Irland warnt vor möglichen Lecks von Patientendaten nach einem Ransomware-Angriff

Letzte Woche wurde Irlands Health Service Executive von einem unbekannten Bedrohungsakteur angegriffen und musste alle seine Systeme herunterfahren, um die Verbreitung der bei dem Angriff verwendeten Ransomware zu stoppen. Jetzt warnt die HSE, dass ein hohes Risiko besteht, dass sensible Patientendaten von den Angreifern "missbraucht" und durchgesickert werden.

Der Angriff auf die irische Infrastruktur des Gesundheitssystems folgte zwei weiteren großen Ransomware-Hits, die innerhalb weniger Tage stattfanden. Während die beiden anderen großen Angriffe gegen Colonial Pipeline in den USA und Tochtergesellschaften der Toshiba Corporation in Europa sowohl von der DarkSide-Gruppe als auch von ihren verbundenen Unternehmen durchgeführt wurden, ist der Angreifer, der auf Irlands IT-Netzwerk für das Gesundheitswesen abzielte, noch nicht bekannt.

Was bisher bekannt ist, ist die Belastung durch Ransomware, die bei dem Vorfall verwendet wurde. Die schlechten Schauspieler haben eine Version der Conti Ransomware bereitgestellt. Untersuchungen und Bemühungen, das IT-Netzwerk wieder online zu stellen, ergaben außerdem, dass auf den kompromittierten Systemen auch das Befehls- und Steuermodul Cobalt Strike Beacon installiert war.

Trotz des erheblichen Hindernisses, das der Angriff auf die Gesundheits- und Sozialdienste des Landes darstellte, hat die irische Regierung bereits klar erklärt, dass sie nicht mitspielen und kein Lösegeld zahlen wird. Das ist wahrscheinlich eine kluge Wahl, wenn man bedenkt, wie der Ransomware-Job für die Colonial Pipeline verlaufen ist. Es stellte sich heraus, dass Colonial nur wenige Stunden nach dem Angriff eine Zahlung von rund 5 Millionen US-Dollar ausgeführt hatte, aber das Tool, das das Unternehmen von DarkSide erhielt, entschlüsselte die Daten so langsam, dass es praktisch nutzlos war und das Unternehmen den normalen Betrieb mithilfe seiner eigenen Backups wiederherstellte und effektiv nichts aus dem Austausch zu gewinnen.

Das Risiko von doppelten Angriffen, die sowohl ein Netzwerk verschlüsseln als auch Informationen exfiltrieren, wird bei Ransomware-Betreibern immer häufiger. Die gestohlenen vertraulichen Informationen werden als zusätzlicher Hebel verwendet, um das Opfer der Ransomware zu bedrohen und zu erpressen, damit es nicht nur für die Wiederherstellung seines Netzwerks bezahlt, sondern auch verhindert, dass Daten online verloren gehen.

Diese Art von Bedrohung ist besonders schlimm, wenn es um Angriffe wie den gegen Irlands Gesundheitsdienste geht. Patienteninformationen sind ein hochsensibles Datenelement und können eine Reihe hochpersönlicher und sensibler Daten enthalten, die wirklich große Probleme verursachen können, wenn alles online verloren geht.

Irlands HSE geht relativ langsam mit der Wiederherstellung seiner Systeme voran. Laut einem Bericht von ZDNet wurden nur 2.000 von insgesamt 80.000 Geräten wieder funktionsfähig gemacht und sind online. Der Gesundheitsminister des Landes versicherte der Bevölkerung, dass "Hunderte von Menschen" rund um die Uhr arbeiten, um alles wieder in Ordnung zu bringen, aber selbst nach seinen Worten könnte es "Wochen" dauern, bis jedes einzelne Subsystem wieder in Betrieb ist.