Ein Cyberangriff auf das irische Gesundheitssystem hat das Gesundheitswesen des Landes eine Woche lang gelähmt, den Zugang zu Patientenakten gesperrt, die Covid-19-Tests verzögert und die Absage von medizinischen Terminen erzwungen.
Mithilfe von Ransomware, einer Malware, die die Daten eines Opfers verschlüsselt, bis sie ein Lösegeld zahlen, haben die Personen, die hinter dem Angriff stehen, die Daten im öffentlich finanzierten irischen Gesundheitssystem, dem Health Service Executive, als Geiseln gehalten. Der Angriff zwang die HSE, ihr gesamtes Informationstechnologiesystem abzuschalten.
In einer Pressekonferenz am Donnerstag sagte Paul Reid, Geschäftsführer der HSE, der Angriff sei “Magenverstimmung”.
Caroline Kohn, eine Sprecherin einer Gruppe von Krankenhäusern im Osten des Landes, sagte, die Krankenhäuser seien gezwungen, alle ihre Unterlagen auf Papier zu halten. “Wir sind zurück in die 1970er Jahre”, sagte sie.
Sicherheitsforscher glauben, dass der Angriff auf Irlands Krankenhäuser die Arbeit einer russischsprachigen Cyberkriminellengruppe namens Wizard Spider ist. In einem online veröffentlichten Lösegeldschein haben die Kriminellen damit gedroht, die gestohlenen Daten des Gesundheitsnetzwerks zu veröffentlichen, es sei denn, die Beamten zahlen ein Lösegeld in Höhe von 19.999.000 USD.
Irlands Premierminister, Micheál Martin sagte, die Regierung würde nicht zahlen. “Wir sind uns sehr sicher, dass wir kein Lösegeld zahlen werden”, sagte er letzte Woche in einer Pressekonferenz.
Herr Reid sagte, dass die Auswirkungen für viele Wochen spürbar sein würden. “Dies ist kein kurzer Sprint”, sagte Herr Reid. “Dies wird sich nachhaltig auswirken.”
Der Angriff ist der jüngste in einer Flut von Ransomware-Angriffen auf Krankenhäuser auf der ganzen Welt in den letzten Wochen.
In Kalifornien versucht Scripps Health, das fünf Krankenhäuser und eine Reihe von Kliniken in San Diego betreibt, zwei Wochen nach einem Ransomware-Angriff, seine Daten zu verkrüppeln, immer noch, seine Systeme wieder online zu stellen. In Neuseeland lähmte ein Ransomware-Angriff mehrere Krankenhäuser im ganzen Land, zwang Kliniker dazu, Stift und Papier zu verwenden, und verschob nichtselektive Operationen.
Ende letzten Jahres hat ein Ransomware-Angriff auf das Medical Center der University of Vermont das Leben von Krebspatienten verändert, deren Chemotherapie-Behandlungen verzögert oder aus dem Gedächtnis wiederhergestellt werden mussten.
Die Angriffe kommen zu einem ähnlichen Ransomware-Angriff auf Colonial Pipeline hinzu, den amerikanischen Pipeline-Betrieb, der fast die Hälfte des Gas-, Diesel- und Düsentreibstoffs an die Ostküste liefert. Dieser Angriff veranlasste Colonial Pipeline, den Pipeline-Betrieb einzustellen, was zu Panikkäufen an der Pumpe sowie zu Engpässen bei Gas und Düsentreibstoff entlang der Ostküste führte. Colonial Pipeline erklärte sich bereit, seinen Erpressern, einer anderen Cyberkriminellenbande namens DarkSide, fast 5 Millionen US-Dollar für die Entschlüsselung ihrer Daten zu zahlen.
Der Angriff in Irland hat zu Rückständen in den Notaufnahmen von Dublin bis Galway geführt, und die Patienten wurden aufgefordert, sich von Krankenhäusern fernzuhalten, sofern sie keine dringende Versorgung benötigen.
In vielen irischen Ländern wurden Termine für Strahlenbehandlungen, MRT, gynäkologische Besuche, Endoskopien und andere Gesundheitsdienste abgesagt. Die Gesundheitsbehörden sagten, der Angriff habe auch zu Verzögerungen bei den Covid-19-Testergebnissen geführt, aber ein Impfstoff-Terminsystem funktioniere immer noch.
