Pacific HealthWorks steht vor einem massiven Datenleck nach einem Angriff der Everest-Ransomware-Gruppe, der rund 50 Arztpraxen in Kalifornien betroffen hat.

Der Ransomware-Vorfall bei Pacific HealthWorks hat sich zu einer schweren Verletzung von Gesundheitsdaten entwickelt. Die Gruppe Everest hat sensible Dateien von mindestens 50 angeschlossenen Arztpraxen veröffentlicht – darunter Daten sowohl von Pacific HealthWorks als auch vom Schwesterunternehmen La Perouse – und damit eine große Bandbreite an Patienten- und Betriebsinformationen offengelegt.

Umfang des Datenlecks

Everest stellte Hunderte von Beispieldateien auf seiner Leckseite im Darknet bereit, um seine Behauptungen zu untermauern. Cybernews bestätigte, dass diese Proben personenbezogene Daten (PII) enthalten, darunter:

• Namen, Sozialversicherungsnummern und Geburtsdaten
• Adressen, E-Mail-Adressen und Telefonnummern
• Demografische Angaben wie Geschlecht, ethnische Zugehörigkeit und Familienstand
• Finanzielle Klassifizierungen, Versicherungs-IDs, medizinische IDs, Abrechnungsdaten, Diagnosen und Behandlungshistorien

Die Dateien scheinen von mindestens 50 Organisationen zu stammen. Pacific HealthWorks mit Sitz in El Segundo, Kalifornien, bietet Verwaltungsdienste für über 1.200 Kliniken und Arztgruppen an und betreut jährlich mehr als 1,4 Millionen Patienten.

Everests Strategie und Bedrohungslage

Everest droht, die vollständigen Datensätze zu veröffentlichen, sofern die Unternehmen keinen Kontakt aufnehmen. Eine Frist wurde nicht genannt, jedoch mit deutlichen Worten gewarnt: „Die Veröffentlichung dieser Daten wird für euch fatal sein.“

Sicherheitsforscher stellen fest, dass Everest zunehmend auf öffentliche Druckausübung durch teilweise Datenveröffentlichungen setzt, anstatt sofort Daten zu verschlüsseln. Diese Taktik zwingt Opfer, schneller zu reagieren.

Profil der Ransomware-Gruppe und Gesamtbild

Seit ihrem Auftreten im Jahr 2021 hat Everest zahlreiche Branchen ins Visier genommen und inzwischen mindestens 244 Opfer, viele davon im Gesundheits- und Unternehmensdienstleistungsbereich. Die Gruppe setzt verstärkt auf doppelte Erpressung – Datendiebstahl kombiniert mit der Drohung der Veröffentlichung – um den Druck zu maximieren.

Durch die öffentliche Nennung der Opfer und die Bereitstellung von Beispieldateien fügt Everest nicht nur Imageschäden zu, sondern erhöht auch den Handlungsdruck. Ein Sicherheitsanalyst sagte gegenüber Cybernews, dass diese Vorgehensweise die Effektivität der Erpressung deutlich steigere.

Fazit

Der Ransomware-Angriff auf Pacific HealthWorks verdeutlicht die wachsende Bedrohung, die von solchen Gruppen für das Gesundheitswesen ausgeht. Durch die Veröffentlichung von Datenproben zahlreicher Opfer und die Fokussierung auf hochsensible personenbezogene Informationen erhöht Everest den Druck auf betroffene Organisationen. Diese müssen schnell handeln – den Vorfall untersuchen, Systeme sichern, offen mit Betroffenen kommunizieren und gegebenenfalls Strafverfolgungsbehörden sowie Spezialisten für Cybervorfälle einschalten.