Krankenhäuser im Visier von Cyberkriminellen

medical-563427_1920

In der Corona-Krise sind Krankenhäuser und deren IT-Systeme schwer belastet. Untersuchungen von CybelAngel zeigen nun, wie Cyberkriminelle nach Zugangsdaten und Zugriff über Drittanbieter für Betrug und Erpressung suchen und auch erhalten.

Cyberkriminelle beschaffen sich im Darknet gezielt gestohlene Anmeldeinformationen und durchgesickerte Datenbankdateien, um Betrug, Ransomware-Angriffe und andere Attacken im Gesundheitswesen durchzuführen. Dies ist das Ergebnis des neuen Reports „Gesundheitsdaten im Darkweb“ von CybelAngel. Um die Bedrohungen für Gesundheitseinrichtungen besser verstehen zu können, verfolgten die Forscher Cyberkriminelle, die es auf Krankenhäuser in Frankreich abgesehen haben, und analysierten deren Angriffsmethoden und Erpressungsgelder.

Die Ergebnisse im Überblick:

  • Offene Datenbanken begünstigen Datenverlust:

In Darkweb-Foren konnte CybelAngel beobachten, wie versierte Kriminelle exponierte Datenbanken von Gesundheitseinrichtungen gezielt sammeln und dann weiterverkaufen. Diese Datenbanken können auf lokalen Servern, dedizierten Geräten oder auch auf SaaS und anderen cloudbasierten Plattformen gespeichert sein, welche durch Fehlkonfigurationen oder schlechte Zugriffskontrollen Daten leicht sichtbar machen.

  • Angreifer kombinieren Credential-Stuffing mit Drittanbieter-Zugriff, um eine Erkennung zu umgehen:

Der SolarWinds-Angriff hat gezeigt, dass auch beliebte Software von Drittanbietern Möglichkeiten eröffnet, strenge Sicherheitsvorkehrungen zu umgehen. Dies bedroht auch den Gesundheitssektor. So zeigen die Untersuchungen von CybelAngel unter anderem Screenshots von gut vernetzten Kriminellen, die eine Datei mit Tausenden von Mitarbeiterausweisen verkaufen. Diese stammt ursprünglich von einem Unternehmen, das mit vielen verschiedenen Krankenhäusern zusammenarbeitet. Zahlreiche Verstöße und Ransomware-Angriffe gehen auf Kooperationen mit Drittanbietern zurück, da der Gesundheitssektor auf deren Software, den technischen Support, die Abrechnung und Datenberichterstattung angewiesen ist. Cyberkriminelle müssen letztlich also nur einen einzigen dieser Service Provider angreifen, um auf viele seiner nachgeschalteten Kunden und Partner zugreifen zu können.

  • Das Teilen von Krankenakten bedeutet Kontrollverlust:

Durch die starke Verbreitung von billigen Netzwerkspeichern und anderen Geräten mit hoher Kapazität können Kriminelle sowohl autorisierte als auch versteckte Schatten-IT-Systeme leicht aufspüren. Das bedeutet, dass Millionen sensibler Gesundheitsakten öffentlich zugänglich sind. So entdeckte CybelAngel im Darkweb 500.000 französische Krankenhausunterlagen, die dort zum Kauf angeboten wurden. Sie enthalten sensible personenbezogene Patientendaten und können für weiteren Betrug oder zur Verfeinerung von Phishing- und Ransomware-Angriffen genutzt werden.

Cyberangreifer, die Krankenhäuser lahmlegen und gestohlene Krankenakten als Waffen einsetzen, sind dreist und gewissenlos – vor allem in Zeiten einer Pandemie, in der die Verfügbarkeit jeder Pflegeeinrichtung und die Genauigkeit jeder Krankenakte darüber entscheiden, ob Leben gerettet werden kann.

Camille Charaudeau, Vice President of Product Strategy bei CybelAngel

Sicherheitsempfehlungen zur Abwehr und Schadensbegrenzung:

  • Schulen Sie die Mitarbeiter:

Abgesehen davon, dass personenbezogene Sicherheitslücken wie Phishing-E-Mails und das Übertragen von sensiblen Daten auf nicht genehmigte Geräte erkannt und vermieden werden sollten, ist es wichtig, dass die Belegschaft im Gesundheitswesen sich der aktuellen Bedrohungen bewusst ist. Es liegt an jedem Mitarbeiter sicherzustellen, dass sein Team im stressigen Arbeitsalltag nicht versehentlich gegen Sicherheitskontrollen oder Compliance-Richtlinien verstößt.

  • Setzen Sie auf Patchen und eine angemessene Verschlüsselung:

Jahrelang ungepatchte Software ist anfällig für Kompromittierung und vergrößert somit die Angriffsfläche. Genauso besorgniserregend ist das weit verbreitete Versäumnis, integrierte Verschlüsselungsfunktionen auf Software-, Kollaborations- und Geräteplattformen zu aktivieren. Verschlüsselte Daten sind für Angreifer nutzlos. Leider wird diese sichere Abwehr nicht genutzt, wenn Systeme falsch konfiguriert werden.

  • Überwachen Sie notwendige, aber riskanten Remote-Verbindungen:

Die Gesundheitsbranche ist auf diese Verbindungen angewiesen. Jedoch erhöhen unvollständige Asset-Erkennungen das Risiko für Privilegien-Missbrauch, auch wenn nur ein Gerät oder eine Abteilung kompromittiert wird. Wenn ein Remote-Desktop-Protokoll (RDP) oder ein VPN-Zugang erforderlich sind, muss unbedingt sichergestellt sein, dass alle erweiterten Sicherheitseinstellungen aktiviert sind und der Internetverkehr auf Anzeichen von Missbrauch, wie zum Beispiel anormale Datenexfiltration, überwacht wird.

Die vollständige Studie finden Sie hier: https://cybelangel.com/healthcare-data-targeted-landing-page/