Irische Gesundheitsbehörden sagten am Donnerstag, dass HSE daran arbeite, ein neues Netzwerk aufzubauen, das von dem betroffenen Netzwerk getrennt sei. Hunderte von Experten wurden angeworben, um 2.000 verschiedene Systeme wieder aufzubauen. Der Aufwand dürfte zig Millionen Euro kosten, sagte Reid.
Die HSE teilte am Donnerstag mit, dass ihr ein Schlüssel zur Verfügung gestellt worden sei, mit dem die als Lösegeld gehaltenen Daten entschlüsselt werden könnten. Es sei jedoch unklar, ob dies funktionieren würde.
Ransomware-Angriffe gegen Krankenhäuser nahmen zu, nachdem zwei getrennte Versuche unternommen worden waren – einer vom Cyber Command des Pentagon und ein separater Rechtsstreit von Microsoft -, ein großes Botnetz, ein Netzwerk infizierter Computer namens Trickbot, auszuschalten, das als Hauptleitung für Ransomware diente.
In den Wochen nach diesen Bemühungen sagten Cyberkriminelle, sie wollten mehr als 400 Krankenhäuser angreifen. Die Bedrohung veranlasste die Cybersecurity and Infrastructure Security Agency des Department of Homeland Security, die Betreiber des Gesundheitswesens zu warnen, ihren Schutz vor Ransomware zu verbessern.
Ransomware-Gruppen arbeiten weiterhin mit relativer Immunität in Russland, wo Regierungsbeamte Cyberkriminelle selten strafrechtlich verfolgen und sich weigern, sie auszuliefern. Als Reaktion auf die Episode der Colonial Pipeline in der vergangenen Woche sagte Präsident Biden, Russland trage eine gewisse Verantwortung für Ransomware-Angriffe, da Cyberkriminelle innerhalb seiner Grenzen operieren.
Adam Meyers, Vizepräsident für Geheimdienste bei CrowdStrike, der Cybersicherheitsfirma, sagte, Mitglieder von Wizard Spider, der Gruppe, die für den Angriff auf Irlands Gesundheitssysteme verantwortlich ist, sprachen Russisch und Forscher “haben großes Vertrauen, dass sie osteuropäisch und wahrscheinlich russisch sind”.
Im vergangenen Monat wurden die Daten eines Schulbezirks in Florida von Wizard Spider als Geiseln gehalten. Die Broward County Public Schools, der sechstgrößte Schulbezirk in den USA, wurden von Cyberkriminellen gehackt, die Kryptowährung in Höhe von 40 Millionen US-Dollar forderten. Die Kriminellen verschlüsselten Daten und stellten Tausende von Schulinformationen online, nachdem die Beamten die Zahlung abgelehnt hatten.
Im vergangenen Dezember wurde der Chiphersteller Advantech auch von Wizard Spider getroffen. Die Daten wurden im sogenannten Dark Web veröffentlicht, nachdem sie sich geweigert hatten, zu zahlen.
Einige Cyber-Versicherungsunternehmen haben die Kosten für Lösegeldzahlungen übernommen und berechnet, dass die Lösegeldzahlungen immer noch billiger sind als die Kosten für den Wiederaufbau von Systemen und Daten von Grund auf. Die Aufsichtsbehörden haben begonnen, Versicherungsunternehmen unter Druck zu setzen, Lösegeldforderungen zu zahlen, und argumentiert, dass sie nur mehr Lösegeldangriffe auslösen und Cyberkriminelle ermutigen, lukrativere Forderungen zu stellen.
AXA, der französische Versicherungsriese, sagte letzte Woche, dass er Lösegeldzahlungen nicht mehr abdecken werde. Innerhalb weniger Tage nach seiner Ankündigung wurde AXA von einem Ransomware-Angriff heimgesucht, der den Betrieb der Informationstechnologie in Thailand, Malaysia, Hongkong und den Philippinen lahmlegte.
“Dies ist nur Business as usual”, sagte John Dickson, Cybersicherheitsexperte bei der Denim Group in San Antonio, in einem Interview am Donnerstag. “Diese Angriffe sollten niemanden überraschen, der aufgepasst hat.”