Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Mediclinic ramt af Everest ransomware-gruppe

Ransomware-gruppen Everest har angrebet Mediclinic og eksponeret kritiske data og forstyrret sundhedsydelser i flere lande.

27-05-2025 - 7 minutters læsning. Under kategorien: cybercrime.

Mediclinic ramt af Everest ransomware-gruppe

Hackere kræver løsesum fra hospitalskoncern til 5 milliarder dollars under ransomware-angreb

Mediclinic Group, en global privat sundhedsudbyder med en anslået værdi på omkring 5 milliarder dollars, er blevet ramt af et ransomware-angreb, der har forstyrret driften på tværs af flere faciliteter i blandt andet Schweiz, Sydafrika og De Forenede Arabiske Emirater. Angrebet er blevet tilskrevet den berygtede Everest-gruppe, som har påtaget sig ansvaret for hændelsen. Flere fysiske hospitaler og klinikker blev påvirket. Mediclinic er dermed det seneste offer i en række højtprofilerede cyberangreb mod sundhedssektoren. Den 24. maj 2024 bekræftede virksomheden offentligt bruddet, mens Everest offentliggjorde beviser på datalæk på sin dark web-lækkageplatform i et forsøg på at presse Mediclinic til at betale løsesummen.

Everest-ransomwaregruppen afsløret

Everest er en relativt ukendt, men stadigt mere aktiv trusselsaktør, der opererer via en ransomware-as-a-service-model (RaaS). Denne struktur gør det muligt for tilknyttede aktører at udføre angreb ved hjælp af Everests malware-værktøjer og derefter dele løsesummen med gruppens bagmænd. Hvis du ikke er bekendt med denne type forretningsmodel, kan du læse mere om, hvordan ransomware-as-a-service fungerer her.

Det, der adskiller Everest fra mange andre grupper, er deres fokus på dataekfiltration før selve krypteringen. Gruppen er kendt for at stjæle følsomme oplysninger, såsom interne virksomhedsdata, før de låser filer med ransomware. I mange tilfælde truer de med at offentliggøre de stjålne oplysninger på deres dark web-lækkageportal, hvis kravene om løsesum ikke bliver mødt. Denne metode – kendt som dobbelt afpresning – er blevet et kendetegn ved moderne ransomware-angreb.

I stedet for blot at kryptere data opnår Everest ofte langvarig adgang til netværk gennem stjålne loginoplysninger og sårbarheder i fjernskrivebordsforbindelser, før de aktiverer angrebet. De data, gruppen går efter, kan omfatte intern dokumentation, patientjournaler og medarbejderoplysninger.

Ifølge cybersikkerhedsforskere har Everest tidligere rettet angreb mod kommuner, uddannelsesinstitutioner og sundhedsudbydere. Gruppen forbindes med phishing-kampagner, social engineering og fjernadgangsværktøjer, der bruges til at få det første fodfæste i netværk. Selvom Everest ikke er lige så aktiv som eksempelvis LockBit eller Conti, betragtes gruppen som både snu og teknisk avanceret.

Mediclinic Groups tjenester forstyrret

Mediclinic, som hvert år betjener flere hundrede tusinde patienter, bekræftede, at virksomheden havde identificeret et cyberangreb og straks iværksat foranstaltninger for at reagere. Hændelsen blev betegnet som en alvorlig sikkerhedsbrist, og der blev igangsat en grundig undersøgelse for at fastslå både omfang og karakter af angrebet.

Mediclinic samarbejder med cybersikkerhedseksperter og juridiske rådgivere og har underrettet relevante myndigheder i overensstemmelse med sine forpligtelser til databeskyttelse og compliance. Som led i undersøgelsen bliver kompromitterede enheder og systemlogfiler analyseret for tegn på uautoriseret adgang. En hurtig og korrekt indberetning til myndighederne er afgørende for at sikre overholdelse af lovgivningen og begrænse eventuelle yderligere risici.

