Starker Trend in 2021: Organisationen im Gesundheitswesen zu 94% stärker von Ransomware betroffen
– Angriffe steigen deutlich, gleichzeitig sind Organisationen im Gesundheitswesen besser in der Lage, mit den Folgen umzugehen
– Der Gesundheitssektor zahlt am häufigsten Lösegeld, im Branchenvergleich jedoch die niedrigsten Summen
– Mehr Gesundheitsorganisationen entscheiden sich für Cyberversicherungen, stellen aber fest, dass es schwieriger geworden ist, Versicherungsschutz zu bekommen
Sophos hat seine Branchenanalyse „The State of Ransomware in Healthcare 2022" veröffentlicht. Die Ergebnisse beschreiben einen weltweiten Anstieg der Ransomware-Angriffe auf diesen Sektor von 94 %. So war das Gesundheitswesen im Jahr 2021 zu 66 % betroffen, wohingegen im Jahr zuvor dieser Wert noch bei 34 % lag.
Trotz dieser dynamischen Entwicklung zeigt sich auch ein positiver Aspekt: die Organisationen des Gesundheitswesens sind den Umfragedaten zufolge immer besser in der Lage, mit den Folgen von Ransomware-Angriffen umzugehen. Der Bericht zeigt, dass 99 % der von Ransomware betroffenen Organisationen zumindest einen Teil ihrer Daten zurückerhalten haben, nachdem die Cyberkriminellen sie während der Angriffe verschlüsselt hatten.
Weitere Auswirkungen von Ransomware auf den Gesundheitssektor weltweit:
- Organisationen des Gesundheitswesens hatten mit 1,85 Millionen US-Dollar die zweithöchsten durchschnittlichen Wiederherstellungskosten für Ransomware und benötigten im Durchschnitt eine Woche, um sich von einem Angriff zu erholen
- Basierend auf ihren eigenen Erfahrungen glauben 67 % der Unternehmen des Gesundheitswesens, dass Cyberangriffe komplexer geworden sind. Dies ist der höchste Prozentsatz im weltweiten Branchenvergleich.
- Unternehmen des Gesundheitswesens zahlen zwar am häufigsten Lösegeld (61 %), aber im Vergleich zum weltweiten Durchschnitt von 812.000 US-Dollar (über alle in der Umfrage erfassten Sektoren hinweg) mit 197.000 US-Dollar das niedrigste Durchschnittslösegeld.
- Von den Unternehmen, die das Lösegeld gezahlt haben, erhielten nur 2 % alle ihre Daten zurück
- 61 % der Angriffe führten zu einer Verschlüsselung, 4 % weniger als der weltweite Durchschnitt (65 %)
Mehr Gesundheitsorganisationen (78 %) entscheiden sich jetzt für eine Cyberversicherung, aber 93 % der Organisationen mit Versicherungsschutz berichten, dass es im letzten Jahr schwieriger geworden ist, Versicherungsschutz zu erhalten. Da Ransomware der Hauptgrund für Versicherungsansprüche ist, gaben 51% der Befragten an, dass ein höheres Maß an Cybersicherheit erforderlich ist, um sich für eine Versicherung zu qualifizieren. Dies stellt eine Belastung für Gesundheitsorganisationen mit geringeren Budgets und weniger technischen Ressourcen dar.
Daten im Gesundheitswesen besonders attraktiv für Cyberkriminelle
„Ransomware im Gesundheitswesen ist in Bezug auf Schutz und Wiederherstellung differenzierter als in anderen Branchen", sagt John Shier, Senior Security Experte bei Sophos. „Die Daten, die Unternehmen im Gesundheitswesen nutzen, sind äußerst sensibel und wertvoll, was sie für Angreifer sehr attraktiv macht. Darüber hinaus bedeutet die Notwendigkeit eines effizienten und weit verbreiteten Zugriffs auf diese Art von Daten – damit medizinisches Fachpersonal die richtige Pflege leisten kann –, dass typische Zwei-Faktor-Authentifizierung und Zero-Trust-Verteidigungstaktiken nicht immer durchführbar sind. Dies macht Organisationen des Gesundheitswesens besonders verwundbar, und wenn sie betroffen sind, entscheiden sie sich möglicherweise dafür, Lösegeld zu zahlen, um Zugang zu wichtigen, oft lebensrettenden Patientendaten zu erhalten.“ Aufgrund dieser einzigartigen Faktoren müssten Organisationen des Gesundheitswesens ihren Schutz vor Ransomware ausbauen, indem sie Sicherheitstechnologien mit einer von Menschen geführten Bedrohungsjagd kombinieren, um sich gegen die modernen Cyberangreifer zu verteidigen, so der Experte weiter.
