Medibank hat gedrängt seine Kunden sind in höchster Alarmbereitschaft, nachdem Cyberkriminelle damit begonnen haben, vertrauliche Krankenakten, die dem australischen Krankenversicherungsgiganten gestohlen wurden, preiszugeben.
Eine Ransomware-Gruppe mit Verbindungen zur berüchtigten russischsprachigen REvil-Bande begann am frühen Mittwoch mit der Veröffentlichung der gestohlenen Aufzeichnungen, darunter Kundennamen, Geburtsdaten, Passnummern und Informationen zu medizinischen Ansprüchen. Dies geschah, nachdem die Medibank erklärt hatte, sie würde die Lösegeldforderung nicht bezahlen, und sagte: „Wir glauben, dass es nur eine begrenzte Chance gibt, dass die Zahlung eines Lösegelds die Rückgabe der Daten unserer Kunden sicherstellt und verhindert, dass sie veröffentlicht werden.“
Die Cyberkriminellen trennten die erste Stichprobe der australischen Opfer von Sicherheitsverletzungen selektiv in „böse“ und „gute“ Listen, wobei erstere numerische Diagnosecodes enthielten, die Opfer mit Drogenabhängigkeit, Alkoholmissbrauch und HIV in Verbindung zu bringen schienen. laut Agence France-Presse. Beispielsweise trägt ein Datensatz einen Eintrag mit der Aufschrift „F122“, was der „Cannabisabhängigkeit“ gemäß der von der Weltgesundheitsorganisation veröffentlichten Internationalen Klassifikation von Krankheiten entspricht.
Es wird auch angenommen, dass die durchgesickerten Daten die Namen hochkarätiger Medibank-Kunden enthalten, die wahrscheinlich beinhaltet hochrangige australische Regierungsgesetzgeber wie Premierminister Anthony Albanese und Cybersicherheitsministerin Clare O’Neil.
Der Teil der bisher durchgesickerten Daten, der von Tech gesehen wurde, scheint auch die Korrespondenz von Verhandlungen zwischen den Cyberkriminellen und dem CEO von Medibank, David Koczkar, zu enthalten. Screenshots von WhatsApp-Nachrichten deuten darauf hin, dass die Ransomware-Gruppe auch plant, „Schlüssel zum Entschlüsseln von Kreditkarten“ preiszugeben, obwohl die Medibank behauptet, dass keine Bank- oder Kreditkartendaten abgerufen wurden.
„Basierend auf unseren bisherigen Ermittlungen zu dieser Cyberkriminalität glauben wir derzeit, dass der Kriminelle nicht auf Kreditkarten- und Bankdaten zugegriffen hat“, sagte Medibank-Sprecherin Liz Green am Mittwoch in einer per E-Mail gesendeten Erklärung gegenüber Tech, die darauf verzichtete Blogeintrag.
Die cyberkriminelle Bande hinter dem Medicare-Ransomware-Angriff, deren Identitäten nicht bekannt sind, die sich aber auf eine Variante der Dateiverschlüsselungs-Malware von REvil verlassen hat, hat bisher die persönlichen Daten von rund 200 Medibank-Kunden durchsickern lassen, ein Bruchteil der Daten, die die Gruppe behauptet hat gestohlen. Die Medibank bestätigte am Dienstag, dass die Cyberkriminellen auf die persönlichen Daten von rund 9,7 Millionen Kunden und Gesundheitsdaten von fast 500.000 Kunden zugegriffen hatten.
Was sollen Opfer tun?
Angesichts des Datenlecks, bei dem streng vertrauliche Informationen offengelegt wurden, die für Finanzbetrug missbraucht werden könnten, fordern Medibank und die australische Bundespolizei ihre Kunden dringend auf, auf Phishing-Betrug und unerwartete Aktivitäten auf Online-Konten aufmerksam zu sein. Medibank rät Benutzern außerdem, sicherzustellen, dass sie Passwörter nicht wiederverwenden und die Multi-Faktor-Authentifizierung für alle Online-Konten aktiviert haben, bei denen die Option verfügbar ist.
