FBI identifiziert 16 Conti-Ransomware-Angriffe auf Netzwerke im US-Gesundheitswesen und bei Ersthelfern

Cyber Security News

Die Cyber-Abteilung des FBI leitet die nationalen Bemühungen zur Untersuchung und Verfolgung von Internet-Verbrechen. (FBI)

Das FBI berichtete, dass die Conti-Gruppe, die vor kurzem das irische Gesundheitssystem getroffen hat, für mindestens 16 Ransomware-Angriffe im vergangenen Jahr verantwortlich war, die auf Netzwerke des US-Gesundheitswesens und von Ersthelfern abzielten, darunter Strafverfolgungsbehörden, medizinische Notdienste, 911-Zentralen und Gemeinden.

Nach Angaben des FBI gehören diese Netzwerke des Gesundheitswesens und der Ersthelfer zu den mehr als 400 Organisationen weltweit, die Opfer von Conti wurden – und über 290 befinden sich in den USA.

Wie die meisten Ransomware-Varianten stiehlt Conti typischerweise die Dateien der Opfer und verschlüsselt die Server und Workstations, um eine Lösegeldzahlung von den Opfern zu erzwingen. Der Lösegeldbrief weist die Opfer an, die Akteure über ein Online-Portal zu kontaktieren, um die Transaktion abzuschließen. Wenn das Lösegeld nicht gezahlt wird, werden die gestohlenen Daten verkauft oder auf einer öffentlichen Website veröffentlicht, die von den Conti-Akteuren kontrolliert wird. Die Lösegeldbeträge variieren stark und sind nach Einschätzung des FBI auf das jeweilige Opfer zugeschnitten. In letzter Zeit wurden Lösegeldforderungen in Höhe von bis zu 25 Millionen US-Dollar gestellt.

Ransomware-Gruppen wie Conti-Akteure werden immer wieder auftauchen und mit jeder Organisation, die zahlt, an Raffinesse gewinnen”, sagte Joseph Neumann, Cyber Executive Advisor bei Coalfire. Neumann sagte, dass Ersthelfer und Krankenhäuser gute Ziele sind, weil sie nach einem Angriff dringend wieder in Betrieb genommen werden müssen.

“Selbst wenn diese Organisationen einen soliden Plan haben, um wieder normal zu arbeiten, könnte es langsamer sein als die Zahlung der Ransomware”, sagte Neumann. “Wie der Colonial-Pipeline-Vorfall gezeigt hat, der sich immer noch auf die Gaspreise und die Nachfrage auswirkt, ist die Wiederherstellung des Dienstes langsam, selbst wenn das Lösegeld bezahlt wird. Außerdem wird die gemeldete hohe Auszahlung den Angreifern nur mehr Kapital geben, um ihre Infrastruktur weiter zu verbessern und neue und bessere Talente anzuziehen.”

Oliver Tavakoli, CTO bei Vectra, sagte, während jede der aktiven Ransomware-Gruppen ihre eigene spezielle Sammlung von Tools hat, sind viele dieser Tools bekannt und umständlich. Tavakoli sagte, der FBI-Bericht erwähnt Mimikatz, ein Tool, das 2007 entwickelt wurde. Und Elemente von Cobalt Strike wurden auch im SolarWinds Supply-Chain-Hack verwendet.

“Gestohlene RDP-Anmeldeinformationen werden von mehreren Ransomware-Gruppen genutzt, und das Verschlüsseln von Daten, um operatives Chaos zu verursachen und Lösegeld über schwer zu verfolgende Kryptowährungen zu erpressen, ist ein relativ neues Phänomen”, sagte Tavakoli. “Während es konzertierte staatliche Bemühungen geben kann, um bestimmte Ransomware-Gruppen vorübergehend zu stören, müssen Unternehmen viel besser darin werden, eine Spitze von gefährlichen Signalen in ihren Umgebungen zu erkennen und die Angriffe zu stoppen, bevor die Exfiltration und Verschlüsselung beginnt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com