Ein Ransomware-Angriff auf einen Softwareanbieter hat den NHS in ganz Großbritannien getroffen, und es gibt Befürchtungen, dass Patientendaten das Ziel gewesen sein könnten.
Advanced, das britische Unternehmen, das letzte Woche von dem Angriff betroffen war, sagte, es arbeite nach dem Vorfall mit Regierungsbehörden zusammen, darunter dem National Cyber Security Centre und dem Information Commissioner’s Office.
Details wie die Identität des/der Angreifer und das Ausmaß des Schadens müssen noch bekannt werden, aber hier ist ein Leitfaden zu dem, was wir bisher wissen und wie Ransomware-Banden vorgehen.
Was ist ein Ransomware-Angriff?
Dies ist der Fall, wenn eine Gruppe Zugriff auf das Computersystem eines Unternehmens erhält, manchmal über einen „Phishing“-Angriff per E-Mail. Sie haben auch den Zugriff auf ein virtuelles privates Netzwerk (VPN) involviert, das von Mitarbeitern verwendet wird, um auf die internen Computersysteme ihres Arbeitgebers zuzugreifen, wenn sie beispielsweise von zu Hause aus arbeiten.
Sobald sie drinnen sind, setzen Schurken eine Malware – bösartige Software – ein, die Computer verschlüsselt und den Zugriff auf ihre Inhalte unmöglich macht. Der schlechte Schauspieler verlangt dann Geld im Austausch für die Entschlüsselung oder Entsperrung der Computer.
Während bei Angriffen nicht immer Daten genommen werden, können sie im Rahmen der Verhandlungen verwendet werden. Ransomware-Banden haben Websites erstellt, auf denen gestohlene Daten angezeigt werden.
Wie schwer war der Angriff?
Der Angriff am Morgen des 4. August verursachte weit verbreitete Ausfälle im gesamten NHS. Das Ziel war Advanced, ein Unternehmen, das Software für verschiedene Bereiche des Gesundheitswesens anbietet. Es betraf Dienstleistungen wie Patientenüberweisungen, Krankentransporte, Terminbuchungen außerhalb der Geschäftszeiten, psychiatrische Dienste und Notfallrezepte.
Die Auswirkungen können ausgearbeitet werden, indem man sich anschaut, welche fortschrittlichen Systeme direkt oder indirekt betroffen waren. Dazu gehörte Adastra, das 111-Notrufmitarbeitern hilft, Krankenwagen zu schicken, und Ärzten den Zugriff auf die Arztunterlagen eines Patienten ermöglicht; Carenotes, das von Trusts für psychische Gesundheit für Patientenakten verwendet wird; Caresys, das in Pflegeheimen verwendet wird; Crosscare, das beim Betrieb von Hospizen hilft; und Staffplan, die von Pflegeorganisationen verwendet werden.
Das Health Service Journal hat berichtet, dass mindestens neun NHS-Trusts für psychische Gesundheit von dem Ausfall betroffen waren, wodurch ihr Zugang zu Patientenakten eingeschränkt wurde. Fortschrittliche Software wird laut Digital Health Intelligence in 36 Akut-Trusts oder Trusts für psychische Gesundheit in England verwendet.
Ein durchgesickertes internes Dokument von NHS England, das der Guardian eingesehen hat, hat offenbart, dass „eine Reihe von NHS-Diensten, darunter NHS 111, einige Notfallbehandlungszentren und einige Anbieter von psychischen Erkrankungen, Software verwenden, die offline geschaltet wurde“.
In einer E-Mail an die Mitarbeiter, über die der Independent berichtete, sagte Dr. Nick Broughton, Chief Executive des Oxford Health NHS Foundation Trust: „Die Cyberangriffe zielten auf Systeme ab, die verwendet wurden, um Patienten zur Behandlung zu überweisen, einschließlich der Entsendung von Krankenwagen und Terminen außerhalb der Geschäftszeiten Buchungen, Triage, Betreuung außerhalb der Geschäftszeiten, Notfallrezepte und Sicherheitswarnungen. Es zielte auch auf das vom Trust verwendete Finanzsystem ab.
