{"id":260644,"date":"2021-12-17T00:58:45","date_gmt":"2021-12-16T23:58:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260644"},"modified":"2021-12-24T02:08:35","modified_gmt":"2021-12-24T01:08:35","slug":"insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/17\/insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021\/","title":{"rendered":"Insides zu Irlands Health Service Executive Ransomware-Fall im Mai 2021"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/17\/insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Heute ist T\u00fcrchen Nummer 17 im Sicherheits-Adventskalender dran. Ich habe da einen besonderen \"Leckerbissen\" f\u00fcr Administratoren hinterlegt. Im Mai 2021 gab es einen Ransomware-Angriff auf die Gesundheitsbeh\u00f6rden Irlands (Health Service Executive, HSE). PricewaterhouseCoopers hat k\u00fcrzlich eine Analyse vorgelegt, was da schief gelaufen ist. Nachfolgend bereite ich kurz die Ergebnisse aus diesem Fall auf.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/e61896077a944a65821d2d6e3f17d9ce\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/05\/14\/ransomware-angriffe-brenntag-tochter-irisches-gesundheitssystem-hacker-erpressen-gieener-mbelhaus-sommerlad\/\">Ransomware-Angriffe: Brenntag-Tochter, irisches Gesundheitssystem, Hacker erpressen Gie\u00dfener M\u00f6belhaus Sommerlad<\/a> kurz den Angriff auf das irische Health Service Executive (HSE) erw\u00e4hnt. Die IT des staatlichen irischen Gesundheitssystems, Health Service Executive (HSE), wurde am 14. Mai 2021 erfolgreich durch die Conti Ransomware-Gruppe angegriffen, wie die Verantwortlichen auf <a href=\"https:\/\/twitter.com\/HSELive\/status\/1393090933361623042\">Twitter<\/a> eingestehen mussten.<\/p>\n<p><a href=\"https:\/\/twitter.com\/HSELive\/status\/1393090933361623042\"><img decoding=\"async\" title=\"Ransomware on Health Service Executive (HSE\" src=\"https:\/\/i.imgur.com\/HGCFNa2.png\" alt=\"Ransomware on Health Service Executive (HSE\" \/><\/a><\/p>\n<p>PricewaterhouseCoopers hat k\u00fcrzlich die Analyse dieses Ransomware-Falls in Form eines Ergebnisberichts <a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\">Conti cyber attack on the HSE<\/a> (PDF) vorgelegt. Durch den Angriff und die daraus eingeleiteten Ma\u00dfnahmen, verlor das irische Gesundheitssystem den Zugriff auf die HSE-IT, wodurch Kliniken und Rettungsdienst in einen Notbetrieb gehen mussten. Interessant ist die Anatomie dieses Ransomware-Angriffs, ausgehend von einer Workstation, die als Patient Zero bezeichnet wird.<\/p>\n<ul>\n<li>Der Cyberangriff begann am 18. M\u00e4rz 2021 mit der Infektion auf einer HSE-Arbeitsstation (der \"Patient Zero Workstation\") durch die Malware. Diese Malware-Infektion war m\u00f6glich, weil der Benutzers dieser Workstation eine b\u00f6sartige Microsoft Excel-Datei \u00f6ffnete, die im Anhang einer Phishing-E-Mail enthalten war. Diese Mail war dem Benutzer am 16. M\u00e4rz 2021 zugegangen.<\/li>\n<li>Nachdem sich der Angreifer am 18. M\u00e4rz 2021 unbefugten Zugang zur IT-Umgebung der HSE verschafft hatte, bewegte sich der Angreifer \u00fcber einen Zeitraum von acht Wochen lateral im IT-Netzwerk der HSE. Dabei kompromittierte er eine betr\u00e4chtliche Anzahl an Konten mit hohen Berechtigungen (typischerweise Konten zur Durchf\u00fchrung administrativer Aufgaben), infizierte eine betr\u00e4chtliche Anzahl von Servern, und begann mit der Exfiltration von Daten und Ausbreitung der IT-Systeme der gesetzlichen und privat betriebenen, aber mit der HSE IT verbundenen Kliniken.<\/li>\n<\/ul>\n<p>Der Vorfall wurde erst erkannt und mit Gegenma\u00dfnahmen bek\u00e4mpft, als die Conti-Ransomware am 14. Mai 2021 aktiv wurde und durch Verschl\u00fcsselung der Daten eine weitreichende IT-St\u00f6rungen verursachte. Das Tragische an diesem Fall: Es gab sogar zwei Sicherheitstools, die das Eindringen bemerkten, ohne dass daraus die richtigen Schl\u00fcsse gezogen wurden. Hier einige Details aus dem Bericht:<\/p>\n<ul>\n<li>Am 31. M\u00e4rz 2021 entdeckte die benutzte Antiviren-Software der HSE die Ausf\u00fchrung von zwei Software-Tools &#8211; Cobalt Strike und Mimikatz &#8211; die h\u00e4ufig von Ransomware-Gruppen verwendet werden, auf der Patient Zero Workstation. Die Antivirensoftware war jedoch auf den \u00dcberwachungsmodus eingestellt, so dass sie die b\u00f6sartigen Tools nicht blockierte.