Tipps für Krankenhäuser und andere Organisationen, um sich vor Angriffen zu schützen, und
eine Schritt-für-Schritt-Anleitung, was bei einem Ransomware-Angriff zu tun ist.
Am 13. März wurde die Universitätsklinik Brünn in Tschechien, die ein Testzentrum für das Coronavirus betreibt, Opfer eines Ransomware-Angriffs, der die Systeme lahmlegte. Das Krankenhaus schaltete ordnungsgemäß die tschechische Behörde für Cyber- und Informationssicherheit ein, um den Vorfall zu untersuchen.
Krankenhäuser sind für Ransomware nicht unbedingt anfälliger als andere Institutionen, doch für sie kann ein Angriff weitreichende Folgen haben, wie etwa den Verlust von Patientenakten und die Verzögerung oder Absage von Behandlungen. Da Krankenhäuser lebensrettende Operationen durchführen und über sensible Patienteninformationen verfügen, neigen sie stärker dazu, das geforderte Lösegeld zu zahlen, als andere Organisationen. Das macht sie zu attraktiven Zielen für Cyberkriminelle.
Aussagen von Hackern, dass sie während der Pandemie Krankenhäuser in Ruhe lassen werden, erwecken absurderweise den Anschein, als seien Cyberkriminelle philanthropisch motiviert. Doch wahrscheinlich wollen sie nur vermeiden, ins Visier der Antivirenhersteller zu geraten, die zurzeit besonders wachsam sind, was Angriffe auf Notfalldienste angeht.
Es gibt Maßnahmen, die Krankenhäuser ergreifen können, um ihre Abwehr zu stärken und ihre Systeme, Kundendaten und Operationen zu schützen.
So können Krankenhäuser sich vor Ramsomware-Angriffen schützen:
- Software auf dem neuesten Stand halten
Im Mai 2017 griff die Ransomware WannaCry Millionen von Computern auf der ganzen Welt an und infizierte erfolgreich Geräte, indem sie eine Schwachstelle missbrauchte, für die Microsoft zwei Monate zuvor einen Patch veröffentlicht hatte. Millionen von Menschen und Unternehmen hatten das Update ignoriert, das sie vor einer WannaCry-Infektion geschützt hätte. Auch Krankenhäuser waren von WannaCry betroffen.
Es ist absolut entscheidend, die Software und alle Betriebssysteme jederzeit auf dem neuesten Stand zu halten. Microsoft gibt kontinuierlich Notfall-Patches heraus. Kürzlich veröffentlichte das Unternehmen einen Notfall-Patch für eine kritische Windows-10-Schwachstelle mit dem Namen „Eternal Darkness“, die von einem Wurm ausgenutzt werden könnte. Sie betrifft das SMB-Protokoll, das für den Austausch von Dateien verwendet wird – dasselbe Protokoll, das vor drei Jahren zur Verbreitung von WannaCry genutzt wurde. Microsoft appelliert an die Anwender, das Update sofort einzuspielen, und gerade Einrichtungen im Gesundheitswesen sollten diesen Aufruf ernst nehmen.
- Zugriff einschränken
Für Krankenhäuser ist es empfehlenswert, alle Dienste einzustellen, die direkt über das Internet erreichbar sind. IT-Administratoren sollten in Betracht ziehen, eine strikte Whitelist für ausführbare Dateien aufzusetzen, sodass nur bekannte und vertrauenswürdige Anwendungen auf Krankenhauscomputern ausgeführt werden können.
- Auf digitale Hygiene achten
Krankenhäuser schulen ihr Personal zur Verbesserung der Hygiene – genauso sollten die Mitarbeiter regelmäßig Trainings und Informationen zur digitalen Hygiene erhalten. Die Belegschaft sollte über die aktuellen Angriffsarten und Betrugsmaschen von Cyberkriminellen aufgeklärt werden. Die E-Mail ist nach wie vor einer der beliebtesten Angriffsvektoren von Cyberkriminellen. Mitarbeiter müssen sich vor E-Mails von unbekannten Absendern in Acht nehmen und dürfen keinesfalls auf Links klicken oder Anhänge herunterladen, wenn sie nicht absolut sicher sind, dass diese seriös sind.
