Der britische Gesundheitsdienst NHS hat diese Woche einen „kritischen Vorfall“ ausgerufen, da in mehreren Londoner Krankenhäusern aufgrund eines Cyberangriffs Operationen und Blutuntersuchungen abgesagt werden mussten.
Am Montag gab der NHS bekannt, dass Synnovis, ein Anbieter von Labordienstleistungen, Opfer eines Ransomware-Angriffs geworden sei, der wichtige Dienste lahmlegte.
Dies führte zu weitreichenden Störungen, da die betroffenen Krankenhäuser gezwungen waren, Operationen und Blutuntersuchungen abzusagen oder auszulagern.
MailOnline hat mit Cybersicherheitsexperten gesprochen, um aufzuzeigen, wie Hacker einfache Systemfehler ausnutzen, um die Kontrolle über wichtige Daten zu erlangen.
Diese Experten enthüllen, wie ein Netzwerk aus spezialisierten Maklern und Ransomware-Banden zusammenarbeitet, um unsere Gesundheitsdienste für kommerzielle Zwecke auszunutzen.
NHS England erklärte einen kritischen Vorfall, da ein Labordienstleister, der mit mehreren Londoner Krankenhäusern zusammenarbeitet, darunter dem King’s College Hospital (im Bild), Opfer eines Cyberangriffs geworden war.
Patrick Burgess, Cybersicherheitsexperte am Chartered Institute for IT, erklärte gegenüber MailOnline, dass ein Cyberangriff im Allgemeinen als „böswilliger oder unberechtigter Zugriff auf ein digitales System“ definiert werde.
„Ein großer Teil unseres Lebens wird heute durch Computernetzwerke, Laptops und Telefone unterstützt; jedes dieser Dinge könnte theoretisch Ziel eines Cyberangriffs sein“, erklärt Burgess.
Diese Angriffe können unterschiedliche Formen annehmen, NHS England gab jedoch bekannt, dass Synnovis Opfer eines Cyberangriffs mit Ransomware geworden sei.
Bei dieser Art von Angriff verschafft sich ein Hacker Zugriff auf das Computersystem eines Unternehmens und sperrt das System von innen, um ein Lösegeld zu erpressen.
Dazu identifizieren kriminelle Gruppen – sogenannte Ransomware-Gangs – zunächst Unternehmen, deren Systeme bereits anfällig für Angriffe sind.
In manchen Fällen beauftragen sie spezialisierte kriminelle Gruppen, sogenannte „Access Broker“, die als Vermittler ihrer Angriffe fungieren.
Synnovis (im Bild) erbringt pathologische Dienstleistungen für den NHS. Ohne seine Dienste wären mehrere Trusts nicht in der Lage gewesen, Bluttransfusionen oder Testergebnisse bereitzustellen.
Diese Gruppen verbringen ihre ganze Zeit damit, nach Wegen in Systeme zu suchen und kompromittierte Passwörter aufzuspüren, um sie gewinnbringend zu verkaufen, anstatt den Angriff selbst durchzuführen.
Eine Ransomware-Bande kann dann beliebige, lukrativ erscheinende Zugangsdaten im „Dark Web“ kaufen und diese verwenden, um Schadsoftware („Malware“) in das System des Unternehmens einzuschleusen.
In anderen Fällen versenden Ransomware-Banden selbst Millionen automatisierter Phishing-E-Mails an riesige Listen von Unternehmen.
Diese E-Mails können Links oder Downloads enthalten, die auf dem Computer des Opfers einen Virus installieren, von dem aus er sich ausbreiten und das gesamte System infizieren kann.
Sobald sich der Virus auf einem einzigen Gerät eingenistet hat, bietet er Hackern einen Ansatzpunkt, von dem aus sie sich langsam ausbreiten und das gesamte Netzwerk übernehmen können.
Ross Brewer, Vizepräsident des Cybersicherheitsunternehmens Graylog, erklärte gegenüber MailOnline, dass Hacker einen „unauffälligen und langsamen“ Ansatz verwenden, um wichtige Systeme zu übernehmen.
Er sagt: „Sie wollen nicht erwischt werden, also arbeiten sie normalerweise langsam über einen Zeitraum von Tagen, Wochen oder Monaten, bevor sie sämtliche Stecker ziehen.“
In Krankenhäusern wie dem St. Thomas‘ (im Bild) wurden Operationen abgesagt oder an andere Anbieter übertragen.
Laut den von Mandiant erhobenen Daten betrug die durchschnittliche Zeit zwischen Erstinfektion und Übernahme im Jahr 2023 10 Tage.
Aber wenn die Kriminellen erst einmal alles vorbereitet haben, können sie Tools innerhalb des Computernetzwerks ausnutzen, um die Kontrolle zu übernehmen und legitime Benutzer auszusperren.
Normalerweise, erklärt Brewer, geschieht dies dadurch, dass die Unternehmensdaten verschlüsselt werden, sodass die Mitarbeiter sie nicht mehr lesen können.
Da es sich dabei um dieselbe Art der Verschlüsselung handelt, die auch Unternehmen zum Schutz ihrer Informationen verwenden, können sie ihre Daten ohne den „Schlüssel“ der Ransomware-Bande nicht entschlüsseln.
