Angriffswelle auf Krankenhäuser – Ist Grund zur Panik angesagt??

von Trend Micro

Wie auch aus aktuellen Medienberichten zu entnehmen ist, häufen sich derzeit Meldungen von Krankhäusern, vor allem im Raum NRW aber auch in den USA, welche Opfer von Verschlüsselungsangriffen geworden sind. Auch wenn die Angriffe in NRW und den USA nichts direkt miteinander zu tun haben, haben sie doch eines gemeinsam: es handelt sich um klassische Ransomware-Angriffe. Weiterführende Informationen zu Ransomware gibt es hier.

Laut derzeitigem Kenntnisstand von Trend Micro waren die Angriffe in NRW ursprünglich breit gestreut angelegt und nicht dediziert auf Krankenhäuser abgezielt. Der Angriff selbst erfolgte in Einzelfällen über eine initiale Mail mit einem Word-Dokument als Anhang, welches nach dem Öffnen weiteren Schadcode nachlädt. Zum Teil kam der Schadcode auch auf direktem Wege, zum Beispiel über mitgebrachte Geräte von Externen Mitarbeitern in das Netzwerk. Von weiteren Angriffsvektoren ist auszugehen.

Ein zur Zeit sehr weit verbreiteter Schadcode, welcher bei einer erfolgreichen Infektion die entsprechenden Systeme ebenfalls verschlüsselt hat, kursiert unter dem Namen „LOCKY“. Dieser ist jedoch nicht zwangsläufig mit den Angriffen auf die Krankenhäuser in Verbindung zu bringen.

LOCKY war mit einem „Zeitzünder“ versehen, welcher offensichtlich auf den infizierten Systemen letzten Montag zur „Detonation“ und somit zu vermehrten Angriffsmeldungen führte. Der Schadcode zerstörte sich in der Regel nach der Infektion eines Systems sofort von selbst.

Der Schädling wird zur Zeit auch gern mit dem artverwandten Schadcode DRIDEX in einen Topf geworfen. Sicherlich gibt es Ähnlichkeiten bei den jeweils verwendeten Technologien, jedoch ist auch hier Vorsicht geboten. Weitere Einzelheiten zu Locky gibt es hier, und mehr zu DRIDEX finden Interessierte hier.

Kurzfristige Lösungsansätze gegen die aktuellen Ransomware-Angriffe, wie Word-Dokumente als Email-Anhänge grundsätzlich zu blocken oder nur noch in Passwort-verschlüsselter Form zuzulassen, können zwar den Angriff über den Vektor „Mail“ vor dieser Art Ransomware blockieren, jedoch sind weitere Schutzmechanismen notwendig um das Netzwerk vor weiteren, evtl leicht veränderten Angriffen dieser Art zu verhindern sowie andere Eintrittstore wie Web, USB, Netzwerk-Shares, etc zu schließen.

Wichtig ist vor allem die „Awareness“ für solche Angriffe unter den Mitarbeitern zu schaffen, damit diese entsprechend kritisch mit Emails von unbekannten Absendern sowie mit suspekten Anhängen und deren Verteilung im Firmennetzwerk umgehen.

Trend Micro gibt allgemeine Empfehlungen für Kunden von OfficeScan und Worry Free Business und anderen Trend Micro-Produkten zum Schutz gegen Ransomware.

Um konkrete Aussagen darüber treffen zu können, ob ein Angriff bereits erfolgt ist und woher dieser ursprünglich kam, sind zusätzliche Analyse-Tools (Data Breach Detection Systeme) notwendig.

Für weiterführende Informationen sprechen Sie uns bitte an: sales_info@trendmicro.de oder 01805 / 01 08 73

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*