WannaCry vier Jahre später: Hat das Gesundheitswesen seine Lektionen gelernt?

Druckfreundlich, PDF & E-Mail

Als Wannacry im Mai 2017 zuschlug, war dies der erste weltweite Massenangriff mit Ransomware dieser Art. Die Journalisten überschlugen sich und die Unternehmen bemühten sich, umgehend zu reagieren. Obwohl ein schnell denkender britischer Forscher die Rettung brachte, indem er einen Notausschalter entwickelte, um die Verbreitung des Wurms zu unterbinden, gehörte der britische National Health Service (NHS) zu den vielen Organisationen, die schwer betroffen waren.

Die Frage ist, ob Verbesserungen vorgenommen wurden, um die Auswirkungen eines ähnlichen Vorfalls in der Zukunft zu verringern. Oder hat sich Ransomware inzwischen zu etwas möglicherweise noch Gefährlicherem entwickelt?

Massenstörung

WannaCry verbreitete sich über die Ausnutzung einer veralteten Windows-Implementierung des Server-Message-Block-(SMB)-Protokolls (SMBv1) und wurde später als staatlich finanzierter Versuch der Monetarisierung von Masseninfektionen mit Ransomware eingestuft. Die Schwachstelle wurde im März 2017 von Microsoft gepatcht, aber zum Zeitpunkt des Angriffs hatten viele Unternehmen den wichtigen Fix noch nicht angewendet. Es wird davon ausgegangen, dass die Bedrohung insgesamt fast eine halbe Million Computer weltweit infiziert hat, obwohl sie den Verantwortlichen nur geschätzte 100.000 US-Dollar einbrachte.

In einem Nachbericht zu dem Vorfall gab das National Audit Office (NAO) an, dass WannaCry Störungen bei einem Drittel (34 %) der NHS England Trusts und Infektionen bei weiteren 603 Grundversorgungs- und anderen NHS-Organisationen verursachte. Schätzungsweise 19.000 Termine und Operationen wurden abgesagt und in fünf Regionen waren Patienten gezwungen, weitere Wege zu einer Notaufnahme auf sich zu nehmen.

Das NAO stellt bei den IT-Sicherheitsprozessen des Gesundheitswesens Defizite in mehreren Bereichen fest. Es gab an, dass NHS Digital im März und April 2017 kritische Warnungen ausgab, um die Schwachstellen zu patchen, die letztendlich durch WannaCry offengelegt wurden. Allerdings hatte das Department of Health zu dieser Zeit „keinen formalen Mechanismus“ für die Beurteilung, ob die Trusts sich an die Empfehlung gehalten hatten. Darüber hinaus wurde zwar ein Plan zur Reaktion auf Cybervorfälle entwickelt, dieser wurde jedoch nicht auf lokaler Ebene getestet.

Letztendlich kostete der Vorfall den NHS schätzungsweise 92 Millionen britische Pfund, wobei der überwiegende Teil (72 Millionen britische Pfund) auf Ausgaben für IT-Überstunden entfiel.

WannaCry verursachte Störungen bei einem Drittel (34 %) der NHS England Trusts und Infektionen bei weiteren 603 Grundversorgungs- und anderen NHS-Organisationen.Twittern

Das haben wir gelernt

Erstaunlicherweise ist WannaCry heute, vier Jahre nachdem es eine weltweite Panik ausgelöst hat, immer noch weit verbreitet. Im März stellten Forscher fest, dass die Malware 53 % mehr Unternehmen als zu Beginn des Jahres befallen hat. In einer separaten Studie wurde herausgefunden, dass 67 % der Unternehmen immer noch das unsichere SMBv1-Protokoll verwenden.

