Aktuell sind mehrere Klinken des DRK-Trägergesellschaft Süd-West in Mainz, Alzey, Worms und Bad Kreuznach etc. durch einen Ransomware-Befehl faktisch lahm gelegt. Die Abläufe werden mit Papier und Kugelschreiber bzw. Bleistift dokumentiert, da die IT weitgehend steht.
Anzeige
Die DRK Trägergesellschaft Süd-West betreibt laut dieser Webseite zur Zeit 11 Krankenhäuser an dreizehn Standorten und vier Altenpflegeeinrichtungen. Die Einrichtungen verteilen sich auf die Bundesländer Rheinland-Pfalz und Saarland. Hier versorgen unsere insgesamt rund 4.200 Beschäftigten über 80.000 Patientinnen und Patienten im Jahr.
Kliniken der DRK Trägergesellschaft Süd-West betroffen
Die ersten Presseberichte zu einem Ransomware-Befall in den Krankenhäusern wurden von Medien wie der Saarbrücker Zeitung am 17. Juli 2019 gebracht. Laut diesem Medium sind auch das DRK-Krankenhaus in der Vaubanstraße in Saarlouis sowie die DRK-Klinik Mettlach für Geriatrie und Rehabilitation in der Saaruferstraße in Mettlach betroffen. Letztendlich sind aber alle Kliniken und Einrichtungen der DRK Trägergesellschaft Süd-West in den Bundesländern Rheinland-Pfalz und dem Saarland betroffen.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Befall am Sonntag Morgen bemerkt
Anzeige
Der Geschäftsführer der Trägergesellschaft, Bernd Decker, sagte, dass der Befall mit einem Virus am Sonntag morgen gegen 6.30 Uhr bemerkt worden sei. Küchenmitarbeiter im Krankenhaus Saarlouis konnten das IT-System nicht hochfahren und informierten den Leiter der IT.
Es stellte sich schnell heraus, dass das komplette Netzwerk des DRK-Verbundes von einer Schadsoftware befallen war, die Server und Datenbanken verschlüsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgründen vom Netz genommen, worden, so die DRK Trägergesellschaft. Ziel war es, die Systeme auf einen Befall zu überprüfen und zu verhindern, dass sich die Schadsoftware weiter ausbreitet.
Domain-Controller von Windows betroffen
Bei heise, die das Thema aufgegriffen haben, schreibt man, dass der Domain Controller des Verbunds durch die Ransomware angegriffen wurde. In der Folge waren alle elf Kliniken und vier Altenpflegeeinrichtungen unter dem Dach der Trägergesellschaft in Rheinland-Pfalz und im Saarland betroffen.
Bei diesen Einrichtungen wurde durch das Herunterfahren der Systeme sowohl E-Mail als auch Internetzugang gekappt. Alle Einrichtungen waren nur per Telefon und Fax erreichbar. Die Verwaltungsvorgänge mussten, auch in den Kliniken, wieder mit Bleistift und Papier durchgeführt werden. Decker sagte, dass die Aufnahme der Patienten oder Befunde von Laboruntersuchungen inzwischen mit Bleistift, Kugelschreiber und Papier vorgenommen würden. Laut Geschäftsführer Decker gibt es aber 'keine Hinweise darauf, dass Patientendaten abgegriffen worden seien'. Auch medizinische Geräte sollen nicht betroffen sei. Die Staatsanwaltschaft Koblenz und das Landeskriminalamt (LKA) sind eingeschaltet.
Eine Lösegeldforderung der Ransomware ist nicht bekannt. Auch wurde der Typ der Schadsoftware nicht genannt. Dieser Meldung zufolge ist die Schwachstelle identifiziert. Laut heise begann die IT der DRK Trägergesellschaft Süd-West am gestrigen Mittwoch wieder damit, die Systeme hochzufahren. Bereits Dienstag ging die Klinik in Neuwied wieder testweise ans Netz. Nachdem dort keine Probleme mehr auftraten, hofft man, dass das System clean sei (die Aussage möchte ich jetzt nicht kommentieren). Am Donnerstag will man damit beginnen, weitere Häuser wieder an die IT-Struktur des Verbunds anzuschalten. Das ist nicht der erste Ransomware-Angriff auf Kliniken, wie die nachfolgenden Artikel zeigen.