Medibank hat auch ein „Cyber-Response-Support-Paket“ für betroffene Kunden eingeführt, sagte Green von Medibank gegenüber Tech. Dazu gehören Unterstützung in Notfällen, Beratung und Ressourcen zum Identitätsschutz sowie die Erstattung von Gebühren für den Ersatz von amtlichen Ausweisen. Der Krankenversicherungsriese bietet auch eine Wellness-Hotline, einen Beratungsdienst für psychische Gesundheit und persönliche Notrufe an.
Die australische Bundespolizei untersucht den Verstoß in Zusammenarbeit mit Behörden aus dem gesamten Commonwealth sowie mit anderen Mitgliedern der „Five Eyes“-Gruppe von Regierungen, die Informationen austauschen, darunter Großbritannien, die USA, Kanada und Neuseeland. Operation Guardian, die Reaktion der australischen Regierung auf die jüngste Welle von Cyberangriffen, die mit der Datenpanne beim Telekommunikationsgiganten Optus begann, wird auf die Medibank ausgeweitet, um ihre Kunden vor „Finanzbetrug und Identitätsdiebstahl“ zu schützen.
„Operation Guardian wird das Clear, Dark und Deep Web aktiv auf den Verkauf und die Verbreitung von Daten von Medibank Private und Optus überwachen“, sagte Justine Gough, Assistant Commissioner Cyber Command der AFP. „Die Strafverfolgungsbehörden werden schnell gegen jeden vorgehen, der versucht, mit gestohlenen privaten Medibank-Daten Vorteile zu erzielen, sie auszunutzen oder Straftaten zu begehen.“
Was kommt als nächstes?
In ihrem neuesten Update bereitet sich die Medibank auf eine Verschlechterung der Situation vor und sagt, dass sie „erwartet, dass der Kriminelle weiterhin Dateien im Dark Web veröffentlicht“. Auf ihrer Dark-Web-Leak-Site sagten die Cyberkriminellen, sie planten, „weiterhin teilweise Daten zu posten, einschließlich Konfluenz, Quellcodes, Listen von Dingen und einigen Dateien, die aus dem Medi-Dateisystem von verschiedenen Hosts stammen“.
Medibank sagt, dass sie weiterhin alle betroffenen Kunden mit konkreten Ratschlägen und Einzelheiten darüber kontaktieren wird, auf welche Daten die Angreifer zugegriffen haben. Kunden mit erhöhtem Risiko, Ziel betrügerischer E-Mails zu werden, sollten jedoch sicherstellen, dass E-Mails von Medibank stammen. Die Medibank sagte, sie würde per E-Mail nicht nach persönlichen Daten fragen. Klicken Sie im Zweifelsfall auf keine Links.
Es ist noch nicht bekannt, ob Medibank-Kunden nach dem Verstoß eine Entschädigung erhalten werden oder ob Medibank wegen Versäumnisses, die vertraulichen medizinischen Daten der Benutzer zu schützen, vor Gericht gestellt wird. Der Verstoß erfolgt nur wenige Wochen, nachdem Australien nach einem langen Konsultationsprozess über Reformen eine bevorstehende Gesetzesänderung der Datenschutzgesetze des Landes bestätigt hat. Das Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 wird die Höchststrafen erhöhen, die nach dem Privacy Act 1988 für schwerwiegende oder wiederholte Datenschutzverletzungen verhängt werden können, und größere Befugnisse für den australischen Datenschutzbeauftragten.
Zwei Anwaltskanzleien sagten am Dienstag auch, dass sie untersuchen, ob die Medibank ihre Verpflichtungen gegenüber Kunden gemäß dem Datenschutzgesetz des Landes verletzt hat. Die Kanzleien Bannister Law und Centennial Lawyers werden untersuchen, ob Medibank gegen ihre Datenschutzrichtlinie und die Bedingungen ihres Vertrags mit Kunden verstoßen hat, und auch prüfen, ob Schadensersatz als Folge der Verletzung gezahlt werden muss.