und automatisierten ihre Aktivitäten
„Was die HSE tut, ist absolut richtig, um das Problem einzudämmen. Die Bekämpfung eines Ransomware-Angriffs ist extrem schwierig, aber ähnlich wie der Schutz von Organisationen vor anderen Malware-Angriffen, obwohl die Risiken viel größer sind“, so Donegan. Dieser Angriff auf das irische Gesundheitssystem sei ein weiteres Indiz dafür, „dass Ransomware-Betreiber ständig in Bewegung sind“: Sie verbesserten und automatisierten ihre Aktivitäten und würden immer effektiver, „wenn es darum geht, immer größere Organisationen anzugreifen“.
Sie bekämen zudem viel mehr Geld für ihre Bemühungen. „Laut unserem ,Ransomware Threat Report 2021‘ hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt – auf 312.493 US-Dollar im Vergleich zu 2019. Im Jahr 2021 hat sich die durchschnittliche Zahlung im Vergleich zum Vorjahr fast verdreifacht – auf etwa 850.000 US-Dollar. Die höchste Forderung, die wir in den letzten vier Monaten gesehen haben, lag bei 50 Millionen Dollar – im Vergleich zu 30 Millionen Dollar im gesamten Jahr 2020.“
Zero Trust schränkt Fähigkeit des Ransomware-Angreifers ein, sich durch das Netzwerk zu bewegen
„Eine Zero-Trust-Architektur ist der effektivste Weg, die Cyber-Assets und -Infrastruktur eines Unternehmens zu schützen. Mit dem richtigen Design funktioniert sie unabhängig von der Netzwerktopologie des Unternehmens. Das treibende Prinzip von ,Zero Trust, lautet ,Niemandem vertrauen, alles überprüfen‘“, erläutert Donegan.
Es helfe den implementierenden Sicherheitsteams, ihre Umgebung gegen alle bekannten Angriffsvektoren, einschließlich böswilliger Insider- und Phishing-Angriffe, zu verteidigen. Donegan führt aus: „,Zero Trust‘ schränkt die Fähigkeit des Angreifers ein, sich durch das Netzwerk zu bewegen. Es macht Sicherheitsadministratoren auf die Aktivitäten des Angreifers aufmerksam, während er versucht, sich durch das Netzwerk vorzuarbeiten.“
Palo Alto Networks zu den Hintergründen der Ransomware-Attacke auf HSE:
Hinter dem Angriff auf die zentrale irische Gesundheitsbehörde HSE steckt laut Palo Alto Networks „aller Wahrscheinlichkeit nach die Hacker-Gruppe ,Conti‘“. Diese habe beim Angriff auf die HSE einen „Spray and Pray“-Ansatz verwendet, um Netzwerke zu infizieren. „Dies bedeutet, dass die Gruppe am Ende eine breite Palette von Zielen infiziert, um große und kleine Organisationen in Branchen wie dem Gesundheitswesen, der Energiewirtschaft und Regierungsbehörden treffen.“ Sobald ein Netzwerk kompromittiert ist, „gräbt sich ,Conti‘ tief ein“. Die Kriminellen träten in Aktion und praktizierten die sogenannte Doppelte Erpressung (Double Extortion): Sie verschlüsselten Daten und verlangten eine Zahlung für „Entschlüsselungs-Schlüssel“.
Palo Alto Networks warnt: „Sie stehlen auch Daten und drohen, sie zu veröffentlichen.“ Malware-Forscher von Palo Alto Networks haben demnach beobachtet, dass die Cyber-Kriminellen Lösegelder zwischen 500.000 und 10.000.000 US-Dollar forderten. Die Höhe des Lösegelds hänge davon ab, wie leicht das Unternehmen wieder online gehen könnte, wie viel Schaden durch die Freigabe der gestohlenen Daten entstehen würde und wie zahlungsfähig das Opfer sei.
Ransomware-Angreifer Conti verspricht Nachweis der Löschung gestohlener Daten bei Lösegeldzahlung
„Conti“ verspreche, „den Nachweis zu erbringen, dass gestohlene Daten gelöscht wurden, wenn die Opfer zahlen“. Es würden Beispiele von angeblich großen Mengen gestohlener Daten veröffentlicht, und es werde damit gedroht, diese auf einer Leak-Site namens „Conti News“ zu veröffentlichen, wenn die Opfer nicht zahlen.
Diese Gruppe Cyber-Krimineller hielten sich indes nicht immer an diese Versprechen: „Sie sagt zum Beispiel, dass sie Beweise dafür liefern wird, dass sie gestohlene Daten gelöscht hat, und tut dies dann doch nicht. Manchmal ist sie nicht in der Lage, den Beweis zu erbringen, dass sie tatsächlich so viele Daten gestohlen hat, wie behauptet.“ Dies stehe im Gegensatz zu einigen anderen Cyber-Erpresserbanden, welche sich stärker als „vertrauenswürdige“ Akteure darstellten, „die ihre Versprechen einhalten, wenn die Opfer Lösegeld zahlen“.
Ransomware-Gruppe DarkSide gibt vor, unter formalem Verhaltenskodex zu operieren
„DarkSide“, die Gruppe hinter dem jüngsten Angriff auf Colonial Pipeline, gebe vor, unter einem formalen Verhaltenskodex zu operieren und sich um die Qualität ihres „Kundendienstes“ zu kümmern: „Wenn die Opfer zahlen, wird ,DarkSide‘ seinen guten Willen zu demonstrieren, einschließlich der Bereitstellung von Entschlüsselungs-Schlüsseln und der Vorlage von Beweisen, die zeigen, dass gestohlene Daten gelöscht wurden. Die Gruppe wird den Opfern mitteilen, wie sie an die Daten gelangt ist, damit sie einen erneuten Angriff verhindern können.“
Nach dem Angriff auf Colonial Pipeline erklärte sie sich in einer offiziellen „Pressemitteilung“: Die Gruppe habe mitgeteilt, sie wolle nur Profit machen und keine weitreichende Störung der Gesellschaft verursachen. „Sie versprach zudem, die Wahl der Opfer in Zukunft sorgfältiger zu überprüfen, so dass ihre Aktivitäten weniger störend sein würden.“
Weitere Informationen zum Thema:
paloalto NETWORKS, UNIT42, 17.03.2021
Highlights from the 2021 Unit 42 Ransomware Threat Report
datensicherheit.de, 14.05.2021
Signifikanter Ransomware-Angriff auf IT-Systeme der Health Service Executive / Staatliches Gesundheitssystems Irlands meldet Abschaltung der eigenen IT-Systeme als Reaktion auf Ransomware-Attacke
datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren