{
	"id": "e3c53f1a-1710-469c-b32a-0f17f68663f2",
	"created_at": "2026-04-06T00:20:52.245361Z",
	"updated_at": "2026-04-10T13:12:41.864247Z",
	"deleted_at": null,
	"sha1_hash": "189332c1f8ca4dcadc277d58113de41f799a60c6",
	"title": "Uniklinik Düsseldorf: Ransomware \"DoppelPaymer\" soll hinter dem Angriff stecken",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 131419,
	"plain_text": "Uniklinik Düsseldorf: Ransomware \"DoppelPaymer\" soll hinter\r\ndem Angriff stecken\r\nBy Olivia von Westernhagen\r\nPublished: 2020-09-22 · Archived: 2026-04-05 16:22:39 UTC\r\n1. Uniklinik Düsseldorf: Ransomware \"DoppelPaymer\" soll hinter dem Angriff stecken\r\nEinbruch via \"Shitrix\" bestätigt\r\nTäter halfen nach \"Irrtum\" beim Entschlüsseln\r\nErmittlungen und Bereinigung laufen weiter\r\nNach dem Angriff auf die Düsseldorfer Uni-Klinik führt eine mögliche Spur der Täter laut Justizministerium nach\r\nRussland. So hätten die Angreifer eine Schadsoftware namens \"DoppelPaymer\" in das System geschleust. Dieser\r\nVerschlüsselungstrojaner sei bereits in zahlreichen anderen Fällen weltweit gegen Unternehmen und Institutionen\r\nvon einer kriminellen Hacker-Gruppe eingesetzt worden, die nach Einschätzung privater Sicherheitsunternehmen\r\nin der Russischen Föderation beheimatet sein soll. Das teilte das Ministerium von Nordrhein-Westfalen am\r\nDienstag laut dpa in einem Bericht an den Rechtsausschuss mit.\r\nDie Cybercrime-Bande hinter DoppelPaymer hat sich ähnlich wie die mit der Emotet-Gang zusammenarbeitende\r\nTrickbot-Bande auf das Erpressen von Firmen und Organisationen spezialisiert. Sie setzen ebenfalls sehr\r\nausgefeilte Techniken ein, um sich in den Netzen auszubreiten und dabei unbemerkt zu bleiben, bis sie tatsächlich\r\nDaten verschlüsseln. Ihre Lösegeldforderungen richten sich nach dem \"Wert\" des jeweiligen Angriffsziels und\r\nkönnen Millionenhöhe erreichen. Mitte März dieses Jahres hatte die DoppelPaymer-Gang, wie auch einige andere\r\nRansomware-Gruppen, eine \"Corona-Pause\" für Krankenhäuser versprochen – ein Versprechen, das sie dann doch\r\nnicht einhielt.\r\nhttps://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html\r\nPage 1 of 3\n\nEinbruch via \"Shitrix\" bestätigt\r\nDie Ermittler wissen inzwischen, dass die kriminellen Hacker zunächst einen sogenannten \"Loader\" zum\r\nNachladen des eigentlichen Schadprogramms ins System der Uni-Klinik einschmuggelten. Offen blieb in dem\r\nBericht, wann das war. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatte vergangene\r\nWoche mitgeteilt, dass die entsprechende Sicherheitslücke in Software von Citrix bereits seit dem Jahreswechsel\r\nbekannt war. Dabei handelte es sich um eine Lücke in der Citrix-VPN-Software, die unter dem Namen \"Shitrix\"\r\nbekannt wurde (CVE-2019-19781):\r\nDie Uni-Klinik hatte nach eigenen Angaben damals sofort reagiert. Zwei Spezialfirmen hätten das System noch\r\neinmal überprüft – ohne Hinweis auf eine Gefährdung durch die nun geschlossene Sicherheitslücke. Offenbar\r\nschlummerte der \"Loader\" da aber bereits auf einem Server der Uni-Klinik.