Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt

Mitte Juli 2019 kam es zu einem Ransomware-Befall in diversen DRK-Einrichtungen in Rheinland-Pfalz. Nun ist zumindest das Einfallstor, ob das die Ransomware in den Systemen verbreitet wurden, bekannt.


Anzeige

Der Ransomware-Befall in den DRK-Krankenhäusern

Mitte Juli 2019 kam es in Einrichtungen, die die DRK Trägergesellschaft Süd-West betreibt, zu einem Ransomware-Befall der IT-System. Die DRK Trägergesellschaft Süd-West betreibt laut dieser Webseite zur Zeit 11 Krankenhäuser an dreizehn Standorten und vier Altenpflegeeinrichtungen. Die Einrichtungen verteilen sich auf die Bundesländer Rheinland-Pfalz und Saarland.

Laut Betreiber wurde der Befall am 16. Juni 2019 am frühen Morgen um 6.30 Uhr bemerkt. Küchenmitarbeiter im Krankenhaus Saarlouis konnten das IT-System nicht hochfahren und informierten den Leiter der IT. Es stellte sich schnell heraus, dass das komplette Netzwerk des DRK-Verbundes von einer Schadsoftware befallen war, die Server und Datenbanken verschlüsselt. Daraufhin seien am Sonntagnachmittag die Server aus Sicherheitsgründen vom Netz genommen, worden, so die DRK Trägergesellschaft.

Ich hatte im Blog-Beitrag Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm über den Vorfall berichtet. Bekannt wurde damals, dass die Infektion der IT-Infrastruktur über einen Domain Controller des Verbunds erfolgte, der durch die Ransomware angegriffen wurde. In der Folge waren alle elf Kliniken und vier Altenpflegeeinrichtungen unter dem Dach der Trägergesellschaft in Rheinland-Pfalz und im Saarland betroffen. Die gesamten IT-Systeme wurden dann außer Betrieb genommen.

Altes Dienste-Konto für Angriff genutzt

Nun wurde in einer des Landtags in Mainz  bekannt, wie die Ransomware über einen erfolgreichen Angriff des Domain Controllers verteilt werden konnte. Dieses Medium und heise berichten, dass 'ein vor zehn Jahren angelegtes "altes Dienstkonto" nach Behördenangaben die entscheidende Schwachstelle des Cyber-Angriffs auf elf Kliniken in Rheinland-Pfalz war.


Anzeige

Dieses Dienstkonto sei zwei Tage nach dem Angriff vom 14. Juli identifiziert und deaktiviert worden, so Gesundheitsministerin Sabine Bätzing-Lichtenthäler (SPD) am Donnerstag in einer Fragestunde des Landtags in Mainz. Mehr Informationen werden nicht gegeben – man kann aber zwischen den Zeilen lesen.

Meine Interpretation geht dahin, dass auf dem Domain Controller ein Konto zur Administration oder zum Starten von Diensten eingerichtet wurde und dann per Remote Desktop erreichbar war. Dieses Konto könnte nur unzureichend durch ein Passwort geschützt worden sein. Den Urhebern der Ransomware gelang es dann, möglicherweise durch einen Brute-Force-Angriff, sich Zugang zu diesem 'Dienste-Konto' zu verschaffen.

Dieses Konto wurde dann infiziert und danach auf inaktiv gesetzt. Ich vermute, dass sich dann die Infektion über dieses Konto des Domain Controllers auf die angeschlossenen Clients der betroffenen Einrichtungen ausbreitete.

Gesundheitsministerin Sabine Bätzing-Lichtenthäler fordert laut Presseberichten und hiere, auf Grund des erfolgreichen Angriffs, ein Sofortprogramm vom Bund für die IT-Sicherheit aller Krankenhäuser. Wie es ist, wenn die IT in einem Krankenhaus wegen eines Ransomware-Befalls heruntergefahren wird, hat ZEIT Online in diesem Artikel beschrieben.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt

  1. RUTZ-AhA sagt:

    "ein vor zehn Jahren angelegtes "altes Dienstkonto"… dazu ein schlechtes Passwort….

    hört sich an, als hätte es gelöscht werden müssen, weil es nicht mehr benötigt wurde.
    Der betreffende Mitarbeiter war vielleicht schon in Rente und ein Anderer hat seine Funktion übernommen.
    Üblicher Weise werden solch verschleiernde Redewendungen genutzt, um Unzulänglichkeiten zu kaschieren. Die IT-Verantwortlichen stehen dem Anschein nach nicht gut da, wenn sie den Angriff hätten verhindern können.
    Aber das sind ja nur Vermutungen.

  2. JohnRipper sagt:

    Sollte es sich wirklich um ein zehn Jahre altes Dienstekobto handeln, dann haben die wirklich mal mein Mitgleid.

    Gerade gewachsene Strukturen sind schwer abzusichern, hatte man vor zehn.. ach auch schon vor fünf Jahren noch nicht derartige Sorgen. Und wenn das dann noch minimal unsauber dokumentiert ist, wird es echt schwierig.

    Aber es zeigt sich: Active Directory, SSO ist echt wichtig, aber die gewonnene Zeit muss man dringend in Absicherung des Domain Controllers investieren und eben nicht einsparen. Am zentralen Autorisierungspunkt darf dann halt nix schiefgehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.