Sophos empfiehlt folgende Schritte für eine bessere Sicherheit:
- Installation und Pflege von hochwertigen Schutzmaßnahmen an allen Stellen der Unternehmensumgebung. Regelmäßige Prüfung der Sicherheitskontrollen und Anpassung an die Anforderungen des Unternehmens.
- Härtung der IT-Umgebung durch Aufspüren und Schließen der wichtigsten Sicherheitslücken: ungepatchte Geräte, ungeschützte Rechner und offene Ports des Remote Desktop Protocol. Extended Detection and Response (XDR)-Lösungen sind ideal, um diese Lücken zu schließen
- Erstellung von Backups und Training der Wiederherstellung der Daten, damit das Unternehmen so schnell wie möglich und mit minimalen Unterbrechungen den Betrieb wieder aufnehmen kann.
- Proaktive Bedrohungssuche, um Angreifer zu identifizieren und zu stoppen, bevor sie ihren Angriff ausführen können. Wenn das interne Team nicht die Zeit oder die Fähigkeiten hat, dies selbst zu tun, ist es ratsam externe Spezialisten für Managed Detection and Response (MDR) zu beauftragen.
- Mit einem Plan auf den Worst Case vorbereitet sein. Wissen, was zu tun ist, wenn ein Cybervorfall eintritt, und den Plan auf dem neuesten Stand halten
Für die weltweite Studie „State of Ransomware in Healthcare 2022" wurden 5.600 IT-Experten, darunter 381 Befragte aus dem Gesundheitswesen, in mittelgroßen Unternehmen (100-5.000 Mitarbeiter) in 31 Ländern befragt. Für die DACH-Region standen 63 deutsche, 16 österreichische und 8 schweizer IT-Leitungen Rede und Antwort.
Sophos ist ein weltweit führender Anbieter von Next Generation Cybersecurity und schützt mehr als 500.000 Unternehmen und Millionen von Anwendern in mehr als 150 Ländern vor den modernsten Cyberbedrohungen. Basierend auf Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und von SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Services, um Anwender, Netzwerke und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken zu schützen. Sophos bietet mit Sophos Central eine einzige, integrierte und cloudbasierte Management-Konsole. Sie ist das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems mit einem zentralen Data Lake, der eine Vielzahl offener API-Schnittstellen bedient, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Services über Partner und Managed Service Provider (MSPs) weltweit. Der Sophos-Hauptsitz ist in Oxford, U.K. Weitere Informationen unter http://www.sophos.de.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Zero-Day-Lücke „Follina“ in MS Office – Hintergründe und Tipps
Wie funktioniert die aktuelle Lücke?
- Anwender öffnen eine mit versteckter Malware versehene DOC-Datei, die sie z.B. per E-Mail erhalten haben.
- Das Dokument verweist auf eine normal aussehende https:-URL, die heruntergeladen wird.
- Diese https:-URL verweist auf eine HTML-Datei, die einen JavaScript-Code enthält.
- Das JavaScript wiederum verweist auf eine URL mit der ungewöhnlichen Kennung ms-msdt: anstelle von https:. Unter Windows ist ms-msdt: ein proprietärer URL-Typ, der das MSDT-Software-Toolkit startet. MSDT ist die Abkürzung für Microsoft Support Diagnostic Tool.
- Die zum MSDT via URL übermittelte Befehlszeile führt dazu, dass nicht vertrauenswürdiger Code ausgeführt wird.
Wenn der bösartige ms-msdt:-Link aufgerufen wird, löst er einen MSDT-Befehl mit Befehlszeilenargumenten wie dem folgenden aus: msdt /id pcwdiagnostic …. Wenn es von Hand ausgeführt wird, ohne andere Parameter, lädt dieser Befehl automatisch MSDT und ruft die Programmkompatibilitäts-Fehlerbehebung auf, die harmlos aussieht.
