Gesundheit-ISAC Hacking Healthcare 11
TLP White: Diese Woche beginnt Hacking Healthcare mit der Analyse der möglichen Auswirkungen eines neuen Berichts, der besagt, dass Ransomware-Akteure am Zero-Day-Markt interessiert und in der Lage sind, sich dort einzukaufen. Anschließend untersuchen wir einen neuen Europol-Bericht über schwere und organisierte Kriminalität, der einige interessante Dinge über die Struktur und Aktivitäten des Cybercrime-Ökosystems der Europäischen Union (EU) zu sagen hat. Abschließend behandeln wir die vom Iran geförderten Cyberangriffe und erläutern, was in naher Zukunft zu noch mehr Aktivitäten führen könnte.
Anmerkung des Autors: Ich werde nächste Woche beim H-ISAC-Gipfel in San Diego sein. Diejenigen von Ihnen, die die Reise auf sich nehmen, hoffe ich kennenzulernen.
Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).
PDF-Version:
Textversion:
Willkommen zurück zu Hacken des Gesundheitswesens.
1. Ransomware-Akteure und Zero Days
Ransomware ist nach wie vor ein lukratives und weit verbreitetes Unterfangen, aber Forscher von Digital Shadows vermuten, dass zumindest einige Ransomware-Akteure sich nicht mit bewährten Methoden zufrieden geben und nach neuen Wegen suchen, um ihre Gewinne zu vervielfachen. In einem kürzlich veröffentlichten Bericht deutet Digital Shadows an, dass das Interesse von Cyberkriminellen am Eintritt in den Zero-Day-Markt zunimmt und die Folgen erheblich sein könnten.
Dieser neue Bericht legt nahe, dass einige der reiferen Ransomware-Gruppen so erfolgreich waren, dass sie nun finanziell in der Lage sind, ernsthaft über den Kauf von Zero-Day-Schwachstellen nachzudenken, und dass Verkäufer/Entwickler solcher Schwachstellen begonnen haben, mit ihnen in Foren für Cyberkriminelle zusammenzuarbeiten. Dies wäre eine besorgniserregende Entwicklung, da der Kauf von Zero-Day-Schwachstellen historisch gesehen nur ressourcenreichen staatlichen Akteuren vorbehalten war. Diese Exklusivität ist größtenteils auf den Preis für Zero-Day-Schwachstellen zurückzuführen, der je nach Komplexität und Anwendbarkeit mehrere Millionen betragen kann.
Sie fragen sich zu Recht, warum Cyberkriminelle daran interessiert sein sollten, Millionen von Dollar für den Kauf einer Zero-Day-Sicherheitslücke auszugeben, wenn der derzeitige Prozess der Ausnutzung seit langem bekannter Sicherheitslücken offenbar gut funktioniert. Der Grund dafür scheint die Überlegung eines „Exploit-as-a-Service“-Modells zu sein, das „fähigen Bedrohungsakteuren ermöglichen würde, Zero-Day-Exploits an andere Cyberkriminelle zu ‚vermieten‘, damit diese ihre Angriffe durchführen können“. Der Bericht weist darauf hin, dass Verkäufer/Entwickler von Zero-Day-Sicherheitslücken mit diesem Ansatz versuchen könnten, Zero-Day-Sicherheitslücken zu vermieten und zu testen. Auf diese Weise könnten sie die Gültigkeit ihres Produkts bestätigen und gleichzeitig Geld verdienen, bis ein endgültiger Käufer gefunden ist.
Aktion & Analyse
**Mitgliedschaft erforderlich**
2. Europol: Bedrohungsanalyse der EU im Bereich schwere und organisierte Kriminalität
Europol, die Strafverfolgungsbehörde der Europäischen Union (EU), hat kürzlich ihren Bericht zur Bedrohungsbewertung im Bereich der schweren und organisierten Kriminalität veröffentlicht. Der Bericht ist als „zukunftsorientiertes Dokument zur Bewertung von Veränderungen in der Landschaft der schweren und organisierten Kriminalität“ konzipiert und deckt ein breites Spektrum von Aktivitäten ab, darunter eine Aufschlüsselung der Perspektive von Europol auf das Umfeld der Cyberkriminalität. Einige der wichtigsten Erkenntnisse des Berichts sind eine eingehendere Untersuchung wert.
Der 108-seitige Bericht „bietet einen Überblick über den aktuellen Wissensstand zu kriminellen Netzwerken und ihren Operationen“ und basiert auf „Daten, die Europol von Mitgliedstaaten und Partnern zur Verfügung gestellt wurden“. Während ein Großteil des Berichts eher traditionelle kriminelle Unternehmen beschreibt, sind die Abschnitte zur Cyberkriminalität faszinierend und helfen, die Struktur der Cyberkriminellenorganisationen in der EU zu beleuchten. Zu den interessanteren Erkenntnissen des Berichts gehören:
• – Die Zahl cyberkrimineller Netzwerke ist relativ gering, was daran liegen könnte, dass „Cyberkriminalität viele Kriminelle umfasst, die individuell und nicht im Rahmen etablierter Netzwerke agieren.“
• – Infolge des verstärkten Wettbewerbs und des Zugangs zu Online-Kommunikationstools scheint Gewalt als Dienstleistung zuzunehmen, und Europol hat Grund zu der Annahme, dass „Gewalt im Zusammenhang mit traditionell gewaltfreien kriminellen Aktivitäten wie Steuerbetrug oder Cyberkriminalität häufiger vorkommen könnte.“
• – „Nahezu alle kriminellen Aktivitäten weisen heute Online-Komponenten auf, beispielsweise digitale Lösungen, die die kriminelle Kommunikation erleichtern.“
• – „Die Erfolge der Strafverfolgungsbehörden bei der Schließung beliebter Marktplätze in Kombination mit Cyberangriffen auf Plattformen, Exit-Fraud oder freiwilligen Schließungen scheinen bei den Nutzern ein gewisses Misstrauen erzeugt und könnten das Wachstum dieser Online-Umgebung verlangsamt haben.“
• – Die Überzeugung, dass kritische Infrastrukturen auch in den kommenden Jahren Zielscheibe sein werden.
