Cyberattacken auf Krankenhäuser unterstreichen die Bedeutung der Active Directory Sicherheit

Am 9. Februar 2025 wurde das Mackay Memorial Hospital in Taipeh, Taiwan, von der Ransomware Crazy Hunter angegriffen. Innerhalb weniger Tage folgte ein zweiter Angriff auf das nahegelegene Changhua Christian Hospital^.1 Die Angreifer verschafften sich Zugang zu den Active Directory (AD)-Umgebungen der Krankenhäuser und waren in der Lage, Sicherheitsmechanismen zu deaktivieren, Privilegien zu erweitern und bösartigen Code auszuführen, um Systeme zu sperren, während sie gleichzeitig Millionen von Krankenakten verschlüsselten und stahlen.

Diese Vorfälle sind Teil einer weltweiten Zunahme von Cyberangriffen auf Gesundheitssysteme, bei denen sich Angreifer darauf verlassen, dass die Wiederherstellung medizinischer Dienste eine Frage von Leben und Tod ist. Und sie wissen, wie sie die komplexen, hybriden Identitätsumgebungen ausnutzen können, auf die Gesundheitsorganisationen angewiesen sind - indem sie sich Zugang zu AD verschaffen.

Warum die Sicherheit von Active Directory für Organisationen im Gesundheitswesen so wichtig ist

Angriffe auf Organisationen des Gesundheitswesens bieten Cyberkriminellen die Möglichkeit, sich auf mehreren Ebenen zu bereichern. Auf der Vorderseite erpressen die Angreifer hohe Lösegelder. Auf der anderen Seite bieten die gestohlenen Krankenakten einen Schatz an persönlichen Daten, der sich hervorragend ausnutzen lässt.

Wie Semperis in unserem Ransomware-Risikobericht 2024gezeigt hat, sind die ersten Angriffe auf Organisationen des Gesundheitswesens enorm erfolgreich und sorgen für sofortiges Chaos und die dringende Notwendigkeit, die Versorgung der Patienten wiederherzustellen. Aber die Bedrohung endet nicht mit dem ersten Angriff. Von den Organisationen des Gesundheitswesens, die angaben, angegriffen worden zu sein, berichteten 35 %, dass sie von mehreren Angriffen gleichzeitig betroffen waren. Und selbst wenn sie Lösegeld gezahlt haben - was häufig der Fall ist -, erlitten 40 % immer noch Datenverluste.

Das Hauptziel für böswillige Akteure, die sich Zugang zu Gesundheitssystemen verschaffen wollen - und auch zu anderen Zielbranchen wie dem Finanzwesen und der Produktion - ist AD. Als zentraler Identitätsdienst ist AD die Quelle für den Zugriff auf Altsysteme, komplexe hybride Architekturen und unzählige verbundene Geräte.

Das bedeutet, dass die AD-Sicherheit auf allen Ebenen für jede kritische Branche von größter Bedeutung ist.

Wie Angreifer AD-Sicherheitsschwachstellen ausnutzen

Obwohl die Ermittlungen über die ursprüngliche Quelle des Eindringens in die taiwanesischen Krankenhäuser noch andauern, wissen die Behörden, dass die Angreifer gezielt auf die AD-Umgebungen der Krankenhäuser abzielten. In seinem 2024 Cybersecurity Technical Report (CTR) Erkennen und Abschwächen von Active Directory-Kompromittierungengibt die Five Eyes Allianz eine Anleitung zur Behebung von AD-Sicherheitsschwachstellen heraus. Darin wird darauf hingewiesen, dass eine der größten Herausforderungen bei der Sicherung von AD darin besteht, dass jeder Benutzer über Berechtigungen verfügt, die es einem Angreifer ermöglichen, Schwachstellen zu erkennen und auszunutzen.

Es gibt mehrere Möglichkeiten für böswillige Akteure, sich Zugang zu AD zu verschaffen:

• Kompromittierung eines AD-Benutzers durch Social Engineering oder Phishing
• Verwendung eines ungeschützten und falsch konfigurierten Remotedesktop-Gateways (RD-Gateway) und gestohlener Anmeldedaten, um direkten RDP-Zugang zu internen Systemen zu erhalten
• Verwenden Sie kompromittierte Anmeldedaten, um sich über VPN-Lösungen zu authentifizieren, die keine Multifaktor-Authentifizierung (MFA) erzwingen, und verschaffen Sie so Angreifern einen Zugang zum Netzwerk.
• Verwenden Sie gültige Anmeldedaten oder ausgenutzte Schwachstellen, um mit dem Internet verbundene und unsachgemäß oder unzureichend gesicherte Citrix/VDI-Umgebungen zu nutzen.
• Ausnutzung von Schwachstellen oder mangelhaften Authentifizierungskontrollen in selbst gehosteten Portalen (z. B. HR-Systeme, Support-Tools)
• Verwenden Sie Passwort-Spraying gegen extern erreichbare Authentifizierungspunkte wie OWA, VPN oder SSO-Portale.