Experten zufolge nutzten Hacker einfache Schwachstellen, um Malware zu installieren, die wichtige Teile der Daten von Synnovis verschlüsselte. Das Unternehmen ist nun nicht mehr in der Lage, seine Dienste anzubieten (Dateifoto).
Bei Gesundheitsdienstleistern wie Synnovis führt dies zu Verzögerungen, da die Schadsoftware den Mitarbeitern den Zugriff auf wichtige Informationen verwehrt.
Der britische Gesundheitsdienst NHS erklärte, er habe aufgrund des Hackerangriffs Bluttransfusionen und Operationen an Patienten absagen müssen.
Der Cybersicherheitsberater James Bore erklärte gegenüber MailOnline: „Es wird ein Datenbanksystem zum Einsatz kommen, das eingeführt wird, um die Ergebnisse von Bluttests zu beschleunigen.“
Wenn diese Datenbank nun verschlüsselt ist, [by the hackers]muss man plötzlich auf Papiernotizen zurückgreifen.‘
In einer gestern veröffentlichten Erklärung bestätigte NHS England, dass der Hack „erhebliche Auswirkungen auf die Bereitstellung von Diensten“ habe.
Bei den NHS Foundation Trusts Guy’s und St. Thomas, King’s College Hospital sowie bei den medizinischen Grundversorgungsdiensten im Südosten Londons kam es allesamt zu Verzögerungen.
Einige Eingriffe wurden bereits abgesagt oder auf andere Anbieter übertragen, da die mit Synnovis zusammenarbeitenden Krankenhäuser keinen Zugang mehr zu Bluttransfusionen und Testdiensten haben.
Bis Synnovis entweder das Lösegeld zahlt oder die Daten aus einem Backup wiederherstellt, ist davon auszugehen, dass es weiterhin zu Verzögerungen und Störungen kommen wird.
Um die Dienste wieder online zu bringen, muss Synnovis entweder das Lösegeld zahlen oder seine Daten aus einem früheren Backup wiederherstellen.
Der britische Gesundheitsdienst NHS und das National Cyber Security Centre zahlen grundsätzlich kein Lösegeld und selbst wenn sie es täten, gäbe es keine Garantie, dass die Daten zurückerhalten werden.
Herr Bore sagt: „Es gibt keine Garantien. Wir haben es mit einer kriminellen Organisation zu tun, die bewiesen hat, dass sie mit Freude das Gesetz bricht.“
In manchen Fällen weigern sich die Cyberkriminellen, die hinter dem Angriff stehen, einfach, die Daten zu entschlüsseln, oder sie verwenden eine Technik namens „doppelte Erpressung“.
Kriminelle verschlüsseln die Daten möglicherweise nicht nur, sondern stehlen auch eine Kopie und drohen damit, diese online zu veröffentlichen, wenn das Opfer nicht zahlt.
Dies bedeutet, dass Synnovis seine Datenbanken wahrscheinlich aus einer früheren Sicherung wiederherstellen muss – ein zeitaufwändiger und schwieriger Prozess, der Tage bis Wochen dauern kann.
Experten erklärten gegenüber MailOnline, dass derartige Angriffe in der Regel nicht gezielt erfolgten und dass es sich bei Synnovis eher um ein Gelegenheitsdelikt gehandelt haben dürfte.
Auch wenn der erste Kontakt möglicherweise Unglück brachte, könnte die Bedeutung von Synnovis die Kriminellen dazu bewogen haben, ihren Angriff noch eifriger fortzusetzen.
My Bore sagt: „Es ist bemerkenswert, dass die betroffenen Unternehmen noch vor wenigen Monaten freudig verkündeten, es sei ihnen gelungen, die Pathologiedienste mehrerer Krankenhäuser zu zentralisieren.“
Es ist nicht klar, ob Synnovis gezielt angegriffen wurde. Die Laborarbeit des NHS ist ein kritischer Dienst, der ihn anfällig für Erpressungen macht, aber die Mehrheit der Ransomware-Angriffe sind opportunistisch (Dateifoto)
Dies könnte Synnovis zu einem verlockenden Ziel für Kriminelle gemacht haben, die hofften, dass durch größere potenzielle Störungen ein höheres Lösegeld gefordert werden könnte.
Ciaran Martin, ehemaliger Geschäftsführer des National Cyber Security Centre, hat angedeutet, dass es sich bei der Gruppe hinter dem Angriff um einen Bedrohungsakteur namens Conti handeln könnte.
Obwohl die Beweislage noch nicht vollständig geklärt ist, wird angenommen, dass Conti hinter der Schadsoftware-Gruppe „Black Basta“ stecken könnte, die bei diesem und vielen anderen Angriffen zum Einsatz kam.
Joanne Coy, leitende Cyber-Bedrohungsanalystin bei Bridewell, sagte gegenüber MailOnline: „Black Basta hat schon immer den Gesundheitssektor ins Visier genommen – tatsächlich haben sie ihre Angriffe auf diesen Sektor im Jahr 2024 verstärkt.“
Frau Coy fügt hinzu: „Die Gruppe hinter dem Angriff auf Synnovis ist dafür bekannt, dass sie sich mit hochgradig zielgerichteten Phishing-E-Mails ersten Zugriff verschafft. Es ist also möglich, dass Synnovis auf diese Weise kompromittiert wurde.“