• – „Cyberkriminalität ist für Kriminelle aufgrund der potenziellen Gewinne, des begrenzten Risikos einer Entdeckung und einer strafrechtlichen Verfolgung attraktiv, was im Erfolgsfall oft nur geringe Strafen nach sich zieht.“
• – Europol erwartet einen Anstieg cyberkrimineller Aktivitäten im Zusammenhang mit COVID-19-Impfstoffen, darunter auch Angriffe auf die Arzneimittelforschung.
• – Weltweite wirtschaftliche Schwierigkeiten könnten „zu einem erheblichen Anstieg der Zahl der Personen führen, die sich an Cyberkriminalität beteiligen oder Cyberkriminalität betreffende Dienste anbieten.“
Der frei verfügbare Bericht wiederholt sich gelegentlich, ist aber unkompliziert und leicht zugänglich. Wir empfehlen allen, die mehr über die oben genannten Ergebnisse oder das Zusammenspiel zwischen Cyberkriminalität und anderen Straftaten erfahren möchten, den vollständigen Bericht zu lesen.
Aktion & Analyse
**Mitgliedschaft erforderlich**
3. Zunahme von Cyberangriffen aus dem Iran
Am 17. November veröffentlichten das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) gemeinsam mit ihren australischen und britischen Kollegen, dem Australian Cyber Security Centre und dem britischen National Cyber Security Centre, eine Warnung. Die Warnung warnt, dass von der iranischen Regierung gesponserte Advanced Persistent Threat Actors (APT) Schwachstellen sowohl in Microsoft Exchange als auch in Fortinet (einem großen Cybersicherheitsanbieter mit Sitz in Kalifornien) ausnutzen, um sich Zugang zu einer Reihe kritischer US-Infrastrukturorganisationen in den Bereichen Transport und öffentliche Gesundheit sowie zu einigen Organisationen in Australien zu verschaffen.
Dieser Zugriff ermöglichte verschiedene bösartige Folgeoperationen, darunter Datenexfiltration, Erpressung und den Einsatz von Ransomware. Die bösartigen Aktivitäten begannen im März dieses Jahres und dauerten bis Ende Oktober an. Im Juni nutzte die Gruppe beispielsweise ein Fortinet-Gerät, um auf Umgebungskontrollnetzwerke eines Kinderkrankenhauses in den USA zuzugreifen. Weitere Einzelheiten zu den Auswirkungen dieses spezifischen Angriffs müssen noch veröffentlicht werden.
Einen Tag vor der Veröffentlichung der Bundeswarnung präsentierte Microsofts Threat Intelligence Center (MSTIC) auf der CyberWarCon 2021 einen Bericht über die jüngsten Trends bei der Aktivität iranischer Bedrohungsakteure. In seiner Präsentation verwies MSTIC auf die Raffinesse und Hartnäckigkeit der iranischen nationalstaatlichen Betreiber und ihren zunehmenden Einsatz von Ransomware, um entweder Geld einzutreiben oder ihre Ziele zu stören.
Die Microsoft-Forscher beobachteten, dass mindestens sechs verschiedene iranische Hackergruppen Ransomware einsetzten, um „ihre strategischen Ziele zu erreichen“. Obwohl sie keine branchenspezifischen Zieltrends hervorhoben, stellten die Microsoft-Forscher in einem separaten Bericht fest, dass diese iranischen APT-Gruppen bereits in frühere bösartige Cyberaktivitäten verwickelt waren, darunter Social-Engineering-Angriffe während der US-Präsidentschaftswahlen 2020. Der zunehmende Umfang ihrer Angriffe deutet auf den Wunsch hin, sich Zugang zu verschaffen und verschiedenen privaten und staatlichen Sektoren in den gesamten Vereinigten Staaten und über verschiedene Lieferketten hinweg Schaden zuzufügen.
Aktion & Analyse
**Mitgliedschaft erforderlich**
Kongress
Dienstag, 23. November:
– Keine relevanten Anhörungen
Mittwoch, 24. November:
– Keine relevanten Anhörungen
Donnerstag, 25. November:
– Keine relevanten Anhörungen
Internationale Anhörungen/Treffen –
– Keine relevanten Treffen
Konferenzen, Webinare und Gipfeltreffen –
Kontaktieren Sie uns: Folgen Sie @HealthISAC und senden Sie eine E-Mail an contact@h-isac.org
- Verwandte Ressourcen und Neuigkeiten
- Bedrohungslandschaftsbericht für das Gesundheitswesen und die Sozialhilfe
- Agentengesteuerte KI im Gesundheitswesen ist ein riskantes Unterfangen.
- Live@eXchange Tag 2 – Health-ISAC-Sicherheitsanalyst für Medizinprodukte
- Gesundheit-ISAC Hacking Healthcare 6
- Neue Sicherheitslücken zielen auf die Gesundheitsbranche ab
- Monatlicher Newsletter – Juni 2026
- Was wirklich nötig ist, um die Gesundheitsversorgung zu sichern
- Geräteinventarisierung und PHI-Mapping werden die größten Herausforderungen bei Inkrafttreten des neuen HIPAA-Gesetzes darstellen.
- Verizon DBIR: Gesundheitswesen wehrt vermehrte Social-Engineering-Angriffe ab
- Bericht zum Stand des menschlichen Cyberrisikos