{"id":222182,"date":"2019-08-30T12:35:50","date_gmt":"2019-08-30T10:35:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=222182"},"modified":"2019-08-30T12:35:50","modified_gmt":"2019-08-30T10:35:50","slug":"ransomware-legt-zahnarzt-praxen-in-den-usa-lahm","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/30\/ransomware-legt-zahnarzt-praxen-in-den-usa-lahm\/","title":{"rendered":"Ransomware legt Zahnarzt-Praxen in den USA lahm"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>In den USA wurden die Tage hunderte an Zahnarzt-Praxen durch Ransomware lahm gelegt. Die Angreifer hatten zentrale Dienstleister gehackt und konnten so die Systeme der Praxen mit Ransomware infizieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/66413196ee6d43e9812c681b37319b3c\" width=\"1\" height=\"1\"\/>Die Geschichte, die von <a href=\"https:\/\/www.zdnet.com\/article\/ransomware-hits-hundreds-of-dentist-offices-in-the-us\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet.com aufgegriffen<\/a> wurde, hat dabei eine besondere Note, wie der nachfolgende Tweet signalisiert. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Supply chain hack leads to mass ransomware &#8211; and the attackers being paid because obviously nobody has backups. <a href=\"https:\/\/t.co\/DWRY9PxzE9\">https:\/\/t.co\/DWRY9PxzE9<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1167371624070492161?ref_src=twsrc%5Etfw\">August 30, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Denn der Angriff ist ein weiterer Fall von Cyber-Kriminellen, die einen Softwareanbieter kompromittieren und mit seinem Produkt Ransomware auf den Systemen der Kunden verteilen. <\/p>\n<h2>Zwei Infrastrukturanbieter nutzen DDS Safe<\/h2>\n<p>In diesem Fall wurden zwei Softwareanbieter The Digital Dental Record und PerCSoft angegriffen. Beide Softwareanbieter sind in Wisconsin ans\u00e4ssig und haben mit dem Anbieter DDS Safe zusammengearbeitet.<\/p>\n<p><img decoding=\"async\" title=\"DDS Safe\" alt=\"DDS Safe\" src=\"https:\/\/i.imgur.com\/qAWkYMm.jpg\"\/><\/p>\n<p>Bei DDS Safe handelt es sich um eine L\u00f6sung zur Aufbewahrung und Sicherung von medizinischen Unterlagen, die in Zahnarztpraxen in den USA beworben wird. Ich habe mal einen Screenshot der Webseite hier mit eingebunden. Die Werbebotschaft: Mit dem Anbieter bzw. der L\u00f6sung kann man sich vor Ransomware sch\u00fctzen, weil die die Daten sichern. Und nun nimmt das Ganze Slap-Stick-Dimensionen an. <\/p>\n<h2>Infrastruktur gehackt<\/h2>\n<p>Am vergangenen Wochenende gelang es einer Hackergruppe die Infrastruktur hinter dieser DDS Safe-Software (wohl bei beiden Softwareanbietern) zu kompromittieren. Damit gelang es den Cyber-Kriminellen die REvil (Sodinokibi) Ransomware auf Computern in Hunderten von Zahnarztpraxen in den USA zu verteilen.<\/p>\n<h2>Ab Montag ging nix mehr<\/h2>\n<p>Als die Zahn\u00e4rzte am Montag die Arbeit aufnehmen wollten, stellen sie fest, dass sie keinen Zugang mehr zu Patienteninformationen hatten. Eine von der Ransomware betroffene Quelle teilt ZDNet mit, dass sich die beiden oben genannten Unternehmen f\u00fcr die Zahlung der L\u00f6segeldforderung entschieden haben. Die Digital Dental Record und PerCSoft teilen sich seit Montag einen Decrypter mit den betroffenen Zahnarztpraxen und helfen diesen bei der Wiederherstellung verschl\u00fcsselter Dateien.<\/p>\n<p>Da die Zahn\u00e4rzte keine Backups hatten \u2013 DDS Safe wirbt ja damit, die Daten f\u00fcr seine Kunden sicher aufzubewahren, versuchten die Praxen mit den Decryptern zu arbeiten. Der Wiederherstellungsprozess verlief aber z\u00e4h, da die meisten Ransomware-Wiederherstellungsvorg\u00e4nge tendenziell langsam sind. Einige Zahnarztpraxen gaben in einer Facebook-Gruppe an, der Decrypter entweder nicht funktioniert hat oder nicht alle ihre Daten wiederherstellen konnte. <\/p>\n<h2>Nicht das erste Mal<\/h2>\n<p>Der ZDNet-Artikel <a href=\"https:\/\/www.zdnet.com\/article\/ransomware-hits-hundreds-of-dentist-offices-in-the-us\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet<\/a>, dass