Krankenhäuser im ganzen Land sind in höchster Alarmbereitschaft, da hochentwickelte Cyberkriminelle fortgeschrittene Social-Engineering-Taktiken einsetzen, um IT-Helpdesks ins Visier zu nehmen.

Das Health Sector Cybersecurity Coordination Center (HC3) hat einen Sektor-Alarm herausgegeben, der die neueste Bedrohung für die Gesundheitsbranche im Detail beschreibt.

Der jüngste Bericht des HC3 offenbart einen besorgniserregenden Trend, bei dem Bedrohungsakteure Social Engineering nutzen, um unbefugten Zugang zu Krankenhaussystemen zu erhalten. Diese Kriminellen geben sich als Krankenhausmitarbeiter in Finanzabteilungen aus, um IT-Helpdesks dazu zu bringen, ihnen Zugang zu sensiblen Informationen und Systemen zu gewähren.

Taktiken der Cyberkriminellen

  • Lokale Telefonanrufe: Angreifer rufen die IT-Helpdesks aus lokalen Vorwahlen an und geben sich als Krankenhausmitarbeiter aus.
  • Identitätsüberprüfung: Sie bieten die letzten vier Ziffern der Sozialversicherungsnummer und die Firmen-ID eines Mitarbeiters an, die wahrscheinlich von professionellen Netzwerkseiten oder früheren Datenverletzungen stammen.
  • MFA-Ausnutzung: Indem sie behaupten, ihr Telefon sei kaputt, überzeugen sie die Helpdesks, ein neues Gerät für die Multi-Faktor-Authentifizierung (MFA) zu registrieren, wodurch Sicherheitsmaßnahmen umgangen werden.
  • Zahlungsumleitung: Sobald sie im System sind, zielen die Angreifer auf Login-Informationen für Zahlungswebseiten ab, um Zahlungen auf ihre Bankkonten umzuleiten.

Analyse der Bedrohung

  • Frühere Vorfälle: Im September 2023 verwendete Scattered Spider ähnliche Taktiken in einem hochkarätigen Angriff auf die Gastgewerbe- und Unterhaltungsindustrie, was zur Bereitstellung von Ransomware führte.
  • Voice Phishing: Die Technik, bekannt als Spearphishing Voice (T1566.004), beinhaltet Sprachanrufe, um Nutzer dazu zu manipulieren, Systemzugang zu gewähren.
  • KI-Stimmimitation: Eine weltweite Studie ergab, dass jeder vierte Mensch einen KI-Stimmklonbetrug erlebt hat oder jemanden kennt, der davon betroffen war.

Minderungsstrategien

Gesundheitsorganisationen werden aufgefordert, mehrere Minderungsstrategien umzusetzen:

  • Rückrufüberprüfung: Für Passwort-Resets oder neue Geräteregistrierungen sind Rückrufe an die im System hinterlegte Telefonnummer des Mitarbeiters erforderlich.
  • Persönliche Überprüfung: Einige Krankenhäuser verlangen jetzt, dass Mitarbeiter für sensible Anfragen persönlich am IT-Helpdesk erscheinen.
  • Bestätigung durch Vorgesetzte: Richtlinien können verlangen, den Vorgesetzten des Mitarbeiters zu kontaktieren, um die Identität und die Legitimität der Anfrage zu überprüfen.
  • Benutzerschulung: Nutzer über Social Engineering und Spearphishing-Versuche aufklären und deren Meldung fördern.

Technische Empfehlungen für Microsoft-Umgebungen

Für Organisationen, die Entra ID (ehemals Microsoft Azure Active Directory) verwenden, empfiehlt Mandiant:

  • Microsoft Authenticator: Nummernabgleich erzwingen und SMS als MFA-Option entfernen.
  • Benutzerdefinierte Authentifizierungsstärke: Nur „Passwort + Microsoft Authenticator (Push-Benachrichtigung)“ für den Zugriff festlegen.
  • Bedingte Zugriffsrichtlinien: Richtlinien erstellen, die Zugriff nur für die neu erstellte Authentifizierungsstärke gewähren und externen Zugriff auf Verwaltungsfunktionen blockieren.

Der Alarm des HC3 unterstreicht die sich entwickelnde Bedrohungslandschaft und den Bedarf an verstärkten Sicherheitsmaßnahmen im Gesundheitssektor.

Krankenhäuser müssen wachsam bleiben und proaktiv in der Schulung des Personals, der Implementierung robuster Verifizierungsprozesse und der Nutzung fortschrittlicher Sicherheitstechnologien sein, um sich gegen diese ausgeklügelten Angriffe zu schützen.