Vastaamo-Hacker zeigt sich gleichgültig über Gefahr, dass sich Patienten wegen des Raubs ihrer Akten das Leben nehmen könnten

Finnische regionale Medien berichten von neuen Entwicklungen im Ransomware-Vorfall beim Psychiatriezentrum Vastaamo. Während die behördlichen Untersuchungen weiterlaufen, hat der Angreifer in Abständen Teile der vertraulichen Daten veröffentlicht, um das Unternehmen zur Zahlung des geforderten Lösegelds zu bringen.

Im Oktober dieses Jahres bestätigte das Psychiatrieunternehmen, das zahlreiche Praxen in ganz Finnland unterhält, dass die eigenen  IT-Systeme gehackt worden waren. Die Angreifer erbeuteten Patientenakten und drohten mit Verkauf an Betrüger im Darknet, sofern das Unternehmen nicht das geforderte Lösegeld zahle.

Das war im Wesentlichen das Ende der Geschichte. Die zuständigen Behörden wiesen Vastaamo an, so wenig Details wie möglich an die Öffentlichkeit zu tragen, solange die Untersuchungen noch liefen. Das tun sie weiterhin, aber dennoch sind weitere Einzelheiten ans Licht gekommen.

So berichtete die finnische Boulevardzeitung Ilta-Sanomat, dass der Hack selbst bereits im Herbst 2018 durchgeführt worden war. Warum die Angreifer so lange nichts mit den Daten unternahmen, bleibt ein Rätsel. Ihre Lösegeldforderung stellten sie jedenfalls erst diesen Oktober, und die Summe ist gewaltig: 450.000 Euro in digitaler Währung, heißt es im Zeitungsbericht.

Vastaamo weigerte sich offenbar, mit den Erpressern zu verhandeln. Deshalb veröffentlichten die Täter immer wieder Teile der Patientendaten online, um das Unternehmen zur Zahlung zu bewegen. Der Bericht spricht von mehreren hundert Patientenakten, die auch „Inhalte der Therapiesitzungen“ enthielten.

Im Bericht heißt es weiter, dass es sich um einen Einzeltäter handele, der allerdings Teil eines größeren Hackerrings sei, der sich seine Opfer auch über die Landesgrenzen und die Medizinbranche hinaus suche (Google-Übersetzung):

„Der Erpresser gab an, die Gruppe, zu der er gehöre, habe vier weitere Unternehmen gehackt. Keine davon seien finnisch. Es heißt, diese Unternehmen hätten Lösegeld gezahlt, das zum Teil noch höher war. Andere sind nicht in der Therapiebranche, doch auch sie enthalten sensible personenbezogene Daten sowie Geschäftsgeheimnisse.“

In einem Austausch mit dem Erpresser betonte die Zeitung, dass sich einige Patienten durch diesen Vorfall das Leben nehmen könnten. Angeblich erwiderte der Täter, das sei ihm egal. Er kontaktierte offenbar sogar einzelne Patienten und forderte kleinere Lösegeldsummen.

Bisher hat der Täter 300 Patientenakten im Darknet veröffentlicht.

Falls der Bericht von Ilta-Sanomat den Tatsachen entspricht, hat Vastaamo offenbar nachgegeben und das Lösegeld bezahlt.

Weitere Details zu den Reaktionen und Maßnahmen des Unternehmens nach dem Vorfall finden sich auf der offiziellen Vastaamo-Website.