Der NHS-Softwareanbieter Advanced hat bestätigt, dass er von einer Ransomware betroffen war (öffnet in neuem Tab) Angriff, der zum Diebstahl sensibler Kundendaten führte.
Das Unternehmen sagt, ein unbekannter Angreifer habe „legitime Anmeldeinformationen von Drittanbietern“ verwendet, die ihm die Möglichkeit gegeben hätten, eine Remote-Desktop-Sitzung (RDP) mit dem Citrix-Server von Staffplan einzurichten.
Von dort bewegten sich die Angreifer seitlich durch das Netzwerk und eskalierten bei Bedarf die Berechtigungen, um das gesamte Netzwerk abzubilden, wichtige Endpunkte sowie zentrale Daten zu identifizieren.
Schneiden Sie die Angreifer aus
Zwei Tage später, nachdem genügend vertrauliche Dateien exfiltriert worden waren, setzte die Gruppe LockBit 3.0 ein, eine bekannte und potente Ransomware-Variante, die alle Daten im Netzwerk verschlüsselte.
Advanced sagte, die Gruppe sei finanziell motiviert, gab jedoch nicht an, wie viel Geld sie für den Entschlüsselungsschlüssel und die Rückgabe der Daten verlangte und ob sie bezahlte oder nicht.
Sobald Advanced erkannte, dass es angegriffen wurde, trennte es alle seine Systeme vom Internet.
Dies stoppte zwar eine weitere Eskalation des Angriffs, verhinderte aber auch vorübergehend, dass Kunden und Benutzer auf die Systeme zugreifen konnten. Infolgedessen fuhr das Unternehmen fort, das Netzwerk in einer „getrennten, sicheren und neuen Umgebung“ wiederherzustellen.
Insgesamt behauptet das Unternehmen, dass sensible Daten von 16 Kunden gestohlen wurden. Es wurde nicht genau gesagt, was diese Daten enthielten, aber es hieß, dass die Opfer rechtzeitig benachrichtigt wurden und dass es gelang, alle gestohlenen Informationen wiederherzustellen.
Advanced beschrieb den Wiederherstellungsprozess weiter und sagte, dass es relativ schnell gehen könne, aber immer noch behördliche Prozesse erfüllen müsse.
„Obwohl wir ausgestattet und in der Lage waren, bestimmte Gesundheits- und Pflegeprodukte bis zum Montag nach dem Vorfall vollständig wieder aufzubauen, mussten wir einen von unseren Partnern NCSC, NHS und NHS Digital festgelegten Gewährleistungsprozess erfüllen.“
Dieser Prozess habe sich als zeitaufwändig und umständlich erwiesen.
„Als wir mehr über diesen Assurance-Prozess erfahren und ihn in Echtzeit angepasst haben, um bestimmte Anforderungen zu erfüllen, dauerte es länger als erwartet, was sich auf unseren gesamten Wiederherstellungszeitplan auswirkte. Wir haben Sicherheit bei jedem Schritt unseres Wiederherstellungsprozesses priorisiert“, hieß es.
„Während wir Scan- und Clearing-Systeme durcharbeiten, bewerten und/oder entwickeln wir parallel weiterhin Wiederherstellungspläne für verbleibende betroffene Produkte“, schloss sie.
- Hier ist unser Überblick über die beste Malware (öffnet in neuem Tab) um
Über: Digitale Gesundheit (öffnet in neuem Tab)