- Regelmäßig alle wichtigen Daten sichern
Wenn Dateien gesichert werden, verliert die Lösegeldforderung viel von ihrer Macht, denn die Systeme und Daten können wiederhergestellt werden. Wichtige Dokumente, einschließlich Patientenakten, sollten regelmäßig gesichert werden, damit Krankenhäuser immer eine saubere Version ihrer Dateien haben, falls diese von Hackern verschlüsselt werden. Am besten ist es, die Daten sowohl in der Cloud als auch physisch auf einem Datenträger zu sichern. Darüber hinaus ist ein einzelnes Image mit allen Standardeinstellungen nützlich, wenn ein PC auf einen früheren Zeitpunkt vor der Infektion zurückgesetzt werden muss.
Maßnahmen bei einer Ransomware-Infektion
Trotz dieser Vorkehrungen ist es leider immer möglich, Opfer eines Angriffs zu werden. Daher ist es wichtig zu wissen, was in einem solchen Fall zu tun ist:
Schritt 1: Sofort die infizierten Geräte isolieren
Bei einem Ransomware-Angriff gilt es zuerst, alle infizierten kabelgebundenen und kabellosen Computer und Geräte im Netzwerk ausfindig zu machen und vom Netzwerk zu trennen. So lässt sich verhindern, dass sich die Malware ausbreitet und weitere Computer, Tablets oder Smartphones befällt.
Es wird empfohlen, wirklich alles, was mit den Geräten im Netzwerk verbunden ist, zu trennen, einschließlich der externen Speicher.
Administratoren sollten prüfen, ob eines der anderen Geräte mit dem infizierten PC verbunden war. In dem Fall muss es ebenfalls auf Nachrichten mit Lösegeldforderungen hin untersucht werden.
Schritt 2: Protokolle sammeln für die forensische Analyse
Sobald das betroffene Gerät isoliert ist und der Netzwerkumgebung keinen weiteren Schaden zufügen kann, sollten Administratoren ein Bild des Live-Systems für die forensische Analyse erstellen. Das ist eine Momentaufnahme aller Protokolle und Ereignisse, die dem Einsatzteam hilft, herauszufinden, woher der Angriff kam und wie er ablief.
Schritt 3: Identifizieren, welche Ransomware vorliegt
Als nächstes sollten die Administratoren herausfinden, mit welcher Ransomware-Familie sie es zu tun haben. Dieses Wissen kann ihnen helfen, eine Lösung zu finden. Um die Ransomware auf einem Gerät zu bestimmen, empfehlen wir das Tool Cypto Sherrif von No More Ransom's. Es wird vom europäischen Cybercrime Center von Europol zur Verfügung gestellt und überprüft die verschlüsselten Dateien sowie die Lösegeldforderung. Wenn der Crypto-Sheriff die Verschlüsselung erkennt und eine Lösung hat, gibt es einen Link zum Herunterladen des benötigten Entschlüsselungsprogramms. Es empfiehlt sich auch, einschlägige Foren für PC-Fehlerbehebung und technischen Support zu durchforsten, um Informationen über die Ransomware-Variante zu finden, die entfernt werden muss. Selbst wenn sie neu ist, kann es Threads geben, die bei der Lösung helfen oder in denen die Forumsmitglieder gemeinsam auf eine Lösung hinarbeiten.
Einige Ransomware-Arten geben Dateien andere Dateierweiterungen (z.B.: .exe, .docx, .dll), nachdem sie sie verschlüsselt haben. Administratoren können in Foren nach den Namen der Erweiterungen suchen, um Diskussionen zu der Ransomware zu finden, die sie entfernen müssen.
Diese Foren sind nützliche Informationsquellen:
Schritt 4: Ransomware entfernen
Es ist wichtig, die Malware, die einen PC befallen hat, loszuwerden. Es gibt mehrere Optionen, Ransomware von einem Gerät mit Windows 10, 8 und 7 zu entfernen:
- Prüfen Sie, ob die Ransomware sich selbst gelöscht hat (was häufig der Fall ist)
- Entfernen Sie es mit einem Antivirenprogramm
- Entfernen Sie das Schadprogramm manuell
- Das System mit einem Image neu installieren
Auf seiner Webseite stellt Avast Nutzern und Administratoren eine detaillierte Schritt-für-Schritt-Anleitung zur Verfügung: https://www.avast.com/c-how-to-remove-ransomware-pc