Müssen Krankenhäuser Angst vor Ransomware-Angriffen haben? Zwei Betreiber von bekannten Schadprogrammen geben Entwarnung.
Zwei Ransomware-Betreiber versprechen, während der Coronavirus-Pandemie keine medizinische Organisationen anzugreifen. Die Tech-News-Seite BleepingComputer kontaktierte Betreiber bekannter Erpressungssoftware wie Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker und Ako. Aber nicht alle plauderten aus dem Nähkästchen.
Kommen Betreiber von Ransomware zur Vernunft?
In der Vergangenheit sind Krankenhäuser vielfach Opfer von Ransomware-Attacken geworden. Dabei werden Daten auf dem fremden Computer verschlüsselt und der Zugriff auf sie unterbunden, um für die Freigabe ein Lösegeld zu fordern. In der jetzigen angespannten Situation wäre eine neue Kampagne gegen Einrichtungen der Gesundheitsversorgung fatal. Manche Betreiber der Schadprogramme geben sich deshalb für den Moment kompromissbereit und wollen in der Coronaviruskrise einen Gang zurückschalten. So erklärten die Macher hinter DoppelPaymer etwa, dass sie normalerweise nicht explizit auf Krankenhäuser oder Pflegeheime abzielen und diesen Ansatz auch während der Pandemie fortsetzen. „Wir versuchen stets, Krankenhäuser und Pflegeheime zu vermeiden.“ Nur gelegentlich passiere das aufgrund von „Fehlkonfigurationen in den Netzwerken“.
Alle außer Pharma-Konzerne sind sicher
Sollte es aber doch vorkommen, wolle man die Sache prüfen und die Keys zur Entschlüsselung der Daten kostenlos übermitteln. Die Betreiber betonen jedoch, dass sie dies besonders streng kontrollieren. „Wir werden eine doppelte und dreifache Überprüfung durchführen, bevor wir die Entschlüsselung kostenlos freigeben.“ Denn es hätte auch schon Firmen gegeben, die sich als Tierheim ausgaben und sich durch solche Notlügen von der Ransomware befreien wollten. Wenn eine medizinische Organisation irrtümlicherweise verschlüsselt wird, könne das Opfer sie via E-Mail oder Tor-Webseite kontaktieren.
Dann müssten sie erst den Beweis vorlegen und erhalten dann im Gegenzug einen Entschlüsselungscode. Ausgenommen vom vorübergehenden Waffenstillstand seien allerdings Pharma-Unternehmen, die sich auch weiterhin nicht sicher fühlen dürfen. „Sie verdienen eine Menge zusätzlich an der aktuellen Panik“, kritisieren die Betreiber.
Maze stoppt alle Ransomware-Attacken
Auch die Betreiber von Maze reagierten auf die Fragen von BleepingComputer : „Wir stoppen alle Aktivitäten gegen alle Arten von medizinischen Organisationen bis zur Stabilisierung der Situation mit dem Virus.“ Ob ein kostenloser Entschlüsseler zur Verfügung gestellt würde, wenn eine medizinische Organisation fälschlicherweise verschlüsselt wird, beantworten sie nicht.
Andere Ransomware-Größen meldeten sich bei der Tech-Nachrichtenseite bislang nicht zurück. Dabei wäre es interessant zu wissen, was beispielsweise Ryuk plant oder eben nicht plant. Schließlich ist Ryuk weltweit gefürchtet und war in eine Reihe von Angriffen auf Städte, Krankenhäuser und Organisationen rund um den Globus verwickelt. Im September 2019 hatten Kriminelle die Stadt New Bedford mit der Ryuk-Ransomware infiziert. Aber auch andere Schadsoftware wie Sodinokibi/REvil, PwndLocker und Ako gaben ebenfalls keine Stellungnahme ab.
Securitysoftware-Firmen bieten Hilfe an
Sollten Organisationen als Folge eines solchen Angriffs keinen Zugriff auf ihre Systeme und Daten haben, wollen Securitysoftware-Unternehmen aushelfen. Sowohl Emsisoft als auch Coveware kündigten an, während der Pandemie ihren Dienst den Gesundheitsorganisationen kostenlos zur Verfügung zu stellen. Das beinhaltet die technische Analyse der Ransomware wie auch die Entwicklung eines Entschlüsselungs-Tools.
Foto 5tep5, thx!
Tarnkappe.info