\r\nhttps://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html\r\nPage 2 of 3\n\nDas wahrscheinlichste Szenario ist somit derzeit, dass die Cyberkriminellen die Shitrix-Lücke sehr bald nach\r\nihrem Bekanntwerden und noch vor der Bereitstellung des Patches durch Citrix ausgenutzt haben. Sie sind dann\r\ndarüber in das Netz der Uni-Klinik eingedrungen und haben dort heimlich eine Backdoor platziert. Das kann\r\ndurchaus auch auf einem anderen System als dem eigentlichen VPN-Server geschehen sein, sodass die Hintertür\r\nbeim Installieren der Citrix-Updates nicht gefunden wurde. Erst jetzt, viele Monate später, haben sie diese\r\nBackdoor benutzt, um wieder Zugriff auf das Netz der Uni-Klinik zu erlangen.\r\nTäter halfen nach \"Irrtum\" beim Entschlüsseln\r\nDer eigentliche Angriff durch die nachgeladene Verschlüsselungssoftware passierte erst in der Nacht vom 10. auf\r\nden 11. September. 30 Server der Uni-Klinik wurden durch das Schadprogramm verschlüsselt – wobei die\r\nCyberkriminellen eigentlich wohl die Düsseldorfer Universität attackieren wollten. Zu der hatten sie ein digitales\r\nErpresserschreiben adressiert. Als die Polizei den Tätern ihren mutmaßlichen Fehler mitteilte, schickten diese\r\neinen digitalen Schlüssel, um das Krankenhaus wieder zum Laufen zu bekommen.\r\nDie Ermittler vermuten laut dem Bericht an den Landtag, dass die Uni-Klinik Opfer einer \"weltweiten\r\nkommerziellen Malware-Kampagne\" geworden sein könnte. Weitere Details nannte ein Sprecher der zuständigen\r\nStaatsanwaltschaft bei der Zentrale- und Ansprechstelle Cybercrime (ZAC) am Dienstag nicht. Laut einer Statistik\r\nder US-amerikanischen Temple University liegt die Frequenz der Attacken mit Erpresser-Software dieses Jahr auf\r\ndem Höchststand seit 2013. Dabei gezählt wurden allerdings nur die öffentlich bekannten Angriffe. Ermittler\r\ngehen von einer hohen Dunkelziffer aus, bei der zum Beispiel Unternehmen auf die Forderungen der Erpresser\r\neingehen.\r\nErmittlungen und Bereinigung laufen weiter\r\nDie Ermittlungen um den Verdacht der fahrlässigen Tötung einer Patientin liefen unterdessen weiter, erklärte der\r\nZAC-Sprecher. Die Frau war statt in die nahe Uni-Klinik in ein weiter entferntes Krankenhaus nach Wuppertal\r\ngebracht worden und gestorben. Für den Vorwurf der fahrlässigen Tötung könnte unter anderem entscheidend\r\nsein, ob die Frau eine Überlebenschance gehabt hatte, wenn sie in die Uni-Klinik gekommen wäre.\r\nDie IT des Krankenhauses ist unterdessen weiter nicht voll einsatzbereit. Die größte Klinik der Landeshauptstadt\r\nrechnet nach Angaben eines Sprechers damit, dass die Zentrale Notaufnahme diese Woche eventuell ihren Dienst\r\nwieder aufnehmen kann. Noch seien aber nicht alle entsprechenden Systeme wieder hochgefahren.\r\n(ovw)\r\nSource: https://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html\r\nhttps://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html"
	],
	"report_names": [
		"Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434852,
	"ts_updated_at": 1775826761,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/189332c1f8ca4dcadc277d58113de41f799a60c6.pdf",
		"text": "https://archive.orkl.eu/189332c1f8ca4dcadc277d58113de41f799a60c6.txt",
		"img": "https://archive.orkl.eu/189332c1f8ca4dcadc277d58113de41f799a60c6.jpg"
	}
}