BlackCat vs. Change Healthcare: 22 Millionen Dollar Lösegeld und 100 Millionen Patientendaten

Am 21. Februar 2024 wurde Change Healthcare – der größte Zahlungsabwickler im US-Gesundheitswesen – Opfer eines verheerenden Ransomware-Angriffs. Die BlackCat/ALPHV-Gruppe verschlüsselte kritische Systeme und stahl die Gesundheitsdaten von rund 100 Millionen Amerikanern. Der Mutterkonzern UnitedHealth Group zahlte 22 Millionen US-Dollar Lösegeld. Die Auswirkungen waren so gravierend, dass Apotheken wochenlang keine Rezepte abrechnen konnten und Ärzte keine Zahlungen erhielten.

Der Vorfall

Change Healthcare verarbeitet rund 15 Milliarden Gesundheitstransaktionen pro Jahr – etwa ein Drittel aller Gesundheitsabrechnungen in den USA. Wenn Change Healthcare ausfällt, steht ein bedeutender Teil des amerikanischen Gesundheitssystems still.

Am 21. Februar 2024 bemerkte Change Healthcare ungewöhnliche Aktivitäten in seinen Netzwerken. Innerhalb weniger Stunden war klar: Die BlackCat/ALPHV-Ransomware-Gruppe hatte sich Zugang zu den Systemen verschafft, Daten exfiltriert und begonnen, Server und Arbeitsplätze zu verschlüsseln. Change Healthcare fuhr seine gesamte IT-Infrastruktur herunter, um die Ausbreitung zu stoppen.

Die Folgen waren katastrophal: Über 67.000 Apotheken in den USA konnten keine elektronischen Rezeptabrechnungen mehr durchführen. Arztpraxen erhielten keine Zahlungen für erbrachte Leistungen. Krankenhäuser mussten auf manuelle Papierformulare umstellen. Kleine Arztpraxen und Apotheken gerieten in finanzielle Schieflage, weil wochenlang keine Einnahmen flossen.

Am 1. März 2024 bestätigte UnitedHealth Group die Zahlung von 22 Millionen US-Dollar in Bitcoin an die Angreifer. Doch die Probleme waren damit nicht gelöst: Die Wiederherstellung der Systeme dauerte bis Juni 2024. Im Oktober 2024 gab UnitedHealth bekannt, dass die persönlichen Gesundheitsdaten von rund 100 Millionen Menschen betroffen waren – die größte Datenpanne im US-Gesundheitswesen aller Zeiten. Die Gesamtkosten für UnitedHealth Group beliefen sich auf geschätzte 2,4 Milliarden US-Dollar.

Wie der Angriff funktionierte

Der Angriff auf Change Healthcare folgte dem klassischen mehrstufigen Muster moderner Ransomware-Kampagnen:

Stufe 1 – Kompromittierte Zugangsdaten: Die Angreifer verschafften sich über gestohlene Anmeldedaten Zugang zu einem Citrix-Portal von Change Healthcare, das keine Multifaktor-Authentifizierung (MFA) aktiviert hatte. Die Zugangsdaten stammten vermutlich aus einem früheren Datenleck oder wurden durch Phishing erbeutet.

Stufe 2 – Laterale Bewegung: Nach dem initialen Zugang bewegten sich die Angreifer über neun Tage unbemerkt durch das Netzwerk. Sie nutzten Windows-Arbeitsplätze und Server als Sprungbretter, um immer tiefer in die Infrastruktur vorzudringen. Auf jedem kompromittierten Windows-Rechner wurden Tools für die laterale Bewegung installiert – Remote-Access-Tools, Credential Dumper und Netzwerkscanner.

Stufe 3 – Datenexfiltration: Bevor die Angreifer die Verschlüsselung starteten, kopierten sie rund 6 Terabyte an Daten aus dem Netzwerk. Dieser Prozess dauerte mehrere Tage und umfasste Patientenakten, Versicherungsdaten, Finanzdaten und personenbezogene Informationen.

Stufe 4 – Verschlüsselung und Erpressung: Am 21. Februar starteten die Angreifer die eigentliche Ransomware. BlackCat/ALPHV verschlüsselte Server und Arbeitsplätze im gesamten Netzwerk. Die Erpressungsnachricht forderte die Zahlung in Bitcoin. Gleichzeitig drohte die Gruppe, die gestohlenen Daten zu veröffentlichen.

