Ransomware bei britischem Labor HMR, Daten veröffentlicht

Hammersmith Medicines Research LTD (HMR) wurde im März 2020 Opfer eines Ransomware-Angriffs. Dabei wurden auch auf den Rechnern gespeicherte Daten vor der Verschlüsselung gestohlen und veröffentlicht.

a href="https://www.hmrlondon.com/" target="_blank" rel="noopener noreferrer">Hammersmith Medicines Research LTD (HMR) ist ein Forschungslabor in London, welches auch in Corona-Tests involviert ist. In einer Mitteilung hat HMR bekannt gegeben, dass es Opfer eines Cyberangriffs ist.

On Saturday 14 March 2020, HMR was subjected to a targeted and sophisticated attack by cyber criminals.  We took immediate action to stop the attack, but not before the attackers had stolen copies of some of our files.  A criminal group called Maze has claimed responsibility.  We reported the crime to both the Police and the UK Information Commissioner's Office (ICO) and are working with them.

Am 14. März 2020 wurde die Einrichtung durch Ransomware der Maze-Gruppe befallen. Die Gruppe veröffentlicht die Daten, die bei einer Ransomware-Infektion vor der Verschlüsselung abgezogen wurden, um Druck auf die Opfer auszuüben. Daher musste HMR auch einen Datenschutzverstoß bekannt geben:

We're sorry to report that, during 21–23 March 2020, the criminals published on their website records from some of our volunteers' screening visits.  The website is not visible on the public web, and those records have since been taken down.  The records were from some of our volunteers with surnames beginning with D, G, I or J.  The records were scanned copies of documents and results we collected at screening, including name, date of birth, identity documents (scanned passport, National Insurance card, driving licence and/or visa documents, and the photograph we took at the screening visit), plus health questionnaires, consent forms, information from GPs, and some test results (including, in a few cases only, positive tests for HIV, hepatitis, and drugs of abuse).

Even if your records weren't among those that were published, the criminals might have stolen copies of them.  There's a risk that your identity documents could be used by criminals to commit fraud (such as taking out a loan in your name), so we recommend that you inform your bank about the attack on HMR, ask their advice, and look out for suspicious activity in your account. Many of the ID documents we have on file have expired, but if you believe you provided to HMR IDs that are still valid, report these documents as being compromised to the organisation that issued them.

In Kurzform: Im Zweitraum zwischen dem 21. und 23. März 2020 wurden erbeutete Dokumente von der Maze-Gruppe auf eine Webseite veröffentlich. Zu den Daten, die dort veröffentlicht wurden, gehören Aufzeichnungen, die von einigen Screening-Besuchen Freiwilliger angefertigt wurde. Betroffen sind Freiwillige mit Nachnamen, die mit D, G, I oder J beginnen.

Es handelte sich bei den veröffentlichten Daten um gescannte Kopien von Dokumenten und Ergebnissen, die HMR beim Screening gesammelt hat. Das umfasst auch Angaben wie Name, Geburtsdatum, Identitätsdokumente (gescannter Reisepass, Sozialversicherungskarte, Führerschein- und/oder Visadokumente und das Foto, das beim Screening-Besuch gemacht hatten), sowie Gesundheitsfragebögen, Einverständniserklärungen, Informationen von Hausärzten und einige Testergebnisse (darunter, nur in einigen wenigen Fällen, positive Tests auf HIV, Hepatitis und Missbrauchsdrogen). Artikel zu diesem Vorfall finden sich bei Bleeping Computer sowie Computer Weekly.