Selvom de vigtigste kliniske funktioner angiveligt er opretholdt, blev patientrettede platforme og interne kommunikationssystemer midlertidigt forstyrret. Virksomheden har ikke udtalt sig om, hvorvidt den agter at forhandle med gerningsmændene eller betale den krævede løsesum. I mellemtiden har Everest offentliggjort, hvad der tilsyneladende er interne dokumenter og fortrolige oplysninger, for at lægge yderligere pres på Mediclinic.

Patientoplysninger og privatliv i fare

Det påståede databrud har vakt alvorlig bekymring for sikkerheden af patienters, medarbejderes og kunders personlige oplysninger. Ifølge Everest omfatter de stjålne data kontaktoplysninger og personlige informationer på op til 1.000 medarbejdere samt dokumenter, der muligvis indeholder følsomme patientoplysninger. De typer data, der kan være blevet kompromitteret, inkluderer navne, kontaktoplysninger, journaloplysninger og andre personidentifikatorer.

Oplysninger lagret i Mediclinics systemer – herunder interne databaser og forskellige datasæt – er særligt sårbare i forbindelse med denne type brud. Hvis uvedkommende får adgang til sådanne data, kan de misbruges til identitetstyveri, økonomisk svindel eller andre former for cyberangreb. For en bedre forståelse af disse risici, og hvordan kriminelle udnytter stjålne oplysninger, kan du læse vores vejledning om identitetstyveri og hvordan du håndterer det her.

Denne eksponering understreger behovet for stærke sikkerhedstiltag i Mediclinics digitale infrastruktur. Det er afgørende, at virksomheden hurtigt informerer alle berørte – herunder patienter, medarbejdere og kunder – om bruddet og hvilke risici, der følger med. Åben kommunikation og hurtig hjælp vil være centralt for at mindske skaden og genoprette tilliden.

Persondata skal behandles med stor omhu og i overensstemmelse med gældende lovgivning. Hændelsen bliver betragtet som et alvorligt sikkerhedsbrud, og Mediclinic er forpligtet til at overholde alle relevante regler og databeskyttelseskrav.

Denne hændelse er en tydelig påmindelse om, at beskyttelsen af følsomme sundhedsoplysninger ikke kun handler om overholdelse af loven, men også om at opretholde patienternes tillid og sikkerhed. Organisationer skal håndtere persondata ansvarligt gennem hele livscyklussen – fra indsamling og behandling til overførsel og opbevaring.

Økonomiske konsekvenser af angrebet

Angrebet kan få store økonomiske konsekvenser for Mediclinic – både på kort og lang sigt. Udgifterne kan blandt andet omfatte underretning af de berørte, tilbud om kreditovervågning, juridisk rådgivning samt investeringer i opgradering af cybersikkerhedsinfrastrukturen. Derudover risikerer virksomheden bøder og sanktioner, hvis den ikke lever op til kravene i databeskyttelseslovgivningen.

Mediclinic står også over for en væsentlig risiko for omdømmemæssig skade. I sundhedssektoren er tillid en grundpille, og offentlighedens opfattelse af datasikkerhed spiller en afgørende rolle for både patientfastholdelse og fremtidig vækst. For at genopbygge tilliden bliver det nødvendigt for Mediclinic at demonstrere ansvarligt lederskab, gennemsigtig kommunikation og en tydelig forpligtelse til langsigtede sikkerhedsforbedringer.

Virksomheder i sundhedssektoren bør prioritere datasikkerhed og sikre, at robuste sikkerhedsprotokoller og -procedurer er implementeret, før et angreb finder sted. Etablerede foranstaltninger gør det ikke kun nemmere at forebygge brud, men sikrer også en hurtigere og mere effektiv reaktion, hvis en hændelse alligevel opstår.

Et mønster af angreb på sundhedssektoren

Angrebet på Mediclinic er ikke en enestående hændelse, men en del af en bredere tendens. Sundhedsorganisationer er fortsat blandt de mest udsatte mål for ransomware-grupper, primært på grund af den livsvigtige karakter af deres tjenester og den høje værdi, som medicinske data har på det sorte marked. I de senere år har lignende angreb ramt store aktører som HCA Healthcare og Change Healthcare.

