HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter

Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.

[datensicherheit.de, 18.05.2021] Als neue Episode einer gegenwärtig offensichtlich „nicht abebbenden Welle an Cyber-Attacken“ wurde Ende der 19. Kalenderwoche 2021 auch die irische Gesundheitsbehörde HSE (Health Service Executive) Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe „Conti“, meldet Palo Alto Networks. Paul Donegan, „Country Manager, Ireland“ bei Palo Alto Networks kommentiert diesen Vorfall und liefert eine Analyse der Vorgänge und der Beteiligten.

Foto: Palo Alto Networks

Paul Donegan: Laut unserem Ransomware Threat Report 2021 hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt

Ransomware-Betreiber ständig in Bewegung – sie verbessern und automatisierten ihre Aktivitäten

„Was die HSE tut, ist absolut richtig, um das Problem einzudämmen. Die Bekämpfung eines Ransomware-Angriffs ist extrem schwierig, aber ähnlich wie der Schutz von Organisationen vor anderen Malware-Angriffen, obwohl die Risiken viel größer sind“, so Donegan. Dieser Angriff auf das irische Gesundheitssystem sei ein weiteres Indiz dafür, „dass Ransomware-Betreiber ständig in Bewegung sind“: Sie verbesserten und automatisierten ihre Aktivitäten und würden immer effektiver, „wenn es darum geht, immer größere Organisationen anzugreifen“.
Sie bekämen zudem viel mehr Geld für ihre Bemühungen. „Laut unserem ,Ransomware Threat Report 2021‘ hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt – auf 312.493 US-Dollar im Vergleich zu 2019. Im Jahr 2021 hat sich die durchschnittliche Zahlung im Vergleich zum Vorjahr fast verdreifacht – auf etwa 850.000 US-Dollar. Die höchste Forderung, die wir in den letzten vier Monaten gesehen haben, lag bei 50 Millionen Dollar – im Vergleich zu 30 Millionen Dollar im gesamten Jahr 2020.“

Zero Trust schränkt Fähigkeit des Ransomware-Angreifers ein, sich durch das Netzwerk zu bewegen

„Eine Zero-Trust-Architektur ist der effektivste Weg, die Cyber-Assets und -Infrastruktur eines Unternehmens zu schützen. Mit dem richtigen Design funktioniert sie unabhängig von der Netzwerktopologie des Unternehmens. Das treibende Prinzip von ,Zero Trust, lautet ,Niemandem vertrauen, alles überprüfen‘“, erläutert Donegan.
Es helfe den implementierenden Sicherheitsteams, ihre Umgebung gegen alle bekannten Angriffsvektoren, einschließlich böswilliger Insider- und Phishing-Angriffe, zu verteidigen. Donegan führt aus: „,Zero Trust‘ schränkt die Fähigkeit des Angreifers ein, sich durch das Netzwerk zu bewegen. Es macht Sicherheitsadministratoren auf die Aktivitäten des Angreifers aufmerksam, während er versucht, sich durch das Netzwerk vorzuarbeiten.“

Palo Alto Networks zu den Hintergründen der Ransomware-Attacke auf HSE:

Hinter dem Angriff auf die zentrale irische Gesundheitsbehörde HSE steckt laut Palo Alto Networks „aller Wahrscheinlichkeit nach die Hacker-Gruppe ,Conti‘“. Diese habe beim Angriff auf die HSE einen „Spray and Pray“-Ansatz verwendet, um Netzwerke zu infizieren. „Dies bedeutet, dass die Gruppe am Ende eine breite Palette von Zielen infiziert, um große und kleine Organisationen in Branchen wie dem Gesundheitswesen, der Energiewirtschaft und Regierungsbehörden treffen.“ Sobald ein Netzwerk kompromittiert ist, „gräbt sich ,Conti‘ tief ein“. Die Kriminellen träten in Aktion und praktizierten die sogenannte Doppelte Erpressung (Double Extortion): Sie verschlüsselten Daten und verlangten eine Zahlung für „Entschlüsselungs-Schlüssel“.
Palo Alto Networks warnt: „Sie stehlen auch Daten und drohen, sie zu veröffentlichen.“ Malware-Forscher von Palo Alto Networks haben demnach beobachtet, dass die Cyber-Kriminellen Lösegelder zwischen 500.000 und 10.000.000 US-Dollar forderten. Die Höhe des Lösegelds hänge davon ab, wie leicht das Unternehmen wieder online gehen könnte, wie viel Schaden durch die Freigabe der gestohlenen Daten entstehen würde und wie zahlungsfähig das Opfer sei.

Ransomware-Angreifer Conti verspricht Nachweis der Löschung gestohlener Daten bei Lösegeldzahlung

„Conti“ verspreche, „den Nachweis zu erbringen, dass gestohlene Daten gelöscht wurden, wenn die Opfer zahlen“. Es würden Beispiele von angeblich großen Mengen gestohlener Daten veröffentlicht, und es werde damit gedroht, diese auf einer Leak-Site namens „Conti News“ zu veröffentlichen, wenn die Opfer nicht zahlen.
Diese Gruppe Cyber-Krimineller hielten sich indes nicht immer an diese Versprechen: „Sie sagt zum Beispiel, dass sie Beweise dafür liefern wird, dass sie gestohlene Daten gelöscht hat, und tut dies dann doch nicht. Manchmal ist sie nicht in der Lage, den Beweis zu erbringen, dass sie tatsächlich so viele Daten gestohlen hat, wie behauptet.“ Dies stehe im Gegensatz zu einigen anderen Cyber-Erpresserbanden, welche sich stärker als „vertrauenswürdige“ Akteure darstellten, „die ihre Versprechen einhalten, wenn die Opfer Lösegeld zahlen“.

Ransomware-Gruppe DarkSide gibt vor, unter formalem Verhaltenskodex zu operieren

„DarkSide“, die Gruppe hinter dem jüngsten Angriff auf Colonial Pipeline, gebe vor, unter einem formalen Verhaltenskodex zu operieren und sich um die Qualität ihres „Kundendienstes“ zu kümmern: „Wenn die Opfer zahlen, wird ,DarkSide‘ seinen guten Willen zu demonstrieren, einschließlich der Bereitstellung von Entschlüsselungs-Schlüsseln und der Vorlage von Beweisen, die zeigen, dass gestohlene Daten gelöscht wurden. Die Gruppe wird den Opfern mitteilen, wie sie an die Daten gelangt ist, damit sie einen erneuten Angriff verhindern können.“
Nach dem Angriff auf Colonial Pipeline erklärte sie sich in einer offiziellen „Pressemitteilung“: Die Gruppe habe mitgeteilt, sie wolle nur Profit machen und keine weitreichende Störung der Gesellschaft verursachen. „Sie versprach zudem, die Wahl der Opfer in Zukunft sorgfältiger zu überprüfen, so dass ihre Aktivitäten weniger störend sein würden.“

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 17.03.2021
Highlights from the 2021 Unit 42 Ransomware Threat Report

datensicherheit.de, 14.05.2021
Signifikanter Ransomware-Angriff auf IT-Systeme der Health Service Executive / Staatliches Gesundheitssystems Irlands meldet Abschaltung der eigenen IT-Systeme als Reaktion auf Ransomware-Attacke

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten