CrazyHunter-Ransomware bedroht weltweit Gesundheitssysteme

Eine neue, hochgefährliche Ransomware attackiert gezielt Krankenhäuser und Kliniken. Der Schädling namens CrazyHunter nutzt ausgeklügelte Techniken, um Sicherheitssysteme zu umgehen und kritische Patientendaten zu verschlüsseln. Besonders alarmierend: Die Angreifer setzen auf den enormen Zeitdruck im Gesundheitswesen, um Lösegelder zu erpressen.

Gesundheitssektor im Visier von Erpressern

Die Lage ist ernst. Mindestens sechs Gesundheitsorganisationen in Taiwan sind bereits Opfer der CrazyHunter-Ransomware geworden. Das zeigt eine aktuelle Analyse der Sicherheitsfirma Trellix. Die Angreifer nutzen bewusst die Verwundbarkeit von Krankenhäusern aus. Denn hier kann ein Systemausfall lebensbedrohliche Folgen haben. Dieser immense Druck soll die betroffenen Institutionen dazu zwingen, das geforderte Lösegeld zu zahlen. Wer nicht kooperiert, wird auf einer eigenen Datenleak-Seite der Erpresser an den Pranger gestellt.

So dringen die Angreifer ein

Die Vorgehensweise der Hacker ist methodisch und effizient. Der Angriff beginnt meist mit der Schwächstelle Active Directory. Oft reichen schwache oder mehrfach genutzte Passwörter für Domänenkonten aus, um Fuß zu fassen. Einmal im Netzwerk, verbreiten die Angreifer die Schadsoftware rasend schnell. Sie nutzen dafür das Tool SharpGPOAbuse, um die Ransomware über Gruppenrichtlinien (GPOs) auf zahlreiche Systeme zu verteilen. Anschließend deaktivieren sie Sicherheitsmechanismen und festigen ihre Kontrolle. Diese systematische Vorgehensweise deutet auf professionelle Cyberkriminelle hin.

Passend zum Thema IT-Sicherheit – viele Krankenhäuser unterschätzen, wie schnell sich moderne Ransomware ausbreitet und welche organisatorischen Lücken Angreifer ausnutzen. Ein kostenloser Praxis‑Report erklärt aktuelle Cyber‑Security-Trends, typische Einfallstore (von Active Directory bis gefährliche Treiber) und pragmatische Schutzmaßnahmen, die auch kleine IT‑Teams sofort umsetzen können. Gratis Cyber‑Security‑Report herunterladen

Kern-Trick: Der gekaperte Treiber

Was CrazyHunter besonders gefährlich macht, ist eine ausgefeilte Umgehungstechnik. Die Hacker kapern einen legitimen Antiviren-Treiber – konkret zam64.sys von Zemana. Diese “Bring-Your-Own-Vulnerable-Driver”-Methode (BYOVD) verschafft ihnen Kernel-Rechte, die höchste Zugriffsebene im System. Von dieser Position aus können sie Endpoint-Schutz und andere Sicherheitssoftware beenden, bevor die eigentliche Verschlüsselung startet. Die Organisation ist dann praktisch wehrlos.

Technisch basiert CrazyHunter auf dem Open-Source-Baukasten “Prince”. Die Entwickler haben jedoch eigene, gefährliche Verbesserungen vorgenommen, vor allem bei den Eindring- und Tarnmethoden. Die Ransomware verwendet eine Hybrid-Verschlüsselung mit dem ChaCha20-Algorithmus, um Dateien unbrauchbar zu machen.

Warum das Gesundheitswesen so verwundbar ist

Die gezielten Angriffe auf Kliniken sind eine kalte Kalkulation. Medizinische Einrichtungen sind auf den ununterbrochenen Zugriff auf Patientendaten und Systeme angewiesen. Jede Störung gefährdet unmittelbar die Patientenversorgung. Diese Abhängigkeit spielt den Erpressern in die Hände. Zwar scheint das Motiv primär finanziell zu sein. Die Fokussierung auf taiwanesische Einrichtungen legt jedoch eine strategisch geplante Kampagne nahe.

Der Trend ist besorgniserregend: Ransomware wie CrazyHunter kombiniert leicht verfügbare Open-Source-Tools mit hochkomplexen Angriffstechniken. Das senkt die Einstiegshürde für raffinierte Cyberangriffe und gefährdet die kritische Infrastruktur insgesamt. Das Gesundheitswesen ist durch vernetzte Medizingeräte und klinische Systeme besonders angreifbar geworden.

So können sich Krankenhäuser schützen

Experten raten zu einer mehrschichtigen Verteidigungsstrategie. Der Schutz des Active Directory hat oberste Priorität. Starke Passwortrichtlinien und Zwei-Faktor-Authentifizierung sind ein Muss. Organisationen müssen zudem die Nutzung von Gruppenrichtlinien überwachen und Endpoint-Lösungen einsetzen, die das Laden gefährlicher Treiber erkennen und blockieren können.

Regelmäßige Schulungen der Mitarbeiter zu IT-Sicherheit sind ebenso essenziell wie offline gespeicherte Backups aller kritischen Daten. Nur so ist eine Wiederherstellung im Ernstfall gewährleistet. Angesichts der fortschreitenden Entwicklung von Ransomware bleibt die Bedrohung für das Gesundheitswesen akut hoch. Die Angriffe in Taiwan könnten nur der Anfang sein.

PS: Sie wollen wissen, welche konkreten Schritte Ihr IT‑Team sofort umsetzen kann, um Kliniknetzwerke gegen solche Angriffe zu härten? Unser kostenloser Leitfaden fasst wirksame Maßnahmen zusammen – von AD‑Härtung über Treiber‑Kontrollen bis hin zu Notfall‑Backups und Mitarbeiterschulungen. Praxisnah, ohne großen Budgetaufwand. Jetzt kostenlosen Cyber‑Security‑Guide anfordern