In den USA wurden die Tage hunderte an Zahnarzt-Praxen durch Ransomware lahm gelegt. Die Angreifer hatten zentrale Dienstleister gehackt und konnten so die Systeme der Praxen mit Ransomware infizieren.
Anzeige
Die Geschichte, die von ZDNet.com aufgegriffen wurde, hat dabei eine besondere Note, wie der nachfolgende Tweet signalisiert.
Supply chain hack leads to mass ransomware – and the attackers being paid because obviously nobody has backups. https://t.co/DWRY9PxzE9
— Kevin Beaumont (@GossiTheDog) August 30, 2019
Denn der Angriff ist ein weiterer Fall von Cyber-Kriminellen, die einen Softwareanbieter kompromittieren und mit seinem Produkt Ransomware auf den Systemen der Kunden verteilen.
Zwei Infrastrukturanbieter nutzen DDS Safe
In diesem Fall wurden zwei Softwareanbieter The Digital Dental Record und PerCSoft angegriffen. Beide Softwareanbieter sind in Wisconsin ansässig und haben mit dem Anbieter DDS Safe zusammengearbeitet.
Anzeige
Bei DDS Safe handelt es sich um eine Lösung zur Aufbewahrung und Sicherung von medizinischen Unterlagen, die in Zahnarztpraxen in den USA beworben wird. Ich habe mal einen Screenshot der Webseite hier mit eingebunden. Die Werbebotschaft: Mit dem Anbieter bzw. der Lösung kann man sich vor Ransomware schützen, weil die die Daten sichern. Und nun nimmt das Ganze Slap-Stick-Dimensionen an.
Infrastruktur gehackt
Am vergangenen Wochenende gelang es einer Hackergruppe die Infrastruktur hinter dieser DDS Safe-Software (wohl bei beiden Softwareanbietern) zu kompromittieren. Damit gelang es den Cyber-Kriminellen die REvil (Sodinokibi) Ransomware auf Computern in Hunderten von Zahnarztpraxen in den USA zu verteilen.
Ab Montag ging nix mehr
Als die Zahnärzte am Montag die Arbeit aufnehmen wollten, stellen sie fest, dass sie keinen Zugang mehr zu Patienteninformationen hatten. Eine von der Ransomware betroffene Quelle teilt ZDNet mit, dass sich die beiden oben genannten Unternehmen für die Zahlung der Lösegeldforderung entschieden haben. Die Digital Dental Record und PerCSoft teilen sich seit Montag einen Decrypter mit den betroffenen Zahnarztpraxen und helfen diesen bei der Wiederherstellung verschlüsselter Dateien.
Da die Zahnärzte keine Backups hatten – DDS Safe wirbt ja damit, die Daten für seine Kunden sicher aufzubewahren, versuchten die Praxen mit den Decryptern zu arbeiten. Der Wiederherstellungsprozess verlief aber zäh, da die meisten Ransomware-Wiederherstellungsvorgänge tendenziell langsam sind. Einige Zahnarztpraxen gaben in einer Facebook-Gruppe an, der Decrypter entweder nicht funktioniert hat oder nicht alle ihre Daten wiederherstellen konnte.
Nicht das erste Mal
Der ZDNet-Artikel berichtet, dass dies nicht der erste Fall sei, bei dem ein Dienstleister gehackt und dessen Kunden in Mitleidenschaft gezogen wurden. Ich hatte im Juni 2019 im Artikel Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt von einem solchen Fall berichtet. Auch dort hat der Provider gezahlt, um die Daten zu entschlüsseln (siehe MSP zahlt nach Ransomware-Befall).
ZDNet führt zudem wohl den von mir im Blog-Beitrag Texas: Über 20 Verwaltungen per Ransomware angegriffen beschriebenen zweiten Fall an, wo auch eine Infrastruktur eines zentralen Anbieters gehackt wurde.
Das Ganze zeigt die Risiken auf, die man mit zentralen Dienstleistern eingeht. Einerseits ermöglicht eine solche Lösung Aufgaben auszulagern und zu delegieren. Wenn dieser Dienstleister aber ausfällt, geht nix mehr (habe ich heute Morgen bei einem Facharzt erlebt, wo das Netzwerk der Praxis einen Fehler brachte und nix mehr ging – war in einem Ärztezentrum, wo einige Praxen betroffen waren, sinnigerweise läuft noch alles mit Windows 7). Für Cyber-Kriminelle sind solche Supply-Chain-Angriffe, wenn sie erfolgreich sind, natürlich sehr attraktiv. Dann können auf einen Rutsch gleich sehr viele Nutzer infiziert werden. Nachfolgend findet sich eine Auswahl an Beiträgen zu ähnlichen Fällen, die ich hier im Blog abgehandelt habe.
Ähnliche Artikel:
Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt
Texas: Über 20 Verwaltungen per Ransomware angegriffen
Neuer ASUS-Hack über WebStorage-Cloud Speicherdienst
Cyber-Angriff auf TeamViewer, Chinesen im Verdacht
Hack des Docker-Hubs – 190.000 betroffene Konten
Indischer Outsourcing-Gigant Wipro gehackt?
ShadowHammer: ASUS Live Update mit Backdoor infiziert
ShadowHammer-Hacker zielten auch auf Spiele-Entwickler
Achtung: Petya Ransomware befällt weltweit Systeme
WannaCry Clone Ransomware befällt Systeme in der Ukraine
WordPress: Neue Backdoor in 3 Plugins entdeckt (28.12.2017)
Anzeige
Die Hacker finden schon raus, wo was zu holen ist und der Aufwand lohnt. Angriffe dieser Art und Vorgehensweise nehmen beständig zu.
Da bekommen wir eine Vorstellung davon, was hier in D abgeht, wenn die eGK flächendeckend eingeführt ist und die Daten der Patienten von vielen Dienstleistern der Ärzte, Krankenhäuser und Therapeuten in der Cloud und/oder gar auf dem Smartphone verwaltet und genutzt werden.
Gleiches gilt für Digitale Verwaltungen quer Beet.
Die Hacker werden nichts unversucht lassen, um da ran zu kommen.
..und in einer bedeutenden Provinz in China fiel gestern auch noch ein Sack Reis um.
Wie schlimm es auf der Welt wirklich ist, ahnen nur die wirklichen Experten-
(Das Born z.B.) !