GlobalSign Blog

Cyber-Autopsie Teil 2: Phishing-Angriff auf Magellan Health

Cyber-Autopsie Teil 2: Phishing-Angriff auf Magellan Health

Oktober ist traditionell National Cybersecurity Month und EU-Cybersicherheits-Monat. Einen ganzen Monat lang widmen sich Experten, Anbieter sowie unterschiedlichste Institutionen dem Thema Cybersicherheit aus verschiedenen Perspektiven. Aus diesem Anlass rekapitulieren wir in diesem Jahr vier schwerwiegende Cybersicherheitsvorfälle. Vorfälle, die möglicherweise hätten verhindert werden können.

Das Cyber-Opfer:

Die Fortune 500 Versicherungsgesellschaft Magellan Health.

Einzelheiten zum Fall:

Im April 2020 entdeckte Magellan Health eine Sicherheitsverletzung innerhalb seiner Systeme. Ein ausgeklügelter Social-Engineering-Angriff über einen angeblichen Magellan Health-Client, verschaffte Hackern Zugriff auf die Server der Krankenkasse. Die Folge: ein Ransomware-Angriff gegen den Versicherer. Monate später wird die Zahl der betroffenen Opfer auf etwa 1,7 Millionen geschätzt. Zu den gehackten Daten gehören personenbezogene Daten sowohl von Mitarbeitern als auch von Kunden.

Die Cyber-Geschichte:

Leider hat Magellan nicht zum ersten Mal für schlechte Presse in Sachen Cybersicherheit gesorgt. Knapp ein Jahr zuvor war das Unternehmen von einer weiteren Datenschutzverletzung infolge eines Phishing-Angriffs betroffen. Lektion gelernt? Eher nicht.

Beschreibung der Ereignisse: 

  • 6. April 2020: Vom Unternehmen unbemerkt verschaffen Hacker sich über eine ausgeklügelte Social Engineering Phishing-Attacke Zugang zu einem Magellan-Server. Der Angriff läuft über einen angeblichen Magellan Health-Client und eröffnet einen Zugriffspunkt zu den Servern des Versicherers.
  • 6. - 11. April 2020: Der Angreifer zieht sensible Daten ab, darunter Namen, Kontaktdaten, ID-Nummern von Mitarbeitern, Sozialversicherungsnummern und Steueridentifikationsnummern. Die Bedrohungsakteure installierten eine Malware und waren so in der Lage, weitere Anmeldedaten und Passwörter einiger Magellan-Mitarbeiter zu stehlen.
  • 11. April 2020:  Magellan stellt fest, Opfer eines Ransomware-Angriffs geworden zu sein. 
  • Nach 11. April 2020: Nach seiner Entdeckung beauftragte Magellan einen Spezialisten für Cybersicherheitsforensik, die Firma Mandiant, mit der Untersuchung des Vorfalls. 
  • 7. Juli 2020: Am 7. Juli wird ein Bericht an das HHS veröffentlicht, dem zufolge sind 365.000 Patienten von der Datenschutzverletzung betroffen. 
  • 13. August 2020: Die Zahl der betroffenen Personen nimmt weiter zu, wobei viele einzelne Sicherheitsverletzungen von verschiedenen Magellan-Units und mit Magellan verbundenen Unternehmen gemeldet wurden. Die Gesamtzahl liegt nun bei 1,7 Millionen Betroffenen​​​​​.

Magellan Health April 2020 attack timeline.png

Die betroffenen Systeme / Parteien:

Es scheint, dass vor diesem Angriff niemand sicher war. Nach mehreren Runden überarbeiteter Zahlen nach der erstmaligen Aufdeckung des Vorfalls im April ist nun klar, dass die Hacker über möglicherweise unterschiedliche Wege Zugang zu verschiedenen Informationen erhalten haben. Der Social-Engineering-Angriff schaffte den Zugang zu einem internen Server und enthüllte vertrauliche Mitarbeiterdaten. Die installierte Malware erlaubte es den Angreifern dann, weiter in die Netzwerke vorzudringen und zusätzliche Anmeldeinformationen und Passwörter zu stehlen. Zu diesem Zeitpunkt wurde fast ein Dutzend Vorfälle gemeldet, und schätzungsweise 1,7 Millionen Personen waren davon betroffen - sowohl intern als auch extern.