dies nicht der erste Fall sei, bei dem ein Dienstleister gehackt und dessen Kunden in Mitleidenschaft gezogen wurden. Ich hatte im Juni 2019 im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/26\/managed-service-providern-msp-gehackt-ransomware-an-kunden-verteilt\/\">Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt<\/a> von einem solchen Fall berichtet. Auch dort hat der Provider gezahlt, um die Daten zu entschl\u00fcsseln (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/05\/msp-zahlt-nach-ransomware-befall\/\">MSP zahlt nach Ransomware-Befall<\/a>). <\/p>\n<p>ZDNet f\u00fchrt zudem wohl den von mir im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/08\/19\/texas-ber-20-verwaltungen-per-ransomware-angegriffen\/\">Texas: \u00dcber 20 Verwaltungen per Ransomware angegriffen<\/a> beschriebenen zweiten Fall an, wo auch eine Infrastruktur eines zentralen Anbieters gehackt wurde. <\/p>\n<p>Das Ganze zeigt die Risiken auf, die man mit zentralen Dienstleistern eingeht. Einerseits erm\u00f6glicht eine solche L\u00f6sung Aufgaben auszulagern und zu delegieren. Wenn dieser Dienstleister aber ausf\u00e4llt, geht nix mehr (habe ich heute Morgen bei einem Facharzt erlebt, wo das Netzwerk der Praxis einen Fehler brachte und nix mehr ging \u2013 war in einem \u00c4rztezentrum, wo einige Praxen betroffen waren, sinnigerweise l\u00e4uft noch alles mit Windows 7). F\u00fcr Cyber-Kriminelle sind solche Supply-Chain-Angriffe, wenn sie erfolgreich sind, nat\u00fcrlich sehr attraktiv. Dann k\u00f6nnen auf einen Rutsch gleich sehr viele Nutzer infiziert werden. Nachfolgend findet sich eine Auswahl an Beitr\u00e4gen zu \u00e4hnlichen F\u00e4llen, die ich hier im Blog abgehandelt habe. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong> <br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/06\/26\/managed-service-providern-msp-gehackt-ransomware-an-kunden-verteilt\/\">Managed Service Provider (MSP) gehackt, Ransomware an Kunden verteilt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/08\/19\/texas-ber-20-verwaltungen-per-ransomware-angegriffen\/\">Texas: \u00dcber 20 Verwaltungen per Ransomware angegriffen<\/a>&nbsp;<br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/05\/19\/neuer-asus-hack-ber-webstorage-cloud-speicherdienst\/\">Neuer ASUS-Hack \u00fcber WebStorage-Cloud Speicherdienst<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/05\/18\/cyber-angriff-auf-teamviewer-chinesen-im-verdacht\/\">Cyber-Angriff auf TeamViewer, Chinesen im Verdacht<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/29\/hack-des-docker-hubs-190-000-betroffene-konten\/\">Hack des Docker-Hubs \u2013 190.000 betroffene Konten<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/17\/indischer-outsourcing-gigant-wipro-gehackt\/\">Indischer Outsourcing-Gigant Wipro gehackt?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/03\/25\/shadowhammer-asus-live-update-mit-backdoor-infiziert\/\">ShadowHammer: ASUS Live Update mit Backdoor infiziert<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/09\/shadowhammer-hacker-zielten-auch-auf-spiele-entwickler\/\">ShadowHammer-Hacker zielten auch auf Spiele-Entwickler<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/30\/wannacry-clone-ransomware-befllt-systeme-in-der-ukraine\/\">WannaCry Clone Ransomware bef\u00e4llt Systeme in der Ukraine<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/12\/28\/wordpress-backdoor-in-3-plugins-entdeckt-28-12-2017\/\">WordPress: Neue Backdoor in 3 Plugins entdeckt (28.12.2017)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In den USA wurden die Tage hunderte an Zahnarzt-Praxen durch Ransomware lahm gelegt. Die Angreifer hatten zentrale Dienstleister gehackt und konnten so die Systeme der Praxen mit Ransomware infizieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-222182","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222182"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222182\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}