US-Krankenhaus zahlt Hackern nach Ransomware-Angriff 55.000 US-Dollar

Hancock Health zahlte, obwohl Backups verfügbar waren.

Video: Warum steigende Bitcoin-Preise für Ransomware-Autoren nicht nur eine gute Nachricht sind

Hancock Health hat Hackern 55.000 US-Dollar gezahlt, um Systeme nach einer Ransomware-Infektion freizuschalten.

Sicherheit

8 Gewohnheiten hochsicherer Remote-Mitarbeiter
So finden und entfernen Sie Spyware von Ihrem Telefon
Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist

Das Krankenhaus mit Sitz in Greenfield, Indiana, gab bekannt, dass am Donnerstag ein erfolgreicher Ransomware-Angriff stattgefunden hat Die IT-Systeme des Krankenhauses wurden als Geisel genommen und als Gegenleistung für eine Entschlüsselung wurde eine Lösegeldzahlung in Bitcoin (BTC) gefordert Schlüssel.

Die Cyberangreifer forderten die Zahlung von vier Bitcoins im damaligen Wert von rund 55.000 US-Dollar.

Rob Matt, Chief Strategy Officer von Hancock Health

sagte in einer Erklärung dass der Angriff gegen 21:30 Uhr stattfand und die Mitarbeiter das Vorhandensein von Malware zwar sofort bemerkten, dies aber auch der Fall war zu spät, um zu verhindern, dass sich die Infektion auf das E-Mail-System, die elektronischen Patientenakten und den internen Betrieb des Krankenhauses ausbreitet Systeme.

Laut lokalen Medienhaben die Bedrohungsakteure hinter dem Angriff über 1.400 Dateien ins Visier genommen und sie im Rahmen des Angriffs in „Es tut mir leid“ umbenannt.

Die Hacker, von denen Steve Long, CEO von Hancock Health, glaubt, dass sie in Osteuropa ansässig sind, haben sich Zugang verschafft Krankenhaussysteme, indem Sie sich mit den Anmeldeinformationen eines Drittanbieters beim Fernzugriff des Hancock Hospital anmelden Portal.

Systeme wurden dann mit infiziert SamSam-Ransomware. Diese besondere Art von Malware zielt auf anfällige Server ab und breitet sich nach der Installation auf einem Computer auf anderen Computern im selben Netzwerk aus.

SamSam ist für den Einsatz bei gezielten und nicht bei opportunistischen Angriffen bekannt und kann für die Web-Shell-Bereitstellung, die Verwendung von Batch-Skripten zum Ausführen der Malware auf mehreren Computern, den Fernzugriff und Tunneling verwendet werden. Das Ausmaß der Infektion entscheidet über die Höhe des geforderten Lösegelds.

Dem Krankenhaus wurde sieben Tage Zeit gegeben, um die Entschädigung zu zahlen, weil die Dateien dauerhaft verschlüsselt und unzugänglich geworden wären.

Das Krankenhaus konnte an diesem Tag und am Freitag weiterhin operieren, indem es auf Stift- und Papiermethoden umstieg, entschied sich jedoch später dafür, das Lösegeld zu zahlen – obwohl Ersatzkräfte verfügbar waren.

Long sagte, dass die Backups zwar hätten verwendet werden können, um infizierte Systeme und die von der Ransomware verschlüsselten Dateien wiederherzustellen, es aber möglicherweise „Tage, vielleicht sogar Wochen“ gedauert habe, bis die Ordnung wiederhergestellt sei.

Ein solches Unterfangen wäre auch teuer gewesen, so der Geschäftsführer Der Reporter dass „aus geschäftlicher Sicht die Zahlung eines kleinen Lösegelds sinnvoller sei.“

Wenn ein Unternehmen solche Forderungen bezahlt, finanziert es nicht nur weitere Ransomware-Operationen, sondern geht auch ein Risiko ein. Die versprochenen Entschlüsselungsschlüssel kommen möglicherweise nicht zustande oder funktionieren nicht, so dass die Opfer entweder aus eigener Tasche zahlen müssen und keinen Zugriff auf ihre Dateien haben.

In diesem Fall übergaben die Hacker jedoch funktionierende Entschlüsselungsschlüssel, sobald sie ihre Erpressungszahlung erhalten hatten. Am Montag war das Leben wieder normal.

„Diese Leute haben ein interessantes Geschäftsmodell. Sie machen es einfach genug“, sagte Long. „Sie haben den richtigen Preis.“

Lesen Sie auch: Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet

„Durch die effektive Teamarbeit des Hancock-Technologieteams, einer Expertengruppe für Technologieberatung und unseres klinischen Teams war Hancock in der Lage die Nutzung seiner Computer wiederherzustellen, und zum jetzigen Zeitpunkt gibt es keine Hinweise darauf, dass Patientendaten beeinträchtigt wurden“, sagte Hancock Krankenhaus sagte in einer Erklärung.

Patientendaten scheinen nicht kompromittiert worden zu sein und sowohl das FBI als auch ein ungenanntes externes Cybersicherheitsunternehmen untersuchen den Vorfall.