Die Vorgehensweise:

Der erste Einstiegspunkt war ein sehr cleverer, aber im Wesentlichen simpler, gezielter Phishing-Angriff. Zwischen 70 und 90 % aller Datenschutzverletzungen lassen sich auf Social Engineering und Phishing-Angriffe zurückführen, wobei der Gesundheitssektor das Hauptziel von Hackern ist. Einmal in einem System, kann ein Hacker die Systeme von innen heraus infiltrieren. Im Fall Magellan haben die Angreifer sich über Social Engineering Zugang verschafft, schöpften Mitarbeiterdaten ab und nutzten anschließend eine Malware, um auf weitere Anmeldeinformationen zuzugreifen. Auf dieser Basis wurde dann der Ransomware-Angriff gestartet. Erst zu diesem Zeitpunkt wurde der Angriff aufgedeckt.

Die abschließende Diagnose:

Die Gesundheitsbranche steht im Fokus von Angriffen, und es besteht grundsätzlich ein hohes Risiko für Datenschutzvorfälle. Die Daten, um die es geht, sind lukrativ, die Ransomware-Erlöse für ambitionierte Hacker verlockend. Obwohl einige Gruppen von Cyberkriminellen einen Burgfrieden mit der Gesundheitsbranche während Covid-19 angekündigt hatten, haben wohl doch nicht alle Hacker das betreffende Memo erhalten (oder gelesen). Und selbst wenn, handelt es sich bei dieser Pause wohl eher um die Ruhe vor dem nächsten Sturm. 

In Deutschland führte ein Hacker-Angriff im Universitätsklinikum Düsseldorf zum schlimmstmöglichen Ergebnis - dem Verlust von Menschenleben. Die Nichtverfügbarkeit eines Systems zwang die Notaufnahme zur Schließung, und die Patientin verstarb bei der Verlegung in ein anderes Krankenhaus. In diesem Fall konnte die Polizei mit dem Angreifer Kontakt aufnehmen, der möglicherweise nicht wusste, dass er ein Krankenhaus erpresst hatte. Daraufhin erklärte er sich bereit, den Verschlüsselungsschlüssel zum Entsperren der Daten zu übergeben. Aber werden Angriffe auch in Zukunft ähnlich schnell beendet werden können? Und wenn ja, um welchen Preis? 

Wir sind uns wohl alle darin einig, dass es nicht wert ist, dies herauszufinden. 

Der WannaCry-Angriff von 2017 ist ein weiteres Beispiel für einen schwerwiegenden Angriff auf den Gesundheitssektor (und viele andere Branchen).  Dabei wurden die Daten des British National Health Service eingefroren und Ärzte sahen sich gezwungen, Operationen abzusagen. WannaCry hat ältere Betriebssysteme wie Windows XP und Windows 7 angegriffen, Systeme, die oft noch in teilweise veralteten Umgebungen des Gesundheitswesens laufen. Einmal mehr betont der Vorfall wie wichtig aktuelle Betriebssysteme, Cyberverteidigungsmaßnahmen und Mitarbeiterschulungen sind. 

Die Gesundheitsbranche verarbeitet einige der vertraulichsten und schützenswerten Daten. Vorkehrungen zur Cybersicherheit und Schulungen sind immens wichtig, wenn wir nicht das Leben von Menschen aufs Spiel setzen wollen, gerade, wenn sie am anfälligsten sind. 

Magellan hat den Angriff immerhin als späten Weckruf genutzt: Der Versicherer hat die Sicherheitsprotokolle für Netzwerke, E-Mail-Umgebungen und personenbezogene Daten verstärkt. Für viele Mitarbeiter und Kunden kommt das allerdings ein wenig zu spät. Aber der Vorfall sollte der Gesundheitsbranche als Mahnung dienen, alles in ihrer Macht Stehende zu tun, ihre Daten zu schützen. 

Zusätzlich haben wir Ihnen einige praktische Anleitungen wie man Phishing erkennt, wie man Phishing-Schulungsprogramme einrichtet, wie man E-Mails digital signiert sowie zur Datensicherheit im Gesundheitswesen zusammengestellt.

Share this Post

Recent Blogs