Sobald AD geknackt ist, können Angreifer diesen Zugang nutzen, um:

• Schwache Passwörter durch Brute-Force-Angriffe wie Passwort-Spraying-Techniken ausnutzen
• Starten Sie einen AS-REP Roasting Angriff, wenn das Krankenhaus über Altsysteme und Anwendungen verfügt, die keine Kerberos-Vorauthentifizierung unterstützen.
• Verwenden Sie privilegierte Anmeldeinformationen, um die Gruppenrichtlinienobjekte (GPOs ) von AD zu ändern, um Ransomware zu verbreiten .
• Zugriff auf alte Dienstkonten, die in Krankenhausumgebungen weit verbreitet und oft hoch privilegiert sind und zu einer Eskalation der Privilegien führen können. So können Sie beispielsweise ein Service-Ticket für ein altes Domain-Admin-Konto anfordern, für das ein Service Principal Name (SPN) festgelegt wurde, und Kerberoasting durchführen, um zu versuchen, das Klartextpasswort des Kontos wiederherzustellen, was unmittelbar zu Domain-Admin-Rechten führt.

Wie CrazyHunter AD von innen heraus navigiert hat

Mackay Memorial bemerkte die Systemanomalie erstmals am 9. Februar. Das Krankenhaus meldete das Problem sofort an das Information Security Information Sharing and Analysis Center (H-ISAC) des taiwanesischen Ministeriums für Gesundheit und Soziales, das ein Schnellreaktionsteam entsandte, um die Wiederherstellung zu beschleunigen.

Aber der Schaden eskalierte schnell. Mehr als 500 Krankenhauscomputer stürzten ab, Patientenakten und kritische Systeme wurden verschlüsselt, und die Notaufnahme kam zum Stillstand. Die medizinischen Dienste wurden innerhalb eines Tages wiederhergestellt, aber die persönlichen Daten von mehr als 16,6 Millionen Patienten wurden gestohlen und von den Angreifern, der Hunter Ransom Group, verkauft^.2

Die CrazyHunter Ransomware folgte einem Schema, das zur Ausnutzung von AD-Sicherheitsschwachstellen in jedem Unternehmen verwendet werden könnte.

Privilegienerweiterung und seitliche Bewegung zu GPOs

Sobald die Angreifer in die kompromittierten AD-Konten eingedrungen waren, erhöhten sie ihre Privilegien im AD, wahrscheinlich durch Ausnutzung von Fehlkonfigurationen oder schwachen Berechtigungen.

Als nächstes verwendeten die Angreifer Gruppenrichtlinienobjekte (GPOs), um bösartige ausführbare Dateien zu verteilen, die für Verschlüsselung, Prozessmanipulation und Sicherheitsumgehung entwickelt wurden. Da sie umfassende Kontrollen in AD ermöglichen, werden GPOs häufig für Ransomware-Angriffe missbraucht, um Nutzdaten auf mehreren Systemen gleichzeitig auszuführen.

Umgehung der Verteidigung: Bring Your Own Vulnerable Driver Angriff

BYOVD-Angriffe nutzen signierte, aber anfällige Treiber aus, um Privilegien zu erweitern und Code im Kernel-Modus auszuführen. In diesem Fall setzten die Angreifer den anfälligen Zemana-Treiber zam64.sys ein - den legitimen signierten Treiber des Malware-Schutzprogramms ZAM. Bei typischen BYOVD-Angriffen wird der Treiber ausgenutzt, um Angriffe zur Ausweitung der Privilegien zu starten und Sicherheitsmechanismen wie Endpunktschutz oder Endpunkt-Erkennungs- und Reaktionslösungen (EDR) zu deaktivieren.

Wie Sie die betriebliche Ausfallsicherheit für kritische Dienste verbessern können

Wie die Five Eyes CTR erklärt, nutzen Angreifer, sobald sie in AD eingedrungen sind, die Komplexität der Beziehungen zwischen Benutzern und Systemen aus. Diese oft verborgenen Verbindungen machen es böswilligen Akteuren leicht, bösartige Aktionen als "normale" AD-Änderungen zu tarnen und sich so freie Hand im Identitätssystem zu verschaffen.

Um die betriebliche Ausfallsicherheit zu gewährleisten, müssen Unternehmen spezielle AD-Sicherheitslösungen einsetzen, um AD-Sicherheitsschwachstellen zu beheben, anomales Verhalten zu erkennen, das auf einen bevorstehenden Angriff hinweisen kann, und eine schnelle Wiederherstellung zu ermöglichen, wenn ein Angriff unvermeidlich ist.