Warum Virenscanner versagten

Der Angriff auf Change Healthcare zeigt exemplarisch die Grenzen moderner Sicherheitslösungen:

• Gestohlene Zugangsdaten umgehen jeden Scanner. Der initiale Zugang erfolgte über ein legitimites Citrix-Portal mit gültigen Anmeldedaten. Kein Virenscanner kann erkennen, ob ein Login von einem berechtigten Mitarbeiter oder einem Angreifer stammt.
• Die laterale Bewegung nutzte legitime Windows-Tools. Die Angreifer verwendeten unter anderem PowerShell, PsExec und WMI – alles eingebaute Windows-Werkzeuge, die von Administratoren täglich genutzt werden. Virenscanner können diese Tools nicht blockieren, ohne den normalen IT-Betrieb lahmzulegen.
• BlackCat/ALPHV war eine Ransomware-as-a-Service-Plattform. Die Ransomware wurde für jeden Angriff individuell konfiguriert und kompiliert. Jede Instanz hatte einen einzigartigen Hash und einzigartige Verhaltensmerkmale. Signatur-basierte Erkennung war wirkungslos.
• Die neun Tage unentdeckter Aktivität zeigen die Grenzen der Verhaltensanalyse. Moderne EDR-Lösungen hätten die Aktivitäten theoretisch erkennen können – aber in der Praxis versagten sie, weil die Angreifer ihre Aktionen als normale Administratortätigkeiten tarnten.

So hätte Deep Freeze geschützt

Deep Freeze hätte den Angriff auf Change Healthcare auf mehreren Ebenen erschwert und den Schaden drastisch begrenzt:

1. Die laterale Bewegung wäre massiv behindert worden. Die Angreifer nutzten kompromittierte Windows-Arbeitsplätze als Sprungbretter. Auf jedem Rechner wurden Tools installiert, Registry-Schlüssel geändert und Persistenzmechanismen eingerichtet. Mit Deep Freeze wären all diese Änderungen beim nächsten Neustart – etwa über Nacht – verschwunden. Am nächsten Morgen hätten die Angreifer bei null anfangen müssen.

1. Die neun Tage unentdeckter Aktivität wären unmöglich gewesen. Wenn jeder Windows-Arbeitsplatz täglich beim Hochfahren auf den Originalzustand zurückgesetzt wird, verlieren die Angreifer jeden Tag ihren Brückenkopf. Sie hätten nicht neun Tage lang unbemerkt im Netzwerk agieren können.

1. Credential Dumping wäre eingeschränkt worden. Tools wie Mimikatz, die auf Windows-Rechnern installiert wurden, um Passwörter aus dem Speicher zu extrahieren, wären nach dem Neustart verschwunden. Die Angreifer hätten in jeder Sitzung erneut versuchen müssen, Zugangsdaten zu stehlen.

1. Die Ransomware selbst wäre auf eingefrorenen Arbeitsplätzen wirkungslos gewesen. BlackCat verschlüsselt Dateien auf der lokalen Festplatte. Auf einer eingefrorenen Systempartition wäre diese Verschlüsselung nach dem Neustart rückgängig gemacht worden. Die Arbeitsplätze wären im Originalzustand gestartet.

1. Die Wiederherstellungszeit wäre dramatisch verkürzt worden. Statt Wochen für die Wiederherstellung zu benötigen, hätten eingefrorene Arbeitsplätze nach einem einzigen Neustart wieder funktioniert.

Die Lehre

• Ein einziges fehlendes Sicherheitsfeature (MFA) kann Milliardenschäden verursachen. Der gesamte Angriff begann mit einem ungeschützten Citrix-Login. Multifaktor-Authentifizierung hätte den initialen Zugang verhindert.
• Moderne Ransomware arbeitet in Phasen. Zwischen dem ersten Eindringen und der Verschlüsselung vergehen Tage bis Wochen. In dieser Zeit bewegen sich die Angreifer durchs Netzwerk und stehlen Daten.
• 22 Millionen Dollar Lösegeld garantieren keine Lösung. Trotz der Zahlung dauerte die Wiederherstellung Monate. Und die gestohlenen Daten wurden trotzdem von einem abtrünnigen Partner der BlackCat-Gruppe veröffentlicht.
• Deep Freeze unterbricht die Angriffskette täglich. Wenn jeder Windows-Arbeitsplatz beim Neustart zurückgesetzt wird, können Angreifer keine dauerhafte Präsenz im Netzwerk aufbauen. Die eingefrorene Systempartition ist ein automatischer, täglicher Reset.
• Für Deine eigenen Rechner gilt dasselbe Prinzip: Auch wenn Du kein Krankenhaus betreibst – jeder Windows-PC kann zum Sprungbrett für Angreifer werden. Deep Freeze eliminiert dieses Risiko mit jedem Neustart.