For at imødegå denne trussel er det afgørende, at sundhedsorganisationer er forberedte. Det indebærer etablerede procedurer til at håndtere mistanker om databrud, hurtig underretning af relevante myndigheder og omgående sikkerhedstiltag for at beskytte personoplysninger og sikre driften.

Hospitaler og klinikker opererer ofte med komplekse it-miljøer, der inkluderer ældre systemer og teknologisk gæld, hvilket gør dem særligt sårbare. Disse forhold skaber en attraktiv angrebsflade for trusselsaktører. Når først hackerne har opnået adgang, kan de bevæge sig lateralt gennem netværket for at tilgå sikkerhedskopier, databaser og kritisk infrastruktur.

Ransomware-grupper er bevidste om, at enhver forsinkelse i genoprettelsen af systemadgang kan have direkte indvirkning på patientbehandlingen. Det pres øger sandsynligheden for, at ofrene vælger at betale løsesummen – hurtigt og uden forhandling.

Styrkelse af forsvaret mod ransomware

Sundhedsorganisationer er nødt til at prioritere cybersikkerhed for at beskytte persondata og sikre stabil drift. Anbefalede tiltag inkluderer implementering af robuste sikkerhedsforanstaltninger såsom netværkssegmentering, stærke autentifikationsløsninger, regelmæssig sikkerhedskopiering og målrettet uddannelse af medarbejdere. Det er samtidig afgørende at have en gennemtestet beredskabsplan, der kan aktiveres ved angreb for at begrænse skaderne effektivt.

Organisationer bør desuden konsultere cybersikkerhedseksperter eller databeskyttelsesrådgivere, når de håndterer sikkerhedshændelser, for at sikre, at reaktionen er både effektiv og i overensstemmelse med gældende lovgivning.

Ved et databrud kan følsomme oplysninger såsom navne, kontaktinformation, fødselsdatoer og medicinske identifikatorer være i fare. For at bevare offentlighedens tillid er det vigtigt, at sundhedsudbydere er åbne omkring, hvordan disse data indsamles, anvendes og beskyttes. En tydelig og lettilgængelig beskrivelse af datahåndtering – herunder privatlivspolitikker og tekniske sikkerhedsforanstaltninger – bør stilles til rådighed, så patienter og brugere ved, hvordan deres oplysninger behandles.

Cybersikkerhed er ikke længere blot et teknisk spørgsmål. For sundhedsorganisationer som Mediclinic er det en integreret del af både patientsikkerhed, omdømme og overholdelse af lovgivningen.

Konklusion

Ransomware-angrebet på Mediclinic, udført af Everest-gruppen, fremhæver den stigende trussel mod kritisk infrastruktur – især inden for sundhedssektoren. I takt med at cyberkriminelle forfiner deres metoder og udnytter sårbarheder i vitale systemer, bliver det altafgørende for organisationer at handle hurtigt og målrettet for at beskytte både data og drift.

For sundhedsorganisationer handler det ikke kun om økonomiske konsekvenser. Et manglende cybersikkerhedsforsvar kan få direkte betydning for patientsikkerheden og svække befolkningens tillid. Derfor bør cybersikkerhed være en strategisk prioritet – på linje med selve kerneopgaven: at redde og beskytte liv.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

SSPM: Sikkerhedsniveau og håndtering
tips

SSPM: Sikkerhedsniveau og håndtering

Lagring og software ligger online, men hvordan sikrer man sin data, når det ikke ligger lokalt? Her kan du læse om SSPM, der skal hjælpe med sikkerheden.

12-05-2023 · 6 min.
Sundhedsvæsenets største databrud i historien
cybercrime

Sundhedsvæsenets største databrud i historien

Læs om det chokerende UnitedHealth-datalæk, der påvirker 190 millioner amerikanere, og hvordan ALPHV (BlackCat) udførte angrebet.

28-01-2025 · 7 min.
Alt du skal vide om MFA bombing
hacking

Alt du skal vide om MFA bombing

MFA bombing er en metode, hackere gør brug af til at trænge igennem det ekstra lag af sikkerhed, vi kender som multi-factor authentication.

10-03-2023 · 7 min.