tisdag 22 september 2020

Spur der Uniklinik-Hacker soll nach Rußland führen

https://www.spiegel.de/netzwelt/web/duesseldorf-spur-der-uni-klinik-hacker-soll-nach-russland-fuehren-a-a0430786-251e-4cba-af9c-a7599f14f5e8
 
22. September 2020
 
Nachdem die Düsseldorfer Uniklinik gehackt wurde, ist eine Notfallpatientin, die verlegt werden mußte, verstorben. Die eingesetzte Schadsoftware könnte nun Hinweise geben, wer hinter dem Vorfall steckt.
 
Nach dem Hack der Düsseldorfer Uniklinik führt eine mögliche Spur der Täter laut dem nordrhein-westfälischen Justizministerium nach Rußland. Denn bei der eingesetzten Schadsoftware habe es sich um DoppelPaymer gehandelt.
 
Das ist ein sogenannter Verschlüsselungstrojaner (Ransomware), der von einer Hackergruppe eingesetzt wird, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium von Nordrhein-Westfalen am Dienstag in einem Bericht an den Rechtsausschuß mit.
 
Durch den Hack kam es an der Klinik zu einem IT-Ausfall, weswegen eine Notfallpatientin umgeleitet werden mußte. Die Frau verstarb kurze Zeit später.
 
Ermittlungen zu den Hintermännern sind kompliziert
 
Wer für Angriffe mit Verschlüsselungstrojanern verantwortlich ist, ist auch für IT-Experten nur schwer zu ermitteln - geschweige denn sicher zu beweisen. Bis heute ist beispielsweise unbekannt, welche Hacker hinter dem Trojaner Emotet stecken, über den viele der Verschlüsselungsattacken ablaufen.
 
IT-Experten gehen davon aus, daß die Hacker dem organisierten Verbrechen zugerechnet werden können. Es gibt außerdem verschiedene Hinweise, daß die Gruppen hinter den Verschlüsselungsangriffen aus Rußland operieren. Zum Beispiel werden auffällig selten russische Organisationen und Unternehmen von der Schadsoftware befallen. (Lesen Sie hier mehr über die Jagd gegen die Verschlüsselungs-Hacker)
 
Mit der Schadsoftware DoppelPaymer wurden in den vergangenen Monaten bereits verschiedene Organisationen und Unternehmen weltweit angegriffen. Experten der IT-Sicherheitsfirma Crowdstrike gehen beispielsweise davon aus, daß DoppelPaymer auch für Angriffe auf das chilenische Landwirtschaftsministerium und auf die Verwaltung der texanischen Stadt Edcouch verantwortlich sein soll.
 
Cybercrime-Stelle in Köln ermittelt
 
Bei dem Hack der Düsseldorfer Uniklinik waren vor zwei Wochen 30 Server der Uniklinik verschlüsselt worden. Eigentlich wollten die Erpresser offenbar die Düsseldorfer Universität attackieren. Als die Polizei den Hackern ihren mutmaßlichen Fehler mitteilte, schickten die einen digitalen Schlüssel, mit dem die Uniklinik die Daten wieder entschlüsseln konnte. Die IT der Uniklinik ist aber weiterhin nicht voll einsatzbereit.
 
Am Freitag hat die Zentral- und Ansprechstelle Cybercrime in Köln die Ermittlungen in dem Fall übernommen. Ermittelt wird wegen "fahrlässiger Tötung", da es einen Anfangsverdacht gibt, daß die unbekannten Täter für den Tod der Patientin verantwortlich sind. Die Ermittlungen dauern an.
 
hpp/dpa