Gesundheitswesen und Krankenversicherungen

Cyberbedrohungen für das Gesundheitswesen und Krankenversicherungen

Das Gesundheitswesen und Krankenversicherungen sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • APT1-Angreifer (Advanced Persistent Threat), die es auf den Diebstahl geistigen Eigentums und geschützter Daten abgesehen haben, welche ihren heimischen Industrien Vorteile bringen und der Regierung dabei helfen können, ihre strategischen Ziele im Gesundheitswesen zu erreichen.
  • APT-Gruppen, die personenbezogene Daten (PII) von Patienten entwenden, um sie als Grundlage für weitere Angriffe zu nutzen oder ihre staatlichen Auftraggeber beim Sammeln von Informationen zu unterstützen.
  • Organisierte Cyberkriminelle, die versuchen, personen- und finanzbezogene Daten zu Geld zu machen.
  • Hacktivisten, die durch die Störung bzw. Verunstaltung der Webseiten von Unternehmen oder Institutionen versuchen, eine politische oder ideologische Haltung öffentlich bekannt zu machen oder gegen die Aktivitäten des Websitebetreibers zu protestieren.
healthcare cyber threat intelligence

Bedrohungslage und Branchenprognose

Das Gesundheitswesen und Krankenversicherungen dürften weiterhin Cyberbedrohungen ausgesetzt sein, da sie Zugang zu potenziell wertvollen Forschungs- und Produktionsdaten sowie zu personenbezogenen und anderen vertraulichen Informationen bieten. Zukünftige Bedrohungsaktivitäten gegen diese Branche dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Durch die zunehmende Digitalisierung von Gesundheitsakten und die Vernetzung medizinischer Geräte wird sich die Angriffsfläche dieser Unternehmen vergrößern und die Branche somit zu einem leichteren Ziel für Internetkriminelle.
  • Fortschritte in den Bereichen Technologie und Medizin könnten zu einer erhöhten Bedrohungsaktivität durch APT-Gruppen führen, die geistiges Eigentum oder Betriebsgeheimnisse stehlen, um ihren staatlichen oder anderen heimischen Unternehmen Vorteile zu verschaffen.
  • Infolge der Bemühungen vieler Länder, Dienstleistungen und Produkte im Gesundheitswesen zu verbessern und dadurch Kosten zu sparen, werden APT-Gruppen wahrscheinlich mehr Angriffe durchführen, um ihre staatlichen Auftraggeber bei ähnlichen Vorhaben zu unterstützen.
  • Die wahrgenommene Verstrickung in Kontroversen rund um Gesundheitsversorgung, Arzneimitteltests oder auch Ethikverstöße könnte Angriffe durch Hacktivisten nach sich ziehen. Sie möchten die Aufmerksamkeit auf die Probleme lenken und die in ihren Augen verantwortlichen Unternehmen an den Pranger stellen.
Wir haben mindestens 13 technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Herstellung von Biopharmazeutika & Biotherapeutika
  • Herstellung von elektromedizinischen, elektrotherapeutischen & Röntgengeräten
  • Krankenversicherung
  • Software für das Gesundheitswesen
  • Herstellung von Gesundheitsprodukten
  • Krankenhäuser
  • Herstellung von medizinischer Ausrüstung & medizinischem Bedarfsmaterial
  • Arzneimittelherstellung
Bei Einrichtungen des Gesundheitswesens entwendete Daten:
  • Geschäfts- & strategische Pläne & Ziele
  • Dokumente aus der Personalabteilung
  • Rechtsdokumente
  • Dokumente über die Netzwerkinfrastruktur
  • Patientendaten

APT-Gruppe infiltriert Krankenkasse

Bei einem Einsatz bei einer Krankenkasse wurden wir auf Hacker aufmerksam, die verschiedene Spear-Phishing-E-Mails an Dutzende Nutzer geschickt hatten, um sich Zugang zu Systemen im Unternehmensnetzwerk zu verschafften. Die verschickten Nachrichten enthielten die für Spear Phishing typischen getarnten schädlichen Links. Über diese Links wurde eine Backdoor heruntergeladen, mit der die Angreifer Passwörter stehlen konnten. Diese nutzten sie dann, um die Netzwerkdomain der Krankenkasse auszuspionieren und die personenbezogenen Daten einer großen Anzahl an Versicherten zu entwenden.

