Ransomware-Befall: Krankenhaus in Los Angeles zahlt 15.000 Euro Lösegeld

Ein Krankenhaus in Los Angeles hat Erpressern 40 Bitcoin im Wert von 17.000 Dollar oder 15.000 Euro gezahlt (PDF), um mit Ransomware infizierte Systeme wieder nutzen zu können. Dies sei „der schnellste und effizienteste Weg“ gewesen, den normalen Betrieb wieder herzustellen, kommentierte Allen Stefanek, CEO des Hollywood Presbyterian Medical Center, das zu einer internationalen Krankenhauskette gehört.

Probleme mit dem Netzwerk traten ab 5. Februar auf. Ein nicht namentlich genannter Arzt sagte vergangene Woche dem Fernsehsender NBC, die Störung schränke die Behandlung von Notfällen ebenso wie die reguläre Versorgung von Patienten ein, und das Fax sei überlastet, da es keine Zugriff auf E-Mail mehr gebe.

Hollywood Presbyterian Medical Center (Bild: HPMC)

Die Wiederherstellung erfolgte am Montag dieser Woche, nachdem das Lösegeld bezahlt wurde. Das FBI bestätigte der LA Times, der Fall werde untersucht. Das Lösegeld sei ohne vorherige Absprache mit der Polizei gezahlt worden. In US-Medien waren weit höhere Lösegeldforderungen von bis zu 3,6 Millionen Dollar kursiert.

Das FBI hatte vergangenen Oktober einmal empfohlen, bei Ransomware-Infektionen sei es das Einfachste, das geforderte Lösegeld zu zahlen. Das Versprechen werde eingelöst, man bekomme tatsächlich wieder Zugriff. Sicherheitsforscher reagierten entsetzt, da eine solche Zahlung das kriminelle Geschäftsmodell bestätigt, also die Entwicklung ähnlicher Software mitfinanziert, und nur zu weiteren – wahrscheinlich höheren – Forderungen führen kann.

Zu Ursprüngen und Technik der Angreifer gibt es bisher keine Informationen. Die LA Times schreibt lediglich, die Ransomware habe Dateien verschlüsselt, und in der Darstellung des Krankenhauses selbst heißt es, es habe auf bestimmte Systeme nicht mehr zugreifen können. Zuletzt waren auch Krankenhäuser in Nordrhein-Westfalen, darunter das Lukaskrankenhaus in Neuss, Opfer einer Ransomware geworden. Die Patientendaten werden dort aber auf Basis eines Backups wiederhergestellt.

Bekannte Beispiele für Ransomware sind Cryptolocker und Simplocker. Derzeit verbreitet sich aber ein neues Programm namens „Locky“ epidemisch, besonders über Word-Anhänge in E-Mails. Charakteristisch ist dabei die Dateiendung .locky, mit der die verschlüsselten Dateien versehen werden.

Laut dem Sicherheitsforscher Kevin Beaumont infiziert Locky derzeit bis zu fünf neue Rechner pro Sekunde. Deutschland liegt in seiner Statistik mit 5300 neuen Infektionen pro Stunde sogar an erster Stelle, vor den Niederlanden, den USA und Kroatien. Locky sei außerdem in der Lage, sich in Netzwerken zu verbreiten. Um die Verbreitung zu erhöhen, hätten die Hintermänner nach ersten Tests am Montag inzwischen die Ransomware auch in mehrere Sprachen übersetzt.

[mit Material von Jake Smith, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de