Ähnliche Artikel:
Ransome-Malware legt Klinikbetrieb lahm
Virusinfektion legt britische Kliniken lahm
Hollywood-Klinik nach Ransomware-Angriff offline
Hacks of the day: Seitensprung-Portal und Klinikdaten
Singapurs größter Gesundheitskonzern gehackt
WannaCry: Die Gefahr ist noch nicht gebannt
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Anzeige
Zitat:
"Nachdem dort keine Probleme mehr auftraten, hofft man, dass das System clean sei (die Aussage möchte ich jetzt nicht kommentieren)."
Ja genau, da fällt einem nix mehr zu ein 😥. Ist schon ein Armutszeugnis.
Wenn so grosse Einrichtungen schon Probleme haben, wie soll sich ein ein kleiner Betrieb gegen so etwas schützen?
Es ist leider so, dass es trotz ALLER Warnungen immer noch Mitarbeiter gibt, die aus NEUGIER verdächtige E-Mails öffnen. Oder im Web andere gefährliche Dinge tun.
Es gibt immer eine Schwachstelle.
Wie kann ich sicher erkennen, ob jemand mein System gehackt hat? Und zwar zu einem Zeitpunkt, wo noch keine Verschlüsselung erfolgte, sondern lediglich das System ausspioniert wird?
Diese Aufgabe ist nicht so trivial, wie manche Kommentatoren glauben.
"Wenn so grosse Einrichtungen schon Probleme haben, wie soll sich ein ein kleiner Betrieb gegen so etwas schützen?"
Indem man einfach keine viren-/trojaneranfällige (=Windows) Infrastruktur verwendet?
Es ist die Quelle wohl offen.
Ansonten würde diese offengelegt. Alle sandere ist sinnlos.
Ja scheiße wenn der Domain Controller umgedreht wird.
Dann hat man meist verloren.
Wichtig es ist gerade die DC bestmöglich zu sichern, merkt man oft aber leider erst wenn es zu spät ist.
Wieso muss das IT-System hochgefahren werden?
Normalerweise sollte das 24/7 laufen.
Das Hauptproblem ist die Ausführungsberechtigung in Ordnern, wo ein User Schreibrechte hat.
Besser wäre es die Ausführungsberechtigung für solche Ordner zu entfernen.
Ausführungsberechtigung nur für den Programmordner zulassen und dort die Schreibrechte entziehen.
Selbst wenn man sich dann einen Schädling einfängt (runterlädt), dann liegt der nur irgendwo tot rum und kann nicht gestartet werden.
Das geht mit Apploacker oder SAFER oder Restric'tor
*_SAFER.INF konfiguriert Windows so, daß Benutzer (also Nicht-Administratoren) Programme nur dort ausführen dürfen, wo sie keine Schreibrechte haben. Ein Benutzer kann somit ein Schadprogramm nicht zur Ausführung bringen, selbst wenn er wollte – wo er es ablegen kann, darf er es nicht ausführen, und wo er es ausführen dürfte, darf er es nicht ablegen.
http://schneegans.de/computer/safer/
https://skanthak.homepage.t-online.de/SAFER.html
Restric'tor
https://www.heise.de/ct/artikel/Restric-tor-Profi-Schutz-fuer-jedes-Windows-3690890.html
In Linux ist dieses Sicherheitsfeature standardmäßig aktiv.
Noch besser ist eine Whitelist mit hash-Überprüfung der startfähigen Programme.
Alle Programme, deren hash nicht in der whitelist drin steht, können nicht gestartet werden.
Danke für die Ergänzung. Die von dir genannten Stichworte stehen auch noch auf meiner Agenda für 'Windows 7 zum Supporende härten und abgespeckt in VMs laufen lassen'
Sehr interessant!
Darauf bin ich sehr gespannt da ich dazu nur sehr wenig Erfahrung/Wissen habe…
Ich freue mich darau!
Auch ich warte mit großer Spannung auf diesen Artikel,
da ich mich dazu entschlossen habe, auch nach dem
Supportende weiterhin ausschließlich mit Windows 7 zu
arbeiten. Was Anderes kommt für mich nicht in Frage,
auch kein Linux.