„Uns wurde jetzt mitgeteilt, dass wir uns auf einen Systemausfall vorbereiten sollten, der zwei Wochen für Adastra und möglicherweise länger als drei Wochen für Carenotes andauern könnte.“
Advanced deutete am späten Mittwoch in einer Erklärung an, dass eine vollständige Wiederherstellung einiger Dienste Wochen dauern könnte. Abgesehen von den Arbeiten, um die 111 wieder in Gang zu bringen, müssten Notfallpläne „für mindestens drei bis vier weitere Wochen“ in Kraft sein, hieß es. NHS England sagte, dass einige 111-Anrufer möglicherweise länger als gewöhnlich warten müssen.
Wer könnte hinter dem Angriff stecken?
Es wurde keine Gruppe als Angreifer genannt, aber es wurde berichtet, dass es sich eher um eine kriminelle Bande als um eine staatliche Organisation handelt.
Die berüchtigtste Ransomware-Gruppe der letzten Zeit ist diejenige, die hinter Angriffen mit der Conti-Malware steht, die letztes Jahr das irische Gesundheitssystem und Anfang dieses Jahres die Regierung von Costa Rica lahmlegte.
Diese mit Russland verbundene kriminelle Gruppe scheint ihre Conti-Malware-Angriffe beendet zu haben. Es gab jedoch weit verbreitete Spekulationen dass dieselbe Gruppe hinter einer neuen Malware namens Black Basta steckt. Es gibt keine Beweise dafür, dass die Conti/Black Basta-Gruppe hinter dem NHS-Angriff steckt, und es gibt viele andere potenzielle Kandidaten.
Es gibt eine Vielzahl von Ransomware-Gruppen mit unterschiedlicher Malware (die Namen der Malware und der Gruppen dahinter werden oft als austauschbar angesehen). Zu den Namen von Malware-Operationen, die im vergangenen Jahr mit Angriffen im Gesundheitswesen in Verbindung gebracht wurden, gehören BlackCat, Quantum, Hive und AvosLocker.
Sind Gesundheitsorganisationen ein beliebtes Ziel?
Während der Pandemie gab es Anzeichen für eine Unterbrechung der Angriffe auf Gesundheitsorganisationen, wobei die Ransomware-Gruppe Maze sagte, dass sie keine medizinischen Ziele treffen würde. Aber schon vor dem Angriff der Fortgeschrittenen schien sich die Situation zu ändern. Der Angriff auf das irische Gesundheitssystem fand beispielsweise im Mai 2021 statt.
Laut der Risikoberatung Kroll stieg die Zahl der Gesundheitsorganisationen weltweit, die Ziel von Cyberangriffen wurden, in den drei Monaten bis zum 30. Juni im Vergleich zu den ersten drei Monaten des Jahres 2022 um 90 %. Diese Studie basiert auf den 3.200 Vorfällen aus allen Sektoren, die dem Beratungsunternehmen in den letzten 12 Monaten gemeldet wurden.
Ioan Peters, Managing Director of Cyber Risk bei Kroll, sagte: „Dieser jüngste Cyberangriff und die mögliche Datenextraktion mit Auswirkungen auf den NHS kommen, da Gesundheitsorganisationen auf der ganzen Welt einem zunehmenden Druck von Cyberkriminellen ausgesetzt sind.“
Er sagte, die Studie zeige, dass das Gesundheitswesen der am stärksten betroffene Sektor sei und dass „wir definitiv das Ende des Waffenstillstands erreicht haben, den einige kriminelle Gruppen zu Beginn der Covid-Pandemie eingerichtet haben“.
In den Ransomware-Fällen im Gesundheitswesen, die Kroll gesehen hatte, gab es eine Taktik der „doppelten Erpressung“, bei der Daten gestohlen wurden, bevor das Netzwerk des Opfers verschlüsselt wurde, und die Hacker dann damit drohten, die Daten durchsickern zu lassen, um während der Verhandlungen Einfluss zu nehmen.