Cyber-Angriff auf Uniklinik Düsseldorf: #Shitrix schlug zu

Die Erpresser kamen über eine Sicherheitslücke im VPN-Gateway – wahrscheinlich schon vor Monaten.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 207 Beiträge

(Bild: Herlanzer/Shutterstock.com)

Stand:
Von
  • Jürgen Schmidt

Der Cyber-Angriff auf die Universitätsklinik Düsseldorf erfolgte wohl über einen Citrix-VPN-Server, über den typischerweise externe Mitarbeiter Zugriff auf das Firmennetz bekommen sollen. Eine im Dezember bekannt gewordene Sicherheitslücke erlaubte es auch Kriminellen, sich auf diesem Weg Zugriff zu verschaffen. Das lässt sich unter anderem einer Presseerklärung des in die Aufräumarbeiten einbezogenen Bundesamts für Sicherheit in der Informationstechnik (BSI) entnehmen.

Dieser Vorfall reiht sich nahtlos in die immer weiter eskalierende Gefahren-Situation ein, die der Artikel Cybercrime: Erpressung auf neuem Niveau beschreibt. Organisierte kriminelle Banden attackieren auf hohem technischen Niveau Firmen, Organisationen und eben auch Krankenhäuser, die auf diese Art von Bedrohung nur unzureichend vorbereitet sind. Unter Umständen ist es jetzt erstmals im Zusammenhang mit einer solchen Erpressung zu einem Todesfall gekommen.

Eingestiegen ins Netz des Klinikums sind die Angreifer offenbar über eine Sicherheitslücke in der Citrix-VPN-Software, die unter dem Namen "Shitrix" bekannt wurde (CVE-2019-19781). Das Besondere an dieser Lücke ist, dass es eben nicht genügte, die im Januar vom Hersteller bereitgestellten Patches einzuspielen. Denn offenbar wurden viele Systeme bereits zuvor kompromittiert und mit einer Backdoor versehen, wie unter anderem das BSI wiederholt warnte. 

Diese unbemerkten Hintertürzugänge haben die Kriminellen dann in den folgenden Monaten der Reihe nach "abgearbeitet". Wer sein System zwar gepatcht, aber eine bereits zuvor installierte Hintertür übersehen hat, bekam früher oder später ungebetenen Besuch. Der breitete sich dann systematisch weiter im Netz aus, um dann irgendwann wichtige Daten zu verschlüsseln und für deren Freigabe Lösegeld zu fordern. Genau das ist offenbar in Düsseldorf passiert, deren Server zwar gepatcht, aber zuvor schon von Kriminellen mit einer Hintertür versehen waren.

Hinter diesen infamen Angriffen stecken gut organisierte, international operierende Cybercrime-Banden. Unter anderem REvil (Sodinokibi), Ragnarok, DoppelPaymer und Maze sind bekannt dafür, die Shitrix-Lücke gezielt auszunutzen, um einen Fuß in die Tür zu bekommen. Welche dieser Banden in Düsseldorf aktiv war, ist bislang nicht bekannt; mit etwas Glück lassen die Ergebnisse der forensischen Untersuchungen eine konkretere Zuordnung zu.

Das zu Beginn der Corona-Pandemie unter anderem von der Cybercrime-Gang Maze großspurig verkündete Moratorium der Angriffe auf medizinische Einrichtungen war im Übrigen nie mehr als ein billiger PR-Gag, mit dem sich Kriminelle ein Robin-Hood-Image geben wollten. Im Gegenteil nutzen Cyber-Kriminelle die Gunst der Stunde aktiv aus. So warnte Interpol schon bald danach vor einem signifikanten Anstieg der Cyber-Angriffe auf medizinische Einrichtungen; die WHO berichtete im April, dass sich deren Zahl  sogar verfünffacht habe.

(ju)