Killnet nimmt Gesundheitsdienstleister ins Visier – Was Sie wissen und was Sie tun müssen
Der Krieg in der Ukraine heizt sich in den letzten Tagen mit zahlreichen Raketen- und Drohnenangriffen wieder auf. Dies folgt auf die Versprechen westlicher Verbündeter, die Ukraine mit Panzern beim Zurückdrängen russischer Streitkräfte zu unterstützen. Doch der Kampf gegen Cyberkriminelle wird immer häufiger zu Hause geführt, insbesondere was US-Gesundheitsorganisationen und -Krankenhäuser angeht.
Die pro-russische Gruppe Killnet startete in den letzten Tagen eine Reihe von DDoS-Angriffen (Distributed Denial of Service) gegen einige der führenden Kliniken und medizinischen Zentren in den USA, und viele Experten sind der Meinung, dass ähnliche Angriffe auch auf andere Länder, die die Ukraine unterstützen, ausgeweitet werden könnten.
Warum Sie wahrscheinlich schon von Killnet gehört haben
Killnet ist nicht neu, aber die Art ihrer Angriffe auf staatliche Institutionen, private Unternehmen – und jetzt auch Gesundheitsorganisationen – entwickelt sich weiter. Killnet ist dasselbe pro-russische Hacker-Kollektiv, das kürzlich die Website des Europäischen Parlaments (EP) mit einem DDoS-Angriff lahmgelegt hat, nachdem die Staats- und Regierungschefs des EP „Russland zum staatlichen Förderer des Terrorismus erklärt hatten“, so Parlamentspräsidentin Roberta Metsola. Auch Litauen, die Tschechische Republik und Rumänien haben Angriffe auf ihre Regierungswebsites verzeichnet.
In den Vereinigten Staaten ist die Bedrohungslandschaft etwas breiter. Zu Killnets Zielen gehörten im letzten Jahr die Regierungswebsites von mindestens drei Staaten. Im Oktober 2022 fielen auch Websites von US-amerikanischen Flughäfen Killnet zum Opfer, und die Gruppe übernahm die Verantwortung für den Diebstahl von Mitarbeiterdaten vom Verteidigungsunternehmen Lockheed Martin bei einem Cyberangriff im August 2022.
All diese Organisationen können als kritische Infrastruktur betrachtet werden, doch ein Angriff auf Gesundheitssysteme geht noch einen Schritt weiter und hat das Potenzial, Millionen von Patienten auf einmal zu treffen.
Gängige Techniken, einzigartiges Ziel
Killnet greift in zwei Phasen an, indem es Websites zunächst mit einer HTTP-Flood und dann mit einem DNS-Verstärkungsangriff angreift. Diese Techniken sind nicht einzigartig, aber der jüngste Fokus von Killnet auf die Gesundheitsbranche ist es sehr wohl.
Angesichts des Schwerpunkts, den die Regierung Biden Ende letzten Jahres auf das Gesundheitswesen als Schlüsselbereich für die Verbesserung von Richtlinien und Anforderungen für die Cybersicherheit gelegt hat, ist es nicht völlig überraschend, dass eine pro-russische Organisation derartige Schwachstellen ausnutzen würde. Ob diese Schwachstellen nur vermutet oder sichergestellt sind, ist unerheblich.
Was wir wissen – und wie wir helfen können
Killnet-Angreifer analysieren ihre Ziele tiefgreifend, und jüngste Ereignisse haben gezeigt, dass das Gesundheitswesen wahrscheinlich weiterhin ein Hauptziel sein wird. Mit der rasanten Digitalisierung der Gesundheitsbranche verändern sich auch die Gespräche über Sicherheit, Infrastruktur und Risikominderung.
Akamai fördert in diesem Bereich den proaktiven Dialog, indem wir Daten und die Ausspähungstechniken von Angreifern untersuchen. Im Gesundheitswesen ist dies besonders wichtig, da die Branche im Jahr 2022 die meisten DDoS-Angriffe auf die Akamai-Plattform verzeichnete (mit Ausnahme führender vertikaler Märkte, wie z. B. des digitalen Handels, die als etablierte Branchen ein größeres Volumen haben).
Was wir beobachtet haben, ist, dass Gruppen wie Killnet offensichtlich sehr wohl wissen, wer derzeit geschützt ist und wer nicht. DDoS-Angriffe konzentrieren sich in der Regel auf weniger gut geschützte Unternehmen. Durch sorgfältige und präzise Ausspähung bestimmen die Angreifer, wer als Nächstes angegriffen wird.
Ich weiß, dass es schwierig ist, die Zeit und die Ressourcen zu binden, die erforderlich sind, um die richtige Risikobewältigung zu finden, aber es gibt nichts Schlimmeres, als in einen Cyberkrieg hineingezogen zu werden, ohne einen vorab erstellten Reaktionsplan zur Hand zu haben.“
Roger Barranco, Vice President of Security Operations bei Akamai
Eine einfache HTTP-Anfrage oder BGP-Peering-Abfrage kann den Anfragepfad vom Computer des Angreifers zurück zum Zielwebserver validieren oder offenlegen, ob die Zielinfrastruktur durch BGP-/Routing-basierte DDoS-Abwehrmechanismen geschützt ist.
Wie geht es weiter?
Niemand kann die Zukunft vorhersagen. Doch als Industrie, die kürzlich von COVID-19, geringeren Gewinnmargenund Mitarbeiterengpässen (neben unzähligen anderen Herausforderungen) betroffen war, ist es wahrscheinlich, dass die Gespräche im Gesundheitswesen sich derzeit eher auf klinische oder finanzielle Ergebnisse konzentrieren.
Das muss sich ändern. Heute geht es beim Schutz von Patienten um mehr als nur das Tragen einer Maske oder das Bereitstellen von Impfungen. Es geht um den Schutz der personenbezogenen Daten von Patienten und den ganzheitlichen Schutz der Systeme, die eine kontinuierliche Verfügbarkeit erfordern, um rund um die Uhr Gesundheitsdienstleistungen bereitzustellen. Die Bewertung der Bedrohungsbereitschaft ist ein wesentlicher Bestandteil dieses Gesprächs – ein Aspekt, mit dem sich Akamai sehr gut auskennt.
Wenn ein Unternehmen das Risiko akzeptiert, das mit einer relativ schwachen Verteidigungsebene verbunden ist, sollte es zumindest eine technische Bewertung vornehmen, um herauszufinden, was es für ein Notfall-Onboarding braucht – z. B. die Zeit bis zur Bereitstellung, die Auswirkungen bis zur Bereitstellung, die bestehenden Anforderungen an die Gerätekonfiguration und die Kosten.“
Roger Barranco, Vice President of Security Operations bei Akamai
Mehr dazu
Sie möchten mehr über die Entwicklung und wachsende Bedrohung durch DDoS-Angriffe erfahren? Anhand dieser 30-minütigen Überprüfung der Sicherheitsarchitektur mit Experten von Akamai können Sie herausfinden, ob Sie gefährdet sind.
