Sirius Healthcare und Semperis helfen Arztpraxen dabei, verheerende Auswirkungen zu verhindern und die Sicherheit zu erhöhen
Als eine private orthopädische Facharztpraxis mit einem Ransomware-Angriff bedroht wurde, ergriff sie schnelle Maßnahmen, um die Auswirkungen zu minimieren.
Die komplexe und verteilte Microsoft Active Directory (AD)-Umgebung der Arztpraxis umfasste mehr als 130 Server und 25 Domänencontroller (DCs), was sie anfällig für einen Ransomware-Angriff im Gesundheitswesen machte.
Die große Praxis für Orthopädie, Physiotherapie und Sportmedizin hatte 30 Standorte und mehr als 2.000 Mitarbeiter. Es ist verständlich, dass die verteilte AD-Umgebung des Unternehmens mit mehr als 100 Servern und Dutzenden von DCs sehr komplex war. Diese Art von komplexem System ist ein wahrgewordener Traum für Bedrohungsakteure, die bei Ransomware-Versuchen im Gesundheitswesen gerne auf AD-Schwachstellen und schleichende Konfigurationsänderungen abzielen.
Phishing-E-Mail führt zu Ransomware-Angriff im Gesundheitswesen
In diesem Fall begannen die Angreifer mit der Ausnutzung von Schwachstellen, Fehlkonfigurationen und blinden Flecken in der AD-Umgebung der Praxis.
- Durch eine erfolgreiche Phishing-E-Mail verschafften sich die Angreifer zunächst Zugang zur Umgebung der Arztpraxis.
- Von dort aus bewegten sich die Angreifer seitwärts und kompromittierten erfolgreich privilegierte Konten.
- Die Bedrohungsakteure haben sich einen dauerhaften administrativen Zugang zu vielen wichtigen Systemen des Unternehmens verschafft.
Als der Ransomware-Angriff auf das Gesundheitswesen entdeckt wurde, hatten die Angreifer bereits mehrere AD DCs sowie die Unternehmensstruktur und -domäne durch laterale Bewegungen und Privilegienerweiterung kompromittiert. Glücklicherweise hatte der Kunde noch keine Datenexfiltration oder erhebliche betriebliche Beeinträchtigungen erlitten.
Wir dachten, wir hätten ein durchdachtes Netzwerk implementiert. Wir haben uns redlich bemüht, die Sicherheit zu erhöhen, aber es gibt immer Dinge, die man besser machen kann - und das hat uns dann einen Strich durch die Rechnung gemacht. Wir fielen einem Ransomware-Angriff zum Opfer. Er war ziemlich brutal und betraf die meisten unserer Systeme.
CTO, Praxis für orthopädisches Gesundheitswesen
Schnelle Reaktion, Erkennung und Abhilfe
Das Unternehmen wandte sich an Sirius Healthcare, einen US-amerikanischen Integrator von technologiebasierten Geschäftslösungen, um Hilfe bei der Reaktion auf einen Vorfall und der Behebung des Problems zu erhalten. Sirius wandte sich an Semperis wegen unserer Erfahrung bei der Verteidigung von hybriden und Multicloud-Umgebungen und der Bereitstellung von speziell entwickelten AD-Sicherheitslösungen.
Das Team fand einen DC, der von dem Angriff nicht betroffen war und half so bei der Wiederherstellung. Weitere wichtige Aspekte der Wiederherstellung waren die sofortige Abschaltung riskanter Zugriffe sowie eine gründliche Analyse und Bereinigung des AD. Zum Beispiel wies Semperis die Praxis an:
- sein Kerberos-Ticket (KRBTGT) zurücksetzen, ein dreifaches Vertrauen, das die Tore zum Netzwerk bewacht
- Kontopasswörter zweimal zurücksetzen
- Deaktivieren Sie die Druckspooler-Dienste, die auf allen DCs laufen
Wir haben viele Sofortmaßnahmen ergriffen, um den Angriff zu bekämpfen, einschließlich der Quarantäne betroffener DCs, der Abschaltung riskanter Zugriffe und der Suche nach sauberen DCs, um unsere Wiederherstellung zu unterstützen.