1. Restric'tor ist UNSICHERER Sondermüll: in Standardinstallationen von Windows erlaubt es ganz trivial das Ausführen beliebigen Codes mit Administratorrechten; zudem sind die damit erzeugten SRPs unvollständig, es bleiben mehrere Dutzend wohlbekannte Pfade OHNE Schutz.
2. "In Linux ist dieses Sicherheitsfeature standardmäßig aktiv."
AUTSCH!
Eine mit SAFER oder AppLocker vergleichbare Funktion ist dort NICHT aktiv!
Unter UNIX werden Dateien (im Gegensatz zu Windows) standardmäßig nur ohne "x"-Permission angelegt; ein folgendes "chmod +x …" ändert das.
Unter Windows NT 3.5 aufwärts kann das jeder Benutzer selbst nachrüsten, indem er der NTFS-ACL von %USERPROFILE% die NTFS-ACE (D;OIIO;WP;;;WD) alias "verbiete Ausführen von Dateien in diesem Verzeichnis für JEDER, vererbbar auf Dateien in allen Unterverzeichnissen" hinzufügt.
Vielen Dank für die Infos, man lernt halt nie aus.
Zitat:
in Standardinstallationen von Windows erlaubt es ganz trivial das Ausführen beliebigen Codes mit Administratorrechten
Gilt das auch, wenn UAC auf höchster Stufe steht und man nur den Standardbenutzer (also kein Admin-Konto) benutzt?
Kennst du auch eine Maßnahme gegen Dropper, die sich gar nicht auf die Festplatte schreiben wollen, sondern nur im RAM laufen?
Kennst du einen Weg, wie man SAFER in Linux nachbilden kann?
Kann man chmod +x unterbinden, so dass sich Schädlinge keine Ausführungeberechtigung verschaffen können?
"Kennst du einen Weg, wie man SAFER in Linux nachbilden kann?
Kann man chmod +x unterbinden, so dass sich Schädlinge keine Ausführungeberechtigung verschaffen können?"
Kommt darauf an, wie das System partitioniert ist unter Linux. Normalerweise ist z.B. /home auf einer separaten Partition. Die kann man dann einfach mit der Mountoption "noexec" einhängen. Damit ist ein Ausführen von Dateien, die auf dieser Partition liegen, nicht mehr möglich. Beim /tmp und /dev wird das sowieso gemacht, bei Netzlaufwerken ist das ebenfalls ratsam.
Ansonsten kann man auch per ACL das x-Flag aus der Mask nehmen, dann kann man das auf Verzeichnisebene umsetzen. Ist auch vererbbar.
Es ist also weder ratsam noch nötig, sowas wie "SAFER" in Linux nachbilden zu wollen.
Hast du das wegen Restric'tor der c't (heise) schon mitgeteilt, dass die einige Pfade vergessen haben?
Solltest du machen, damit die den Fehler korrigieren können.
Mal generell, ich habe es oben gerade schon eingestellt. Das technische Geplänkel ist nicht zielführend.
DENN – Die einzige Frage ist doch:
WIE KAM DAS DING AUF DAS SYSTEM?
Das ist das Entscheidende!
Sehe ich anders.
Für mich hat ein Sicherheitssystem mehrere Stufen.
Klar versuche ich Schadsoftware draußen zu halten, aber das schaffe ich nicht, ohne das LAN Kabel abzustecken, WLAN abzuschalten und alle Ports zu sperren, was das System quasi unbrauchbar macht.
Aber es gehört auch dazu die Nutzer zu sensibilisieren.
Und auf der nächsten Stufe, deren Fehler oder böse Absichten bestmöglich zu korrigieren.
(Kein einfaches ausführen von irgendwelchen Programmen, die von irgendwo kommen…)
Last but not least: Backup
And finally: Offside Backup
Und zuletzt: zweites offside Backup/Langzeitarchivierung
Hash Freigaben ls Whitelist sind die Königsklasse.
Für den normalen Enduser wäre Applocker oder Software Restriction Policy (SRP) mE fast immer ausreichend.
SRP ist zudem ein Standardfunktion ab Pro