![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Speziell Gesundheitseinrichtungen stehen, auch w\u00e4hrend der momentanen Corona-Krise, im Fokus von Cyberangriffen. Mir ist vor einiger Zeit ein Dokument von Barracuda Networks zugegangen. welches die Anatomie eines Maze-Ransomware-Angriffs beschreibt.<\/p>\n
<\/p>\n
Bei Ausbruch der Coronavirus-Pandemie sah es kurzzeitig so aus, als ob einige Hackergruppen ihre Attacken auf IT-Infrastrukturen von Krankenh\u00e4usern, Pflegeheimen und sonstigen medizinische Einrichtungen ausgesetzt haben. Allerdings h\u00e4lt sich nicht jeder Cyberkriminelle daran. Gesundheitsorganisationen wie beispielsweise Krankenh\u00e4user werden mit Spear-Phishing- und Ransomware-Attacken \u00fcberh\u00e4uft. Hier im Blog habe ich ja regelm\u00e4\u00dfig Beitr\u00e4ge \u00fcber solche erfolgreichen Angriffe. <\/p>\n
![\"Arzt\"](\"https:\/\/i.imgur.com\/J3cUMGL.jpg\" "\\"Arzt\\"")
(Quelle: Pexels\/Pixabay CC0 Lizenz) <\/p>\n
Die h\u00e4ufig genutzte Maze Ransomware-Variante der gleichen Gruppe verschl\u00fcsselt nicht nur Daten, sondern exfiltriert sie auch. Ziel ist es, diese abgezogenen Daten f\u00fcr einen sp\u00e4teren Erpressungsversuch zu verwenden. Verweigert das Opfer die Zahlung von L\u00f6segeld, drohen die Kriminellen mit der Ver\u00f6ffentlichung dieser Daten. Dadurch sich
Gesundheitseinrichtungen wie etwa Kliniken in der gegenw\u00e4rtigen Krisensituation gleich mehrfach betroffen (aktuell erschwerte Bedingungen und zus\u00e4tzliche noch Cyberangriffe).<\/p>\n
Die Gesundheitsbranche ist seit Jahren ein beliebtes Ziel, da es f\u00fcr Cyber-Kriminelle mehrere M\u00f6glichkeiten gibt, einen erfolgreichen Angriff zu monetarisieren: <\/p>\n
Generell prognostiziert Cybersecurity Ventures, dass bis Ende 2021 alle 11 Sekunden<\/a> ein Unternehmen Opfer eines Ransomware-Angriffs sein wird. <\/p>\n Wo also kann eine Organisation, die sich gegen einen L\u00f6segeldangriff wehren will, ansetzen? Das beginnt bereits damit, einen m\u00f6glichen Angriff, der sich in mehrere Phasen gliedert, verstehen zu lernen. <\/p>\n 1. Lieferung:<\/b> B\u00f6sartiger Inhalt zur Auslieferung der Ransomware erreicht das Unternehmen. <\/p>\n 2. Infektion:<\/b> Der Ansteckungsherd wird freigesetzt und\/oder \u00fcber ein Endpunktger\u00e4t verbreitet. <\/p>\n 3. Genesung:<\/b> Wiederherstellung der Daten in den Zustand vor dem Angriff <\/p>\n Durch diese Aufschl\u00fcsselung l\u00e4sst sich jede Phase eingehender untersuchen, um mit der Entwicklung von Verteidigungsstrategien zur Abwehr eines Angriffs zu beginnen: <\/p>\n Dies ist der Moment, in dem die Ransomware zum ersten Mal in das Netzwerk gelangt. Zu diesem Zeitpunkt gibt es verschiedene \u00dcberlegungen: Die Art der Ransomware-Software und die von ihr verwendeten Bedrohungsvektoren.<\/p>\n Die Art der Ransomware<\/u><\/strong> Zur Abwehr dieser intelligenteren Art von Malware hilft Advanced Threat Protection (ATP), idealerweise eine ATP-L\u00f6sung, die die den Verkehr \u00fcber alle wichtigen Bedrohungsvektoren hinweg analysiert. <\/p>\n Die Bedrohungsvektoren von denen jeder ein Angriffspunkt sein kann<\/u><\/strong><\/p>\n Die zweite Phase beginnt, wenn der Ransomware-Prozess im Netzwerk ausgef\u00fchrt wird. In den meisten F\u00e4llen dringt ein Angreifer mit einem Phishing-Angriff in das Netzwerk ein, bei dem er sich als Autorit\u00e4tsperson ausgibt, um einen Mitarbeiter im Zielnetzwerk dazu zu bringen, unwissentlich einen E-Mail-Anhang mit der Malware zu \u00f6ffnen. H\u00e4ufig gibt der Hacker vor, ein Mitarbeiter der Personal- oder Finanzabteilung oder einer externen, der Organisation bekannten Stelle zu sein, wie etwa ein Dienstleister oder Lieferant. Sobald der Mitarbeiter den E-Mail-Anhang \u00f6ffnet, wird eine darin