CTO, Praxis für orthopädisches Gesundheitswesen
Verteidigung gegen zukünftige Ransomware-Angriffe im Gesundheitswesen
"Sobald wir wieder auf den Beinen waren, mussten wir wissen, dass die Bösewichte aus unserer Umgebung verschwunden waren", erklärte der Chief Technology Officer (CTO) der Praxis. "Zu diesem Zeitpunkt wussten wir nicht, ob wir immer noch kompromittiert waren. Wir mussten davon ausgehen, dass sie überall waren, und wir mussten sie finden und ausrotten."
Sirius und Semperis halfen der Praxis bei der Überwachung ihrer Umgebung, um festzustellen, ob die Angreifer noch immer in der Lage waren, die Umgebung zu erkunden. Die auf AD ausgerichteten Sicherheitstools von Semperis, darunter die Lösung Directory Services Protector (DSP) zur Erkennung von und Reaktion auf Bedrohungen, halfen dem Unternehmen, sich ein genaues und vollständiges Bild von dem Vorfall und seiner AD-Sicherheitslage zu machen.
Das Tool DSP hielt, was es versprach, aber ich denke, der eigentliche Wert der Zusammenarbeit mit Semperis lag in den Mitarbeitern und deren tiefem Verständnis von und Einblick in AD und AD-basierte Angriffe.
CTO, Praxis für orthopädisches Gesundheitswesen
Jetzt scannt und überwacht DSP ständig die IT-Umgebung der orthopädischen Praxis und sucht nach AD-Fehlkonfigurationen, die Angreifer ausnutzen könnten, um sich Zugang zu verschaffen. Darüber hinaus verfolgt DSP die an der AD vorgenommenen Änderungen und bietet die Möglichkeit, böswillige Aktivitäten automatisch rückgängig zu machen, unabhängig davon, ob es sich um Angriffe von Bedrohungsakteuren oder um unschuldige Fehler von Mitgliedern des internen IT-Teams handelt.
Der vielleicht größte Wert von DSP liegt in seiner Fähigkeit, AD tiefer zu durchleuchten als herkömmliche Sicherheitstools. DSP verfolgt den AD-Replikationsstrom, wodurch ausgeklügelte und bisher unsichtbare Angriffe wie DC Shadow erkannt werden - ein Angriff im späten Stadium der Kill Chain, der es Angreifern mit privilegierten Anmeldeinformationen ermöglicht, abtrünnige Domain Controller zu registrieren. Angesichts der zunehmenden Ransomware-Angriffe im Gesundheitswesen sind solche Präventivmaßnahmen von entscheidender Bedeutung.
DSP Kontrollen sind vorhanden, um die hybride AD-Umgebung der orthopädischen Praxis ständig zu überwachen. Anzeichen für eine Gefährdung durch Ransomware im Gesundheitswesen oder andere Angriffe sowie verdächtige Änderungen werden sofort gemeldet.
"Wir haben wirklich begonnen, die Dinge auf die nächste Stufe zu heben", so der CTO. "Jetzt verwenden wir DSP , um uns über Änderungen der Gruppenrichtlinien zu informieren. [Die Gruppenrichtlinien steuern zum Teil, was Benutzer auf einem Computersystem tun können und was nicht.] Dadurch konnten wir stärkere [interne] Änderungskontroll- und Verbesserungsprozesse einführen, um unseriöse IT-Aktivitäten zu verhindern, die für uns zwar bequem, aber nicht sicher sind."
Über Sirius Healthcare (ein CDW Unternehmen)
Sirius Healthcare bietet auf jeder Stufe des Gesundheitswesens und über den gesamten Technologie-Lebenszyklus hinweg erstklassige Multivendor-Technologielösungen, die Gesundheitsorganisationen dabei helfen, die Qualität der Pflege zu verbessern, die Kosten zu kontrollieren, die Sicherheit zu erhöhen, Vorschriften einzuhalten und die Reichweite auf Gemeinden auszudehnen. Erfahren Sie mehr über Sirius Healthcare und rufen Sie Sirius noch heute unter 800-460-1237 an, um einen Termin für ein Gespräch über Ihre Anforderungen zu vereinbaren.