Cyberbedrohungen für das Gesundheitswesen

TOP 5 DER MALWARE-ARTEN

FireEye hat bei gezielten Cyberangriffen auf Einrichtungen des Gesundheitswesens und Krankenversicherungen am häufigsten folgende Malware-Arten beobachtet:

WITCHCOVEN ist ein Skript, das Informationen über die Betriebssysteme, Browser und Anwendungen der Besucher einer bestimmten Website erfasst. Wir vermuten, dass APT-Angreifer dieses Skript zum Footprinting nutzen. Mit dieser Methode erstellen Hacker ein Profil von Unternehmen und ihren Computersystemen.
XtremeRAT ist ein frei verfügbares Remote Access Tool (RAT), mit dem das Hoch- und Herunterladen von Dateien, das Interagieren mit der Windows-Registry, das Manipulieren von Prozessen und Diensten sowie das Erfassen von Daten wie Audio- und Videoaufnahmen möglich ist.
ChinaChopper ist eine kleine Webshell, die Hackern mithilfe eines einfachen Authentifizierungs-Passworts unberechtigten Zugriff auf Informationssysteme verschafft und Microsoft.NET-Code innerhalb von HTTP POST-Befehlen ausführen kann.
Gh0stRat ist ein RAT, das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
PingBed ist ein Trojaner, der unter anderem Dateien herunterladen und ausführen, Prozesse beenden sowie Befehle von einer Befehlszeile aus ausführen und deren Ergebnisse ausschleusen kann. Uns sind Fälle bekannt, in denen Nutzer durch Social-Engineering-Methoden dazu verleitet wurden, eine ZIP- oder RAR-Datei zu öffnen, die PingBed enthielt. Der Name und das Symbol dieser Datei täuschten eine lesbare Datei vor.

TOP 5 DER CRIMEWARE-ARTEN

Sinkhole-Daten von FireEye und durch dynamischen Austausch mit anderen Beobachtern gewonnene Bedrohungsdaten zeigen, dass im Gesundheitswesen und bei Krankenversicherungen am häufigsten die folgenden Crimeware-Arten entdeckt werden:

Conficker ist ein Wurm, der sich durch die Ausnutzung einer Schwachstelle auf Wechseldatenträgern und Netzwerkfreigaben verbreitet. Die Malware kann Sicherheitseinstellungen deaktivieren, Backup-Dateien löschen und Systemwiederherstellungspunkte
zurücksetzen.
POWESSERE (oder auch Poweliks) ist eine „dateilose“ Malware, die ausschließlich in der Windows-Registry existiert. Sie wird häufig über Microsoft Office-Exploits oder Phishing-E-Mails verbreitet, die Themen rund um Canada Post oder USPS als Aufhänger nutzen. Da Powessere die Windows-Registry direkt manipuliert, werden keinerlei Dateien auf dem infizierten System generiert. Die Malware wird in Stufen ausgeführt, beginnend mit einem verschlüsselten JavaScript in einem AutoRun-Schlüssel. Sobald Powessere vollständig installiert ist, greift eine speicherresidente Dynamic Link Library auf grundlegende Systeminformationen zu und lädt gegebenenfalls weitere Malware herunter.
Jenxcus (oder auch njw0rm, njworm) ist eine Weiterentwicklung des gängigen Tools njRAT. Es enthält zusätzliche Funktionen zum Infizieren von USB-Sticks und anderen Wechseldatenträgern, Stehlen von Anmeldedaten, etc. Jenxcus wird oft über Links in E-Mails oder Drive-by-Downloads auf kompromittierten Websites übertragen.
HOUDINI (oder auch H-Worm) ist ein VBS-basiertes RAT, das die Betriebssystemversion, Host- und Benutzernamen sowie andere Informationen über das infiltrierte System erfasst und per HTTP an den C2-Server übermittelt. In einigen Fällen enthält die VBS-Datei mehrere Verschleierungsebenen, zum Beispiel speziell für diesen Zweck modifizierte Base64-Verschlüsselungen. Houdini unterstützt zudem diverse Aktionen, darunter das Ausführen von Befehlen per Befehlszeile, das Herunterladen und Ausführen von Programmen sowie den Datendiebstahl.
Upatre ist ein Downloader, der häufig über Spam-E-Mails, Drive-by-Downloads oder Exploits übertragen wird und weitere Malware auf ein infiziertes System herunterlädt. Bei bislang untersuchten Angriffen wurde Upatre zur Verbreitung verschiedenster Arten von Malware genutzt, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.