Beim NHS scheint die Lage jedoch viel besser zu sein, nachdem er ein Programm initiiert hat, das der CISO von NHS Digital, Dan Pearce, als „eines der weltweit ehrgeizigsten und aggressivsten Cybersicherheitsprogramme in einem Gesundheits- und Pflegesystem“ bezeichnet. Dieses umfasst die Erstellung von:

  • Einem Cyber Security Operations Centre, das angeblich jeden Monat 21 Millionen Vorfälle bösartiger Aktivitäten blockiert
  • Einem Netzwerk von „Cyber Associates“, das die Verantwortung über die Cybersicherheit beim NHS innehat und Empfehlungen abgibt
  • Einem Data Security and Protection Toolkit (DSPT), das NHS-Organisationen im Hinblick auf zehn nationale Datensicherheitsstandards bewertet
  • Regionale Leads zur Unterstützung der lokalen Bereitstellung von Cybersicherheit
  • Lizenzen, die allen NHS-Trusts das Upgrade auf Windows 10 ermöglichen, das einen besseren integrierten Schutz vor Malware bietet. Dies bietet Endgerätesicherheit für 1,3 Millionen vernetzte Geräte und einen landesweiten Überblick über Bedrohungen und Schwachstellen
  • Einem NHS Secure Boundary, das aus Nextgen- und Web-App-Firewalls besteht, die NHS-Organisationen vor den ausgefeiltesten Bedrohungen schützen

Ransomware im Wandel

Trotz aller Schlagzeilen und des angerichteten Schadens war WannaCry ein relativ unkomplizierter Angriff. Organisationen im Gesundheitswesen in Großbritannien und der ganzen Welt haben es heute mit einem weitaus entschlosseneren, professionellen Gegner zu tun. Das Ransomware-as-a-Service-Modell (RaaS) hat die Einstiegshürde deutlich gesenkt, sodass mehrere verbundene Gruppen eine einzige Ransomware-Variante verwenden können.

Organisationen des Gesundheitswesens in ganz Europa und den USA wurden während der Pandemie zur Zielscheibe, in der Hoffnung, dass sie während der Krise ihre Aufmerksamkeit von der Sicherheit abgewendet haben und verzweifelt versuchen würden, alle unterbrochenen Dienste wieder verfügbar zu machen. Bei diesen Angriffen handelt es sich zunehmend um mehrstufige Kampagnen im APT-Stil, die mit einer Phishing-E-Mail, einer RDP-Kompromittierung über gestohlene oder geknackte Zugangsdaten oder einer ausgenutzten Schwachstelle beginnen können. Legitime Werkzeuge und die Nutzung vorhandener Systemtools der Zielumgebung (die „Living off the Land“-Technik) werden dann eingesetzt, um eine laterale Bewegung zu ermöglichen, ohne Alarme auszulösen. Oft werden Daten gestohlen, um die Chancen auf eine Lösegeldzahlung zu erhöhen.

Der NHS mag zwar seine Lektion aus der Pandemie gelernt haben, aber keine Organisation im Gesundheitswesen ist vor moderner Ransomware sicher. Es gibt einfach zu viele finanziell motivierte Bedrohungsgruppen. Zu den Best-Practice-Empfehlungen gehören:

  • E-Mail-Schutz- und Anti-Phishing-Schulungen, damit Mitarbeiter verdächtige E-Mails besser erkennen können
  • Die Implementierung von Anwendungssicherheit zum Schutz anfälliger Web-Applikationen
  • Back-ups nach der Best-Practice-Regel 3-2-1
  • Schutz vor Malware mit mehrschichtigen Abwehrmaßnahmen (E-Mail, Netzwerk, Web-App, Endgerät, Server etc.)
  • Multi-Faktor-Authentifizierung (MFA) für alle Konten, insbesondere RDP
  • Netzwerksegmentierung zur Verringerung von Risiken durch laterale Bewegungen
  • Kontrollen zur Zugangsbeschränkung nach den Prinzipien der geringstmöglichen Zugriffsrechte mit Zero Trust Access
  • Zeitnahe Einspielung von Patches für Hochrisikosysteme (regelmäßige Durchführung von Schwachstellen-Scans)
  • Firewalls der nächsten Generation und Erkennung der Netzwerkebene zur Kontrolle von lateralen Bewegungen
  • Deaktivierung von RDP und anderen nicht verwendeten Ports

Vielleicht wird es kein weiteres WannaCry geben. Aber in der Zwischenzeit müssen HCOs aufmerksam auf die sich entwickelnde Natur der Ransomware-Bedrohung achten und proaktiv reagieren.

 

Nach oben scrollen
Twittern
Teilen
Teilen