<\/li>\n<li>Am 7. Mai drang der Angreifer zum ersten Mal in die Server der HSE ein, und in den folgenden f\u00fcnf Tagen kompromittierte der Eindringling sechs HSE-Krankenh\u00e4user.<\/li>\n<li>Am 10. Mai entdeckte eines der Krankenh\u00e4user b\u00f6sartige Aktivit\u00e4ten auf seinem Microsoft Windows Domain Controller, einer kritischen Komponente jedes Windows-Unternehmensnetzwerks, die die Benutzerauthentifizierung und den Netzwerkzugang verwaltet. Das f\u00fchrte zu ersten Aktivit\u00e4ten.<\/li>\n<li>Am 10. Mai 2021 fanden Sicherheitspr\u00fcfer erstmals Hinweise darauf, dass der Angreifer Systeme im Krankenhaus C und im Krankenhaus L kompromittiert hatte. Die Antivirensoftware des Krankenhauses C entdeckte Cobalt Strike auf zwei Systemen, vers\u00e4umte es aber, die b\u00f6sartigen Dateien unter Quarant\u00e4ne zu stellen.<\/li>\n<li>Am 13. Mai schickte der Anbieter der Antivirensoftwareeine E-Mail an das Sicherheitsteam der HSE, in der er auf unbehandelte Bedrohungsereignisse hinwies, die bis zum 7. Mai auf mindestens 16 Systemen zur\u00fcckreichten. Das HSE Security Operations Team forderte das Server-Team auf, die Server neu zu starten.<\/li>\n<\/ul>\n<p>Geht man die obigen Zeitabl\u00e4ufe (siehe auch folgendes Bild) durch, kamen die Ma\u00dfnahmen am 13. Mai 2021 bereits viel zu sp\u00e4t, und am 14. Mai 2021 triggerte die Conti-Gang die Verschl\u00fcsselung durch die Ransomware. Durch den erfolgreichen Angriff kam es zu einer fast vollst\u00e4ndigen Abschaltung der nationalen und lokalen Netze der HSE und einer Unterbrechung des Betriebs an mehreren Kliniken und Gesundheitsdienste. Die Zahl der Termine ging um 80 % zur\u00fcck.<\/p>\n<p><img decoding=\"async\" title=\"Irish HSE Conti Ransomware case timeline\" src=\"https:\/\/i.imgur.com\/JOQPIHA.png\" alt=\"Irish HSE Conti Ransomware case timeline\" \/><br \/>\nIrischer HSE Conti Ransomware Fall Quelle: PricewaterhouseCoopers<\/p>\n<p>Festzuhalten bleibt, dass fast zwei Monate zwischen der Erstinfektion und der Ausl\u00f6sung der Verschl\u00fcsselung vergingen, in denen sich die Angreifer unerkannt im IT-Netzwerk der HSE bewegen konnten. Au\u00dferdem wurde festgestellt, dass in den betroffenen Krankenh\u00e4usern Zehntausende von Windows-7-Systemen vorhanden waren (ob diese gepatcht waren, ist unklar). Aber die IT-Administratoren des HSE vers\u00e4umten es, auf mehrere Warnzeichen, die auf einen bevorstehenden massiven Angriff hindeuteten, zu reagieren.<\/p>\n<p>So nahm das Schicksal seinen Lauf. Die Conti-Gruppe verlangte zun\u00e4chst ein L\u00f6segeld im Wert von 20 Millionen US-Dollar als Kryptow\u00e4hrung im Austausch f\u00fcr den digitalen Schl\u00fcssel zum Entschl\u00fcsseln der kompromittierten HSE-Server. Nachdem der Fall bekannt wurde, und es einen Aufschrei in der \u00d6ffentlichkeit gab, \u00fcberlie\u00df die Conti-Gang der HSE die Entschl\u00fcsselungsschl\u00fcssel ohne L\u00f6segeldzahlung. Die Kosten f\u00fcr die Wiederherstellung des HSE IT-Systems werden auf ca. 530 Millionen Euro beziffert. Details finden sich im Ergebnisbericht <a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\">Conti cyber attack on the HSE<\/a> (PDF). Brian Krebs hat in <a href=\"https:\/\/krebsonsecurity.com\/2021\/12\/inside-irelands-public-healthcare-ransomware-scare\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> einige Kurzfassung mit weiteren Details ver\u00f6ffentlicht.<\/p>\n<p><strong>Artikel des Security-Adventskalenders<br \/>\n<\/strong>1. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/01\/microsoft-defender-version-1-353-1874-0-meldet-flschlich-trickbot-emotet\/\">Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a><br \/>\n2. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/02\/windows-10-11-falle-beim-trusted-apps-installer\/\">Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a><br \/>\n3. <a href=\"https:\/\/borncity.com\/blog\/?p=260088\">Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a><br \/>\n4. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/04\/phishing-angriffe-von-staatshackern-ber-neue-rtf-template-injection-technik\/\">Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a><br \/>\n5. <a href=\"https:\/\/borncity.com\/blog\/?p=260082\">BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a><br \/>\n6. <a href=\"https:\/\/borncity.com\/blog\/?p=260208\">Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a><br \/>\n7. <a href=\"https:\/\/borncity.com\/blog\/?p=260242\">Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a><br \/>\n8. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/08\/excel-xll-addins-fr-malware-installation-missbraucht\/\">Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a><br \/>\n9. <a href=\"https:\/\/borncity.com\/blog\/?p=260309\">Hellmann Logistics Opfer eines Cyberangriffs<\/a><br \/>\n10. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/cloud-dienste-ber-usb-over-ethernet-schwachstellen-angreifbar\/\">Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a><br \/>\n11. <a href=\"https:\/\/borncity.com\/blog\/?p=260318\">Malware in Android Apps am Beispiel von GriftHorse<\/a><br \/>\n12. <a href=\"https:\/\/borncity.com\/blog\/?p=260147\">Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a><br \/>\n13. <a href=\"https:\/\/borncity.com\/blog\/?p=260419\">Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a><br \/>\n14. <a href=\"https:\/\/borncity.com\/blog\/?p=260471\">Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a><br \/>\n15. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/15\/windows-tpm-mem-und-intune-hrden-beim-motherboard-wechsel\/\">Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a><br \/>\n16: <a href=\"https:\/\/borncity.com\/blog\/?p=260591\">H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a><br \/>\n17: <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/17\/insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021\/\">Insides zu Irelands Public Healthcare Ransomware-Fall<\/a><br \/>\n18:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260678\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a><br \/>\n19. <a href=\"https:\/\/borncity.com\/blog\/?p=260079\">Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a><br \/>\n20: <a href=\"https:\/\/borncity.com\/blog\/?p=260683\" target=\"_blank\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a><br \/>\n21:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260689\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a><br \/>\n22:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260696\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a><br \/>\n23:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260675\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a><br \/>\n24:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260388\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Heute ist T\u00fcrchen Nummer 17 im Sicherheits-Adventskalender dran. Ich habe da einen besonderen \"Leckerbissen\" f\u00fcr Administratoren hinterlegt. Im Mai 2021 gab es einen Ransomware-Angriff auf die Gesundheitsbeh\u00f6rden Irlands (Health Service Executive, HSE). PricewaterhouseCoopers hat k\u00fcrzlich eine Analyse vorgelegt, was da &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/17\/insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260644","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260644","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260644"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260644\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}