Ransomware: US-Ministerium warnt vor Gefahr von Gesundheitseinrichtungen

Royal lautet dieser Name dieser Ransomware, vor dieser jetzt dasjenige Ministerium zu Händen Hygiene und Soziale Dienste dieser Vereinigten Staaten (US Department of Health and Menschenwürdig Services, von kurzer Dauer HHS) warnt. Die Erpressersoftware wurde erstmals in diesem Jahr beobachtet und tritt seitdem häufiger gen.

Die Royal-Ransomware werde manuell von Menschen gesteuert und habe schon zu Forderungen in Höhe von Mio. von US-Dollar geführt. Seitdem dieser ersten Sichtung beobachtet dasjenige Health Sector Cybersecurity Coordination Center (HC3) Angriffe gen Gesundheitseinrichtungen. Ende den bisherigen Erfahrungen mit Ransomware im Gesundheitswesen solle Royal von dort denn ernste Gefahr des Gesundheitswesens betrachtet werden.

Erste Observation heuer

Laut dieser Warnung des HHS trat die Royal-Ransomware erstmals im September dieses Jahres in Phänomen. Die Lösegeldforderungen nachdem dieser Infektion rangierten im Gebiet von 250.000 US-Dollar solange bis mehr als 2 Mio. US-Dollar. Dem HHS zufolge scheint es sich zwischen den Drahtziehern hinter Royal um erfahrene Akteure aus anderen Cybergangs zu handeln, da zwischen den Untersuchungen dieser Vorfälle nicht zuletzt Elemente aus vorherigen Ransomware-Vorfällen gefunden wurden.

Während die meisten bekannten Ransomware-Gangs dasjenige Ransomware-as-a-Tafelgeschirr-Geschäftsmodell verfolgten, scheint Royal eine Haufen ohne Verbündete oder Kunden zu sein, die jedoch finanzielle Interessen verfolgt. Die Haufen behauptet, Datenmaterial zu Händen sogenannte Double-Extortion-Angriffe zu stehlen, wodurch sie sensible Datenmaterial ausschleusen. Double-Extortion bedeutet, dass die Datenmaterial nicht nur verschlüsselt werden, sondern die Kopien dazu im Untergrund zum Verkauf angeboten werden – üblicherweise sollen die Todesopfer die Datenmaterial selbst zurückkaufen, so wie Continental etwa zwischen dem kürzlichen Offensive mit dieser Lockbit-Ransomware.

Einnisten nachdem Einbruch

Nachdem die Royal-Gangart in ein Netzwerk einbrechen konnte, zeugen sie weiter, wie nicht zuletzt von anderen Angriffen prominent: Sie verteilen etwa Cobalt Strike, um sich nachhaltig einzunisten. Weiter versuchen sie, an Zugangsdaten zu gelangen und sich schepp durchs Netzwerk zu in Bewegung setzen, um am Finale die Dateien zu verschlüsseln, erläutert dasjenige HHS. Ursprünglich nutzten die bösartigen Akteure verknüpfen Encryptor namens BlackCat, schwenkten inzwischen zwar gen Zeon um, dasjenige Lösegeldforderungstexte erstellt, die denen dieser Conti-Ransomware ähnelten.

Die Lösegeldforderungen lägen denn README.TXT vor und enthielten verknüpfen Link, dieser gen eine individuelle, private Verhandlungs-Webseite führe. Zeon wurde schließlich im September 2022 durch Royal ersetzt.

Schadsoftware-Finessen

Royal ist eine in Kohlenstoff++ programmierte 64-bittige Nutzung zu Händen Windows-Systeme. Die Ransomware löscht allesamt Schattenkopien, die verknüpfen Schnappschuss von Dateien enthalten und mit denen sich Dateien zurückführen ließen. Sie verschlüsselt allesamt erreichbaren Netzwerkfreigaben, die im lokalen Netzwerk und gen dem lokalen Rechner zu finden sind. Die Verschlüsselung setzt gen den AES-Algortihmus, dieser SChlüssel und Initialisierungsvektor legt die Schadsoftware mit in dieser ausführbaren File hardkodiertem öffentlichen RSA-Schlüssel verschlüsselt ab.

Die Schadsoftware kann je nachdem Dateigröße und ggf. einem Übergabeparameter Dateien nur zum Teil verschlüsseln. Nachdem dieser Verschlüsselung verpasst sie dieser File die Kasusendung .royal. Mehrere Akteure hätten die Royal-Schadsoftware verteilt, zwar nicht zuletzt eine Cybergang, die Microsoft denn DEV-0569 bezeichnet. Selbige Haufen liefere die Schadsoftware mit menschlich gesteuerten Angriffen anstatt unbewusst aus und setze gen neue Techniken, Auweichmanöver und andere Schadsoftware nachdem dieser Kompromittierung. So nutzte sie niederträchtig manipulierte Werbung (Malvertising), Phishingmails, gefälschte Foren und Weblog-Kommentare. Microsoft habe derartiges Malvertising in Google Ads beobachtet. Zudem missbrauchte die Haufen ein Kontaktforum einer Organisation, womit sie E-Mail-Nachricht-Schutzmaßnahmen umgehen konnte und platzierte niederträchtig manipulierte Installationsdateien gen legitim aussehenden Softwareseiten und Repositorien.

Dasjenige HSH schließt seine Warnung damit, dass es sich zwischen Royal um eine neuere Ransomware handele, mehr als die im Vergleich zu anderen derartigen Schädlingen noch wenig prominent sei. Die bisherigen Infektionen mit Royal im Gesundheitswesen seien vorrangig gen Einrichtungen in den USA fokussiert gewesen. Für allen Vorfällen hätten die Hintermann behauptet, 100 v. H. dieser Datenmaterial, die zwischen den Opfern ausgeschleust wurden, veröffentlicht zu nach sich ziehen.

Ransomware-Angriffe sind im Gesundheitswesen leider nicht neu und nicht zuletzt nicht ungewöhnlich. Vergangene Woche wurde ein Krankenhaus in Versailles so stark von einem Ransomware-Offensive getroffen, dass nicht nur Operationen abgesagt, sondern sogar Patienten in andere Krankenhäuser verlegt werden mussten, um deren Versorgung sicherzustellen.

Vor rund zwei Wochen fiel dasjenige Klinikum Lippe einer Cyber-Attacke zum Todesopfer und konnte nachdem “intensiven Verhandlungen” an die nötigen Informationen zur Entschlüsselung von beim Offensive verschlüsselter Datenmaterial gelangen^. Zur Erkennung von Cobalt Strike Beacons gab es kürzlich ein Update zu Händen Desinfec’t, dasjenige dasjenige Ausforschen solcher Hintertüren ermöglicht.

(dmk)