Nutzer:innen wahrscheinlich nicht erwarten, nur durch das Öffnen eines Word-Dokuments in dieses Diagnoseprogramm zu kommen, ist die Wahrscheinlichkeit doch erhöht, dass diese Reihe von Popup-Dialogfeldern „akzeptiert“ wird.
Automatische Remote-Skriptausführung
Im „Follina“-Fall sieht es allerdings so aus, als ob die Angreifer auf einige ungewöhnliche, aber auch sehr tückische Optionen gekommen sind, um sich in die Befehlszeile einzuschleichen. In der Folge erledigt die MSDT-Fehlerbehebung ihre Arbeit ferngesteuert. Anstatt gefragt zu werden, wie der Anwendende fortfahren möchte, haben die Cyberkriminellen eine Reihe von Parametern konstruiert, die nicht nur dazu führen, dass die Operation automatisch fortgesetzt wird (zum Beispiel die Optionen /skip und /force), sondern nebenbei auch ein PowerShell-Skript aufrufen. Zu allem Übel muss dieses PowerShell-Skript sich noch nicht einmal in einer Datei auf der Festplatte befinden – es kann in verschlüsselter Quellcodeform direkt aus der Befehlszeile selbst bereitgestellt werden, zusammen mit allen anderen verwendeten Optionen. Im „Follina“-Fall wird die PowerShell laut Hammond dazu verwendet, um eine ausführbare Malware-Datei zu extrahieren und zu starten, die in komprimierter Form bereitgestellt wurde.
Keine Makros erforderlich
Wichtig ist der Fakt, dass dieser Angriff von Word ausgelöst wird, das auf die betrügerische ms-msdt: URL verweist, auf die von einer URL verwiesen wird, die in der DOC-Datei selbst enthalten ist. Aufgrund dieses Vorgehens sind keine VBA-Office-Makros (Visual Basic for Applications) notwendig, sodass dieser Trick auch dann funktioniert, wenn Office-Makros deaktiviert sind.
Deshalb sieht das Ganze wie ein praktisches Office-URL-„Feature“ aus, kombiniert mit einem hilfreichen MSDT-Diagnose-„Feature. In der Tat wird allerdings eine Sicherheitslücke erzeugt, die per Klick einen Remote-Code-Execution-Exploit verursachen kann. Auf diese Weise kann schon das Öffnen eines derart präparierten Word-Dokuments Malware übertragen, ohne dass Nutzer:innen es bemerken.
Tatsächlich schreibt Hammond, dass dieser Trick in einen noch direkteren Angriff umgewandelt werden kann, indem der betrügerische Inhalt in eine RTF-Datei anstatt in eine DOC-Datei verpackt wird. In diesem Fall reiche es aus, nur eine Vorschau des Dokuments im Windows Explorer anzuzeigen, um den Exploit auszulösen, ohne auch nur darauf zu klicken, um es zu öffnen. Allein das Rendern des Thumbnail-Vorschaufensters brächte Windows und Office bereits zum Stolpern.
Was ist zu tun?
Microsoft hat bereits eine offizielle Problemumgehung veröffentlicht und wird hoffentlich zügig einen dauerhaften Patch vorlegen. So praktisch die proprietären ms-xxxx-URLs von Microsoft auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur in der Vorschau angezeigt werden, ist eindeutig ein Sicherheitsrisiko.
Zudem besteht eine in der Community allgemein anerkannte Problembehandlung darin, einfach die Beziehung zwischen ms-msdt: URLs und dem Dienstprogramm MSDT.EXE zu unterbrechen. Eine detaillierte Beschreibung hierzu gibt Sophos-Experte Paul Ducklin in seinem Blogbeitrag.
Sophos-Produkte unterbinden das Problem
Endpoint-Produkte von Sophos erkennen und blockieren bekannte Angriffe, die über diesen Exploit als Troj/DocDl-AGDX durchgeführt werden. Dieser Erkennungsname kann verwendet werden, um Protokolle sowohl nach DOC-Dateien zu durchsuchen, die den ursprünglichen Download auslösen, als auch nach HTML-Dateien der „zweiten Stufe“, die folgen. E-Mail- und Web-Filter-Produkte von Sophos fangen Angriffsdateien dieser Art wie CXmail/OleDl-AG ab.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
