Das Health Sector Cybersecurity and Coordination Center (HC3) hat nach einer Reihe von Angriffen auf den HPH-Sektor im April durch die Ransomware-Gruppen Clop und LockBit eine neue Ransomware-Warnung an den Gesundheits- und öffentlichen Gesundheitssektor (HPH) herausgegeben.
HC3 hat mehrere Warnungen bezüglich der Ransomware-as-a-Service-Gruppen Clop und LockBit herausgegeben, die mehrere Angriffe auf die Gesundheitsbranche durchgeführt haben. Clop steckte hinter den Angriffen auf die MFT-Lösung GoAnywhere von Fortra im Januar/Februar 2023 und den Angriffen im Jahr 2022 auf die Dateiübertragungsanwendung Accellion (FTA), die beide Zero-Day-Schwachstellen in diesen Lösungen ausnutzten. Die letzte Warnung bezüglich LockBit wurde im Dezember 2022 nach mehreren Angriffen auf Organisationen im HPH-Sektor herausgegeben.
Die Clop-Gruppe nutzte die GoAnywhere MFT-Schwachstelle (CVE-2023-0669) aus und stahl Daten von ungefähr 130 Organisationen, und die beiden Gruppen wurden dabei beobachtet, wie sie zwei weitere kürzlich offengelegte Schwachstellen – CVE-2023-27350 und CVE-2023-27351 – ausnutzten Authentifizierung umgeht Sicherheitslücken in der weit verbreiteten Druckverwaltungssoftware PaperCut MF/NG. Diese beiden Schwachstellen wurden vom Entwickler am 19. April 2023 offengelegt und in den PaperCut-Versionen 20.1.7, 21.2.11 und 22.0.9 und höher behoben.
Am 26. April 2023 gab Microsoft bekannt, dass ein Bedrohungsakteur namens Lace Tempest Schwachstellen in PaperCut ausnutzt und dass sich diese Aktivitäten mit den Bedrohungsgruppen FIN11 und TA505 überschneiden, die beide Verbindungen zu Clop haben. Nach dem Ausnutzen der Schwachstellen wurde die TrueBot-Malware eingesetzt, die bekanntermaßen von der Clop-Ransomware-Operation verwendet wird. Bei einigen der Angriffe wurde LockBit-Ransomware eingesetzt.
Erhalten Sie KOSTENLOS
HIPAA-Checkliste
Entdecken Sie alles, was Sie brauchen
HIPAA-konform werden
Lieferung per E-Mail, achten Sie also bitte darauf, dass Sie Ihre E-Mail-Adresse korrekt eingeben.
Ihre Privatsphäre respektiert
HIPAA Review-Datenschutzrichtlinie
Netzwerkverteidiger wurden aufgefordert, ihre Server schnell zu reparieren, indem sie auf die neuesten Versionen von PaperCut aktualisieren. Wenn dies nicht möglich ist, gibt es eine empfohlene Problemumgehung, die darin besteht, den gesamten Datenverkehr zum Webverwaltungsport (9191) von externen IP-Adressen auf Edge-Geräten zu blockieren und den gesamten Datenverkehr zum Standardport 9191 auf der Server-Firewall zu blockieren. Benutzer der GoAnywhere MFT-Lösung von Fortra sollten den Hauptverschlüsselungsschlüssel rotieren, alle Anmeldeinformationen zurücksetzen, Prüfprotokolle überprüfen und verdächtige Administrator- und Benutzerkonten löschen.
Weitere empfohlene Abwehrmaßnahmen gegen Angriffe von Clop, LockBit und anderen cyberkriminellen Gruppen sind in detailliert beschrieben die HC3-Warnung.
„Freiberuflicher Kommunikator. Hardcore-Web-Praktiker. Unternehmer. Totaler Student. Bier-Ninja.“