Skrupel nur vorgeschoben? Ransomware-Banden attackieren Kliniken
Zwar zürnt der Lockbit-Betreiber öffentlich mit einem Handlanger, ist sich dennoch für Krankenhaus-Erpressung nicht zu schade. Andere bedrohen gar Patienten.
(Bild: ARMMY PICCA/Shutterstock.com)
Noch immer ist nach einer Ransomware-Attacke in den Krankenhäusern der Katholischen Hospitalvereinigung Ostwestfalen kein Regelbetrieb möglich. Wie der Klinikverbund auf seiner Homepage mitteilt, sind die Aufräumarbeiten nicht abgeschlossen; die Kliniken haben sich von der Notfallversorgung abgemeldet. In der Region fehlen somit gleich drei Krankenhäuser als Anlaufstelle für Notfallpatienten, etwa nach Autounfällen auf der nahegelegenen A2.
Derweil weisen die Betreiber der Ransomware Lockbit 3.0 die Verantwortung für den Angriff von sich: Ein "Affiliate", also ein selbstständiger Krimineller, der die Software und Infrastruktur der Bande gegen Provision nutzen darf, habe regelwidrig Daten verschlüsselt, teilte der Lockbit-"Kundendienst" den Malware-Spezialisten von VX Underground mit. In nicht zitierfähigem Russisch echauffierte sich der anonyme Cybergangster über den missliebigen Ex-Spießgesellen und wünschte ihm die baldige Verhaftung. Die Regeln für LockBit-Affiliates verbieten das Verschlüsseln medizinischer Daten, wenn sich daraus Lebensgefahr für Patienten ergibt.
(Bild: heise online / cku)
Ostentativ wiesen die LockBit-Betreiber in ihrem Darknet-Blog darauf hin, den im US-Bundesstaat New Jersey ansässigen Klinikbetreiber Capital Health zwar angegriffen und erpresst zu haben, auf eine Verschlüsselung von Patientendaten zum Wohle der Behandlungsqualität aber zu verzichten. Ob hinter dieser Geste echte Skrupel stecken, darf jedoch bezweifelt werden – Tote infolge von Ransomware-Attacken erhöhen den Ermittlungsdruck und schaden dem reibungslosen Geschäft der Erpresser.
Doch auch das scheint anderen Ransomware-Gangs mittlerweile egal zu sein. Bereits am Freitag vergangener Woche wurde bekannt, dass Cyberkriminelle erneut Patienten direkt erpressen. Nach einem Datendiebstahl im "Fred Hutchinson Cancer Center", einem Verbund von Krebskliniken im US-Bundesstaat Washington, sprachen die Gangster Swatting-Drohungen gegen Patienten aus. Das hinzugerufene FBI ermittelt nun nicht nur im Erpressungsfall gegen das Krebszentrum, sondern auch im Namen der bedrohten Patienten.
Swatting ist die Bezeichnung für eine Methode der Online-Einschüchterung, bei der die Täter der Polizei eine konkrete Gefahr seitens des Opfers vorgaukeln, etwa einen geplanten Amoklauf. Das löst oft den Einsatz eines Spezialeinsatzkommandos (SWAT - Special Weapons And Tactics) aus, was dem Opfer nicht nur Todesangst bereitet, sondern auch Spuren in dessen Wohnung hinterläßt.
Ähnlich erging es vergangenen Monat den Kunden von Integris Health im Bundesstaat Oklahoma: Hier drohten die Angreifer per E-Mail Patienten mit dem Verkauf ihrer personenbezogenen Daten im Darknet. Eher eine Randnotiz ist da die Geburtshilfeklinik im kanadischen Ontario, die ihre Patientinnen genau neun Monate, also etwa eine Schwangerschaftslänge nach einem Datenleck darüber in Kenntnis setzte; hier kam jedoch keine Ransomware zum Einsatz.
Verbot für Lösegeldzahlungen gefordert
Die Rufe nach einem Verbot für Lösegeldzahlungen an Ransomware-Banden werden lauter. Der Sicherheitsdienstleister EMSI zitiert in seiner Zusammenfassung der Ransomware-Ereignisse Experten wie Kevin Beaumont mit der Forderung nach internationaler Ächtung. Nur so werde man der Erpresser Herr. Der EMSI-Analyse zufolge wurden im vergangenen Jahr fast doppelt so viele Krankenhäuser Ransomware-Opfer wie 2022; bis zu 67 Patienten kamen als Folge der Attacken ums Leben.
Ransomware ist längst ein Millionengeschäft: Allein die Malware Black Basta bescherte ihren Hinterleuten einen neunstelligen Umsatz.
(cku)