eingebettete Bedrohung ausgef\u00fchrt, die die Malware im Netzwerk freigibt. <\/p>\n Wenn ein Ransomware-Angriff innerhalb des Netzwerks erfolgreich war, liegt der Focus in der Schadenbegrenzung. Es geht um die Eind\u00e4mmung der Infektion, die S\u00e4uberung der Systeme und die Wiederherstellung der Daten. Erste Aufgabe ist es, die Verbreitung der Malware stoppen, sie aus dem Netzwerk entfernen, das Netzwerk auf weitere Malware pr\u00fcfen und die Endpunkt-Antivirus-L\u00f6sung zu testen. <\/p>\n Sobald das Netzwerk gr\u00fcndlich ges\u00e4ubert und resistent ist (sprich: Auch potentielle Schwachstellen sind identifiziert und beseitigt), sind Backups zur Wiederherstellung von Dateien einsetzbar. Um ab sofort effektiv zu sein, m\u00fcssen das Netzwerk und der Endpunktschutz auf dem neuesten Stand sein und einwandfrei funktionieren, damit keine infizierten Dateien versehentlich wiederhergestellt werden, und die Malware zu neuem Leben erwachen kann. <\/p>\n Die in dieser Phase erforderlichen Ma\u00dfnahmen sind je nach Organisation unterschiedlich. Zu den m\u00f6glichen Schritten geh\u00f6ren die Pr\u00fcfung von Datenprotokollen, die Befragung von Mitarbeitern, Vorher-Nachher-Vergleiche und die Bewertung vorhandener Disaster-Recovery-L\u00f6sungen. Wichtig ist, dass Management und IT zusammenarbeiten, um festzulegen, welche Ma\u00dfnahmen in der Wiederherstellungsphase nach der Infektion sinnvoll sind. <\/p>\n Gesundheitseinrichtungen werden auch weiterhin ein beliebtes Angriffsziel von Cyberkriminellen bleiben, aber sie m\u00fcssen nicht zwangsl\u00e4ufig Opfer sein. Die richtigen Systeme und Prozesse sowie eine robuste Backup- und Wiederherstellungsl\u00f6sung stellen sicher, dass selbst im schlimmsten Fall, berechtigte Hoffnungen auf baldige Genesung besteht. <\/p>\n \u00c4hnliche Artikel:<\/strong> Speziell Gesundheitseinrichtungen stehen, auch w\u00e4hrend der momentanen Corona-Krise, im Fokus von Cyberangriffen. Mir ist vor einiger Zeit ein Dokument von Barracuda Networks zugegangen. welches die Anatomie eines Maze-Ransomware-Angriffs beschreibt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-232045","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232045","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232045"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232045\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232045"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232045"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232045"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Cyber-Angriffe verstehen und abwehren <\/h2>\n
Phase I: Lieferung<\/h3>\n<\/p>\n
Ransomware ist eine spezifische Untergruppe sogenannter Advanced Threats. Es handelt sich um ausgekl\u00fcgelte St\u00fcck Malware, die h\u00e4ufig neu verpackt wird, um nicht unentdeckt zu bleiben. Neue Malware-Varianten sind darauf ausgelegt, traditionelle Erkennungstechniken zu umgehen, und werden h\u00e4ufig durch gezielte Zero-Hour-Angriffe verbreitet. <\/p>\n\n
Phase II: Infektion<\/h3>\n
Phase III: Wiederherstellung<\/h3>\n
Klinikum F\u00fcrth wegen Trojaner offline<\/a>
Ransomware-Befall in Uniklinik von Brno (Br\u00fcnn Tschechien)<\/a>
Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs<\/a>
FAQ: Reagieren auf eine Emotet-Infektion<\/a>
Die IT-Notfallkarte des BSI f\u00fcr KMUs<\/a>
Deutsche Unternehmen vor potenziellem Cyber-Desaster?<\/a>
Sicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
Unterminieren F\u00fchrungskr\u00e4fte die IT-Sicherheit?<\/a>
Finanzsektor: Vorletzter Platz bei Anwendungssicherheit<\/a>
Neues zum Ransomware-Angriff auf Ludwigshafener Versorger<\/a>
Mehr zum Malware-Befall im Klinikum F\u00fcrstenfeldbruck<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"