1. Implementieren Sie die Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR)

Semperis Directory Services Protector (DSP) bietet eine kontinuierliche Überwachung und ermöglicht proaktive Maßnahmen, um die Angriffsfläche selbst in den größten und komplexesten AD-Umgebungen zu verringern. DSP kann:

• Identifizieren Sie alle verdächtigen AD-Konfigurationen, einschließlich zweifelhafter GPO-Berechtigungen
• Identifizieren Sie alle Dienstkonten mit schwacher Verschlüsselung
• Einsicht in Dienstkonten, die zur interaktiven Anmeldung verwendet werden könnten (ein starkes Indiz für eine Kompromittierung)
• Identifizieren Sie alle Konten, die immer noch für AS-REP Roasting anfällig sind, um diese Konten nach Möglichkeit zu bereinigen - oder engmaschig zu überwachen, wenn eine Bereinigung nicht möglich ist.

2. Bedrohungen erkennen und entschärfen

Zusätzlich zur proaktiven Behebung von AD-Sicherheitsschwachstellen sollten Unternehmen eine automatisierte Lösung zur Erkennung von Angriffen in Echtzeit implementieren, wie beispielsweise Semperis Lightning Identity Runtime Protection (IRP). Durch den Einsatz von KI-Algorithmen, die speziell auf der Grundlage von Erfahrungen mit realen Identitätsangriffen trainiert wurden, ermöglicht es diese Lösung den Sicherheitsverantwortlichen, den Überwachungslärm zu reduzieren und sich auf kritische Warnungen zu konzentrieren, die auf einen bevorstehenden Angriff hindeuten könnten. Lightning IRP kann:

• Identifizieren Sie den Versuch von Bedrohungsakteuren, Service-Tickets mit schwacher Verschlüsselung zu stehlen
• Identifizieren Sie anomale Anmeldeaktivitäten von kompromittierten Konten
• Erkennen Sie Muster, die auf das Vorhandensein von Passwort-Spray und Brute-Force-Angriffen hinweisen

3. Gewährleisten Sie Ausfallsicherheit mit schneller AD-Wiederherstellung

Im Falle eines lähmenden Angriffs oder einer bekannten Sicherheitsverletzung ist die Fähigkeit, AD schnell und in einem vertrauenswürdigen Zustand wiederherzustellen, von entscheidender Bedeutung, um Unternehmen in die Lage zu versetzen, sich zu weigern, Lösegeld zu zahlen und kostspielige Auswirkungen zu reduzieren.

Eine Wiederherstellungslösung wie Semperis Active Directory Forest Recovery (ADFR)- die AD wiederherstellen kann, ohne eine erneute Malware-Infektion und Folgeangriffe zu riskieren - ist unerlässlich, wenn ein schwerwiegender Verstoß festgestellt wurde und eine manuelle Bereinigung als zu riskant angesehen wird. ADFR kann:

• Stellen Sie sicher, dass die wiederhergestellte AD-Umgebung frei von Malware und Ransomware ist.
• Automatisieren Sie die Wiederherstellung von AD-Forests, um menschliche Fehler zu vermeiden und die Wiederherstellung von Geschäftsabläufen innerhalb von Minuten oder Stunden zu ermöglichen.
• Beschleunigen Sie die forensische Analyse nach einem Angriff, um kompromittierte Konten zu identifizieren und zukünftige Angriffe zu verhindern.

Semperis Schnappschuss

Die Cyberangriffe auf das Mackay Memorial Hospital und das Changhua Christian Hospital sind eine deutliche Erinnerung daran, dass böswillige Akteure Gesundheitseinrichtungen auf dem Radar haben, da sie hohe Belohnungen und Eintrittsbarrieren haben, die durch eine einfache Phishing-E-Mail umgangen werden können. Es ist wichtig, auf die Unvermeidbarkeit eines Cyberangriffs vorbereitet zu sein.

Die Bekämpfung der sich entwickelnden Bedrohungen in diesem Umfeld erfordert einen detaillierten, getesteten Plan für die Ausfallsicherheit von Identitäten, der eine mehrschichtige AD-Sicherheitsabwehr über Menschen, Prozesse und Technologie hinweg koordiniert. Für Organisationen des Gesundheitswesens - mit ihren komplexen, sich schnell verändernden Systemen und hybriden Architekturen - sind die Herausforderungen einer solchen Koordination erheblich.

Aber die Risiken der Untätigkeit sind viel größer.

Erfahren Sie mehr über die Sicherheit von Active Directory

• Missbrauch von Gruppenrichtlinien erklärt
• Effektive GPO-Änderungsüberprüfung mit Directory Services Protector
• Mehrschichtige Verteidigung für Active Directory-Sicherheit
• Kerberoasting Erklärt
• AS-REP Röstung Erklärt

Endnoten

1. https://www.ithome.com.tw/news/167327
2. https://databreaches.net/2025/03/07/taipeis-mackay-memorial-hospital-patient-information-allegedly-sold-online/