{"id":231399,"date":"2020-05-07T13:46:09","date_gmt":"2020-05-07T11:46:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231399"},"modified":"2023-06-18T08:21:59","modified_gmt":"2023-06-18T06:21:59","slug":"fresenius-vermutlich-opfer-eines-snake-ransomware-angriffs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/07\/fresenius-vermutlich-opfer-eines-snake-ransomware-angriffs\/","title":{"rendered":"Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/07\/fresenius-vermutlich-opfer-eines-snake-ransomware-angriffs\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Das Medizintechnik- und Gesundheitsunternehmen Fresenius ist Opfer eines Ransomware-Angriffs geworden. Meinen Informationen nach k\u00f6nnte es sich um die Snake-Ransomware handeln. In dessen Folge musste das Unternehmen die Produktion teilweise zur\u00fcckfahren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/492a86f176d34c6c8cf01dfc6c8dd8f5\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/de.wikipedia.org\/wiki\/Fresenius_(Unternehmen)\" target=\"_blank\" rel=\"noopener noreferrer\">Fresenius<\/a> ist ein als SE &amp; Co. KGaA organisiertes Medizintechnik- und Gesundheitsunternehmen mit Sitz im hessischen Bad Homburg vor der H\u00f6he. Es ist einer der gr\u00f6\u00dften privaten Krankenhausbetreiber Deutschlands sowie im Pharma- und Gesundheitsdienstleistungsbereich t\u00e4tig. Fresenius besch\u00e4ftigt weltweit 300.000 Mitarbeiter und ist mehrheitlich an dem Dialysespezialisten <a href=\"https:\/\/de.wikipedia.org\/wiki\/Fresenius_Medical_Care\" target=\"_blank\" rel=\"noopener noreferrer\">Fresenius Medical Care<\/a> beteiligt.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\" alt=\"KRITIS-Netzwerk\" \/><br \/>\n(Quelle: Pexels Markus Spiske CC0 Lizenz)<\/p>\n<h2>Ransomware-Angriff auf die IT<\/h2>\n<p>Bereits am 6. Mai 2020 wurde bekannt, dass Fresenius Opfer eines Ransomware-Angriffs wurde.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\"><a href=\"https:\/\/twitter.com\/hashtag\/COVID19?src=hash&amp;ref_src=twsrc%5Etfw\">#COVID19<\/a> Normalisierung auch bei Erpressungstrojanern. Eigentlich wollten die Kriminellen die Hersteller von lebenswichtigen Medizinprodukten verschonen. Der Fresenius Hack zeigt, das gilt nicht mehr. <a href=\"https:\/\/t.co\/ov5NMhxToH\">https:\/\/t.co\/ov5NMhxToH<\/a><\/p>\n<p>\u2014 Bernd Sch\u00f6ne (@schoenetexte) <a href=\"https:\/\/twitter.com\/schoenetexte\/status\/1258240697582452742?ref_src=twsrc%5Etfw\">May 7, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ich hatte es bereits im <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Malware-Infektionen-Fresenius-schraenkt-Produktion-voruebergehend-ein-4715856.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise-Newsticker<\/a> gesehen, wo es hei\u00dft, dass das Gesundheits- und Medizintechnikunternehmen Fresenius '<em>nach eigenen Angaben Infektionen mit nicht n\u00e4her bezeichneter Schadsoftware auf Unternehmensrechnern festgestellt habe<\/em>'. Die IT-Experten des Unternehmens versuchen sich der L\u00f6sung des Problems beziehungsweise an der Bereinigung der Systeme.<\/p>\n<h3>Produktion beeintr\u00e4chtigt, Klinikbetrieb nicht gef\u00e4hrdet<\/h3>\n<p>Ein Unternehmenssprecher teilte heise mit, '<em>dass gem\u00e4\u00df eines intern erarbeiteten Sicherheitsprotokolls Schritte eingeleitet, die eine weitere Ausbreitung vermeiden sollen<\/em>.' Dies sei mit gewissen Einschr\u00e4nkungen in der Produktion verbunden. Laut Unternehmenssprecher sei die Versorgung der Patientinnen und Patienten in den Krankenh\u00e4usern und Dialyseeinrichtungen des Unternehmens Fresenius \"jederzeit gew\u00e4hrleistet\".