RansomwareHackerangriffeSchwachstellen

INC-Ransomware-Gruppe attackiert gezielt Gesundheitswesen im pazifischen Raum

INC-Ransomware-Gruppe attackiert gezielt Gesundheitswesen im pazifischen Raum
Zusammenfassung

Die INC-Ransomware-Gruppe führt derzeit eine koordinierte Angriffskampagne gegen Gesundheitseinrichtungen im Pazifik-Raum durch, wie australische, neuseeländische und tongaische Cybersicherheitsbehörden Anfang März 2025 gemeinsam warnten. Die kriminelle Organisation, die ursprünglich in den USA und Großbritannien aktiv war, hat ihre Operationen seit Sommer 2024 gezielt auf Australien ausgeweitet und danach auf Neuseeland und Tonga expandiert. Besonders bemerkenswert ist der Angriff auf Tongas Gesundheitsministerium im Juni 2025, der nationale Gesundheitsdienste lahmlegte. Für deutsche Unternehmen und Behörden ist diese Entwicklung relevant, da sie zeigt, wie Ransomware-Gruppen ihr Geschäftsmodell geografisch skalieren und dabei auch kleinere Märkte ins Visier nehmen. Die INC nutzt dabei bewährte, aber effektive Methoden wie den Kauf gestohlener Zugangsdaten und Spear-Phishing statt hochsophistizierter Angriffe. Deutsche Organisationen im Gesundheitswesen und professionellen Dienstleistungssektor sollten diese Warnsignale ernst nehmen, um nicht in die gleiche Angriffsspirale zu geraten, und müssen ihre Grundlagen-Cybersicherheit – Multifaktor-Authentifizierung, Netzwerk-Überwachung und Patch-Management – konsequent umsetzen.

Die Ransomware-Gruppe INC hat sich zu einer der gefährlichsten Bedrohungen für das Gesundheitswesen entwickelt. Während ihre Operationen ursprünglich in den USA und Großbritannien begannen, verlagerte die kriminelle Bande ihre Aktivitäten systematisch in den pazifischen Raum. Ab Sommer 2024 griffen die Angreifer verstärkt australische Unternehmen an, zunächst vor allem in der Unternehmensberatung und im Gesundheitswesen. Diese Strategie zahlte sich aus: Zwischen Juli 2024 und Dezember 2025 reagierte das australische Cyber Security Centre (ACSC) auf 11 nachgewiesene INC-Angriffe, die überwiegend Kliniken und Pflegeeinrichtungen betrafen.

Die Angriffsweise folgt einem bewährten Muster. Die Hacker kaufen zunächst Zugangskonten von spezialisierten Cyberkriminellen auf dem Schwarzmarkt oder verwenden Spear-Phishing-Mails, um Zugang zu Unternehmensnetzwerken zu erlangen. In einigen Fällen nutzen sie auch bekannte Sicherheitslücken in nach außen erreichbaren Systemen. Mit gültigem Zugang bewegen sich die Angreifer zielstrebig durch die Infrastruktur, erhöhen ihre Privilegien auf Administratorebene und verschlüsseln dann kritische Systeme. Parallel dazu stehlen sie sensible Daten – von persönlichen Informationen bis zu geschützten Gesundheitsdaten – und drohen mit deren Veröffentlichung im Dark Web.

Besonders alarmierend war der Angriff auf Tongas Gesundheitsministerium am 15. Juni 2025. Dabei handelte sich um einen gezielten Schlag gegen zentrale nationale Infrastruktur. Ermittler identifizierten den Angreifer als Roman Khubov, der online als „blackod” bekannt ist. Der Fall unterstreicht ein wichtiges Sicherheitsprinzip: Während größere Nationen von Angriffen durch ihre Größe profitieren können, erleiden kleinere Länder mit zentralisierten IT-Strukturen oft überproportionalen Schaden.

Die empfohlenen Gegenmaßnahmen sind klassisch und bewährt: Starke Authentifizierung durch Multi-Faktor-Authentifizierung (MFA), Netzwerk-Monitoring, restriktive Remote-Access-Richtlinien und regelmäßiges Patch-Management. Sicherheitsexperten betonen, dass INC keine innovativen Techniken einsetzt, sondern etablierte Methoden nutzt – was gleichzeitig die Schwäche vieler Organisationen offenbart. Statt in teure neue Technologien zu investieren, täten Krankenhäuser besser daran, ihre Grundlagen zu verstärken und nicht mit alten Sicherheitslücken zu leben.

Ähnliche Artikel