Neuentdeckte Hackergruppe Orangeworm zielt auf Unternehmen aus dem Gesundheitssektor ab.

Symantec hat eine zuvor unbekannte Hackergruppe namens Orangeworm identifiziert. Orangeworm nutzt einen Backdoor-Trojaner namens Kwampir, um Unternehmen im Gesundheitswesen auszuspionieren.

Hinter dem Angriff wird zurzeit Industriespionage vermutet. Zu den Opfern gehören Krankenhäuser, Ärzte, Pharmaunternehmen, IT-Lösungsanbieter für das Gesundheitswesen und Gerätehersteller, die die Gesundheitsindustrie beliefern. Die Hacker wählen ihre Ziele sorgfältig aus, bevor ein Angriff gestartet wird. Laut den IT-Sicherheitsexperten werden Phishing E-Mails benutzt um den Trojaner zu überbringen. Es scheint so, als seien vor allem bildgebende Apparate, wie Röntgen- und MRT-Geräte befallen. Aber auch IT-Systeme, die Patienten helfen Einwilligungsformulare für die erforderlichen Verfahren auszufüllen. Es wird spekuliert, dass dies möglicherweise getan wird, um medizinische Software zu stehlen. An individuellen Patientendaten scheinen die Hacker jedenfalls nicht interessiert zu sein.

An individuellen Patientendaten scheinen die Hacker jedenfalls nicht interessiert zu sein.

Die meisten Opfer von Orangeworm befinden sich in den USA (17%) aber auch Deutschland ist betroffen (5%).

Der Trojaner Kwampir erlaubt den Angreifern Remote-Zugriff auf infizierte Computer. Dabei sammelt Orangeworm ab dem Zeitpunkt der Infektion so viele Daten wie möglich z.B. detaillierte Informationen über das System, Usernamen, Gruppen und Listen von Personen mit Administratorenrechten. Orangeworm verwendet diese Informationen dann um herauszufinden, ob es sich um ein hochwertiges Ziel handelt. Sobald die Hacker feststellen, dass ein potenzielles Opfer von Interesse ist, nutzen sie offene Netzwerkfreigaben, um andere Computer innerhalb des Systems zu infizieren.

Kwampir verwendet dabei ziemlich veraltete Methoden. Diese funktionieren aber immer noch in Umgebungen, die auf älteren Betriebssystemen wie bspw. Windows XP basieren. Gerade im Gesundheitswesen können sich diese Methoden deshalb als sehr wirksam erweisen, weil medizinische Plattformen oft noch auf älteren Systemen betrieben werden.

Kvampir Aktivität erkennen

In seinem Bericht beschreibt Symantec eine Liste von Kompatibilitätsindikatoren (IoCs), anhand derer Organisationen Aktivitäten von Kwampirs und anderen Tools, die von Orangeworm verwendet werden, erkennen können.

Die Sicherheitsfirma rät Organisationen, einen vollständigen System-Scan durchzuführen, wenn eine Kwampirs-Infektion entdeckt wurde. Wenn die Malware eine Windows-Systemdatei beschädigt, sollten die Sicherheitsteams diese mithilfe der Windows-Installations-CD ersetzen.

Der ganze Vorfall unterstreicht, wie verletzlich jede Organisation sein kann. Patientendaten hätten gestohlen, oder alle Informationen gelöscht werden können. Das ganze sollte wieder einmal als Weckruf verstanden werden.

Unternehmen können eine Kwampir-Infektion verhindern, indem sie regelmäßig Betriebssystemupdates implementieren, Dateifreigaben schützen und Best Practices für die Online-Sicherheit befolgen. Gerade bei großen Unternehmensnetzwerken ist eine so genannte “Netzwerksegmentierung” in kleinere, sicherere Subnetze ratsam, damit sich Unternehmen vor zukünftigen Angriffen besser schützen können.

Tim Hassdenteufel

Tim Hassdenteufel

Marketing

Tim mag Menschen, Ideen die ihn nervös machen und seinen Hund Stevie (meistens). Als er aufwuchs träumte er davon, der nächste van Gogh zu werden oder Werbung zu machen. Träume werden eben doch wahr. Dieser Music-Snob pflegt eine gefährliche Liebschaft zu Instagram und bestellt sich auf der Speisekarte mit Sicherheit das Seltsamste.

Gefällt dir der Artikel? Bitte teile ihn!
Share on Facebook
Facebook
5Share on Google+
Google+
0Share on LinkedIn
Linkedin
Email this to someone
email
Tweet about this on Twitter
Twitter