<\/p>\n<h3>Tochtergesellschaft Fresenius Kabi mit Snake-Ransomware<\/h3>\n<p>Heise berichtet in seinem Beitrag, dass die hundertprozentige Tochtergesellschaft Fresenius Kabi an ihrem <a href=\"https:\/\/web.archive.org\/web\/20230326121701\/https:\/\/cmo.fresenius-kabi.com\/halden-norway\" target=\"_blank\" rel=\"noopener noreferrer\">norwegischen Standort Halden<\/a> von Schadsoftware in der IT befallen sei. Es wird dort von Ransomware gesprochen. Das wird auch in <a href=\"https:\/\/www.cyberscoop.com\/fresenius-health-care-cyberattack-coronavirus\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> best\u00e4tigt \u2013 der norwegische Artikel ist nicht frei abrufbar.<\/p>\n<p>Bei meinen Recherchen f\u00fcr diesen Artikel bin ich auf <a href=\"https:\/\/krebsonsecurity.com\/2020\/05\/europes-largest-private-hospital-operator-fresenius-hit-by-ransomware\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a> von Brian Krebs gesto\u00dfen. Krebs wurde am Dienstag von einem anonym bleiben wollenden Leser kontaktiert. Die Quelle berichtete Krebs, dass ein Verwandter f\u00fcr die US-Niederlassungen von Fresenius Kabi arbeitet. Diese Person habe berichtet, dass Computer im Geb\u00e4ude seiner Firma vom Netzwerk getrennt worden seien und dass ein Cyber-Angriff jeden Teil der weltweiten Gesch\u00e4ftst\u00e4tigkeit des Unternehmens betroffen habe.<\/p>\n<p>Die Quelle benannte die Snake-Ransomware als Urheber der Infektion. Das deckt sich mit den Aussagen eines Sicherheitsforschers in <a href=\"https:\/\/twitter.com\/VK_Intel\/status\/1258075372261986311\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a>. Die Ransomware wurde erstmals Anfang Januar 2020 beschrieben, wie ich in <a href=\"https:\/\/web.archive.org\/web\/20210613091350\/https:\/\/www.mcafee.com\/enterprise\/de-de\/threat-center\/threat-landscape-dashboard\/ransomware-details.snake-ransomware.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem McAfee-Dokument<\/a> gelesen habe. Die Ransomware wird eingesetzt, um gro\u00dfe Unternehmen zu erpressen.<\/p>\n<p><strong>Addendum:<\/strong> Bleeping Computer hat diesen <a href=\"https:\/\/web.archive.org\/web\/20221108050103\/https:\/\/www.bleepingcomputer.com\/news\/security\/large-scale-snake-ransomware-campaign-targets-healthcare-more\/\" target=\"_blank\" rel=\"noopener noreferrer\">Artikel<\/a> ver\u00f6ffentlicht. Dieser besagt, dass umfangreiche Snake Ransomware-Kampagnen gegen Institutionen im Gesundheitsbereich gefahren werden.<\/p>\n<p><strong>Addenum 2:<\/strong> Interessant ist <a href=\"https:\/\/twitter.com\/bad_packets\/status\/1259539889478963200\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Tweet<\/a>, der auf eine Schwachstelle bei Fresenius in 2019 hinweist.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/t.co\/xtZK3MKAUF\">https:\/\/t.co\/xtZK3MKAUF<\/a> was vulnerable to CVE-2019-11510 between April 25, 2019 and November 4, 2019.<\/p>\n<p>This arbitrary file reading vulnerability allows sensitive information disclosure enabling unauthenticated attackers to access private keys and user passwords. <a href=\"https:\/\/t.co\/okdY8GlYxC\">https:\/\/t.co\/okdY8GlYxC<\/a><\/p>\n<p>\u2014 Bad Packets Report (@bad_packets) <a href=\"https:\/\/twitter.com\/bad_packets\/status\/1259539889478963200?ref_src=twsrc%5Etfw\">May 10, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das Medizintechnik- und Gesundheitsunternehmen Fresenius ist Opfer eines Ransomware-Angriffs geworden. Meinen Informationen nach k\u00f6nnte es sich um die Snake-Ransomware handeln. In dessen Folge musste das Unternehmen die Produktion teilweise zur\u00fcckfahren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4715,4328],"class_list":["post-231399","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231399","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231399"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231399\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231399"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231399"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231399"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}