LabCorp Datenleck-Befürchtungen waren unbegründet. Es war ein Ransomware-Angriff.

LabCorp Ransomware Attack

Die Laboratory Corporation of America Holdings oder LabCorp beschäftigt weltweit 60.000 Mitarbeiter, hilft bei klinischen Studien in nahezu 100 Ländern und führt wöchentlich rund 2,5 Millionen Labortests durch. Dies bedeutet, dass LabCorp potenziell sehr sensible Daten verarbeitet und speichert, die sich auf die Gesundheit von Millionen von Menschen beziehen. Wie Sie sich vorstellen können, waren die Reaktionen nicht gerade positiv, als das Unternehmen bekannt gab, dass verdächtige Aktivitäten in seinem IT-Netzwerk festgestellt wurden. Die Menschen hatten ernsthafte Angst um ihre Gesundheitsinformationen. Wie sich herausstellte, hatten sie nicht viel zu befürchten.

Die Nachricht verbreitete sich am Montag, als das Unternehmen eine 8-K-Anmeldung bei der Securities and Exchange Commission einreichte. Das Dokument sagte nicht viel, abgesehen von der Tatsache, dass einige Computer und Server von LabCorp über das Wochenende auf ungewöhnliche Weise funktionierten. Obwohl die Unterlagen darauf hindeuten, dass das IT-Team des Unternehmens zu diesem Zeitpunkt keine Ahnung hatte, um was es sich handelte, wurden viele Systeme heruntergefahren, um echte Schäden zu vermeiden.

Gestern meldete CSO weitere Details zum Angriff. Anscheinend begannen Hacker am 13. Juli um Mitternacht mit ihren Versuchen, das LabCorp-Netzwerk zu infiltrieren, indem sie die Anmeldeinformationen des Remote Desktop Protocol (RDP) brachial erzwangen. Am 14. Juli um 18 Uhr waren sie da und ließen ihre Nutzlast fallen - eine Erpressersoftware namens SamSam.

Die guten Nachrichten

Natürlich kann ein Cyberangriff niemals eine gute Nachricht sein, insbesondere für die Zielgruppe. In diesem Fall sind wir uns jedoch ziemlich sicher, dass sowohl LabCorp-Mitarbeiter als auch -Patienten aufatmen, als sie erfuhren, dass das Labornetzwerk getroffen wurde von Ransomware.

Die Alternative war eine Malware, die Patientendaten stiehlt und aufdeckt, was verheerende Folgen haben könnte. Nach sorgfältiger Prüfung der Beweise gibt LabCorp zuversichtlich an, dass keine Informationen durchgesickert sind. Man kann also definitiv sagen, dass es viel schlimmer hätte sein können.

Als das IT-Team von LabCorp von dem Angriff erfuhr, begann es sofort, die Systeme offline zu schalten, um den Schaden zu begrenzen. Innerhalb von fünfzig Minuten war die Infektion eingedämmt, aber zu diesem Zeitpunkt war es SamSam bereits gelungen, die Daten auf 7.000 Systemen und 1.900 Servern zu verschlüsseln.

Trotz des erheblichen Schadens gingen die Hacker mit leeren Händen davon. Laut offiziellen Ankündigungen wurde die Ransomware "entfernt", was darauf hindeutet, dass LabCorp über funktionierende Backups verfügt, von denen die verschlüsselten Informationen wiederhergestellt wurden. Das Unternehmen gibt an, dass die meisten Testvorgänge wieder aufgenommen wurden und dass innerhalb weniger Tage alles wieder normal sein wird.

Insgesamt verdient die Reaktion von LabCorp auf den Angriff ein gewisses Lob. Das Unternehmen reagierte schnell und die Ransomware war enthalten, bevor sie die Infrastruktur des Labornetzwerks vollständig zerstören konnte. Danach sorgte der verantwortungsvolle Umgang mit sensiblen Daten dafür, dass keine Informationen verloren gingen.

Die nicht so gute Nachricht

LabCorp hat die genaue Belastung durch Ransomware noch nicht identifiziert, aber CSO und ihre Quellen scheinen ziemlich sicher zu sein, dass es sich um SamSam handelt, da diese spezielle Familie im letzten Jahr mehr als ein paar Gesundheitsorganisationen getroffen hat. Darüber hinaus greift die SamSam-Bande die Opfer häufig mit brachialen RDP-Anmeldeinformationen an, obwohl dies nicht ihr einziger Infektionsherd ist.

Auch hier sind die Details noch unklar, aber es gibt Hinweise darauf, dass LabCorp keine Zwei-Faktor-Authentifizierung zum Schutz seiner RDP-Konten hatte. Mit anderen Worten, es gab Hinweise darauf, dass LabCorp ein potenzielles Ziel ist, und obwohl es auf den Angriff gut reagiert hat, ist es ihm nicht gelungen, den einen Schritt zu tun, der ihn hätte stoppen können.

Experten sagen oft, dass ein Hacker nur einmal erfolgreich sein muss, um einen erfolgreichen Angriff zu starten. Die Benutzer und die Organisationen am anderen Ende, müssen jedoch die ganze Zeit um erfolgreich zu sein, wenn sie ein sicherheitsrelevantes Ereignis zu verhindern sind. Der Ransomware-Angriff auf LabCorp beweist, wie richtig diese Aussage ist.

February 12, 2020

Antworten