Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Hard geraakt
Het team zegt dat België en Frankrijk hard worden geraakt. In december vorig jaar was het Algemeen Medisch Laboratorium uit Antwerpen het doelwit van hackers. Belgische media schreven dat het lab was getroffen door een ransomware-aanval. De aanvallers eisten losgeld, het testlab koos er echter voor om aangifte te doen bij het Antwerpse parket en de Computer Crime Unit van de Belgische federale politie. Bij de aanval was geen informatie buitgemaakt.
Half januari was het Belgische ziekenhuis Chwapi de dupe van een cyberaanval. Medewerkers konden hierdoor niet met elkaar communiceren en hadden geen toegang tot patiëntendossiers. Ambulances werden noodgedwongen doorverwezen naar ziekenhuizen in de regio. De directeur van het ziekenhuis vond het schandalig dat het personeel tijd en energie hierin moest steken, wat ten koste ging van de reguliere patiëntenzorg.
In januari en februari waren drie Franse ziekenhuizen en een zorgverzekeraar de dupe van hackers. Zij werden getroffen door ransomware van onder meer Egregor, Ryuk en RansomExx. Mogelijk zijn meer zorginstellingen geraakt, maar dat is nu nog niet bekend.
Incident | Slachtoffer |
---|---|
28 december 2020 | Algemeen Medisch Lab (B) |
17 januari 2021 | Ziekenhuis Chwapi (B) |
05 februari 2021 | MNH: Franse zorgverzekeraar voor zorgpersoneel (F) |
09 februari 2021 | Dax-Côte d’Argent hospital (F) |
11 februari 2021 | Dordogne ziekenhuis groep - 2 locaties besmet maar geringe impact (F) |
15 februari 2021 | Ziekenhuis Nord-Oues (met impact op 3 locaties) (F) |
Aanleiding om te waarschuwen voor hackers
Deze ontwikkelingen waren voor Z-CERT (Zorginstellingen Computer Emergency Response Team) aanleiding om ziekenhuizen, laboratoria en andere zorginstanties in Nederland te waarschuwen voor hackers. De cyberspecialisten van Z-CERT gaan ervan uit dat het hier gaat om georganiseerde misdaad.
Hackers collectief of niet, vaak maken de aanvallers gebruik van standaardmethoden om bij een organisatie binnen te dringen. Om Nederlandse zorginstellingen hiervoor te behoeden, heeft Z-CERT een aantal tips op een rij gezet om cybercriminelen buiten de deur te houden. Het gaat om de tien belangrijkste maatregelen om incidenten met gijzelsoftware te voorkomen, of de impact ervan te beperken.
Diverse aanbevelingen
Tussen de tips vinden we diverse aanbevelingen die vrij eenvoudig door de IT-afdeling zijn te implementeren. Zo adviseert Z-CERT bijvoorbeeld om regelmatig back-ups te maken van belangrijke data en beveiligingsupdates van besturingssystemen en andere software te installeren zodra deze beschikbaar zijn. Een andere belangrijke tip is om multifactorauthenticatie te implementeren. Naast een gebruikersnaam en wachtwoord heb je ook een code nodig om in te loggen op een systeem of applicatie. Deze code wordt vaak naar je smartphone verstuurd.
Nu we door de coronacrisis grotendeels vanuit huis werken, is het belangrijk om ervoor te zorgen dat dit veilig en verantwoord gebeurt. Daarom luidt het advies van Z-CERT om ‘afstandswerkoplossingen’ te beveiligen. Wat er gebeurt als je dat niet doet, bewijst een Amerikaans drinkwaterbedrijf dat onlangs door een hacker werd aangevallen. Hij maakte misbruik van de applicatie TeamViewer om kwaadaardige bestanden op de computer van een medewerker te installeren. Ook maakte hij vermoedelijk misbruik van een beveiligingslek van Microsofts Remote Desktop Protocol. Hiervoor bestaat weliswaar een patch, maar deze was nog niet geïnstalleerd. Naar aanleiding van het incident publiceerde de FBI publiceerde een officiële waarschuwing om op pas te passen met TeamViewer.
Tot slot adviseert Z-CERT om applicatie whitelisting in te voeren, het least privilege principe toe te passen, Office macro’s te reguleren of stoppen en de ‘buitenkant van de IT-structuur’ te scannen.
-
Whitelisting
Applicatie whitelisting houdt in dat een systeembeheerder alleen applicaties die hij veilig acht voor een organisatie koppelt aan het netwerk.
-
Least privilege principe
Het least privilege principe betekent dat werknemers alleen toegang krijgen tot informatie en systemen die hij ook echt nodig heeft om zijn werk te kunnen doen.
-
Macro's
Macro’s zijn instructies die een programma uitvoert zodra je hem opstart. Ze kunnen de werkdruk verlichten, maar bieden tevens de mogelijkheid om malware binnen te smokkelen.
-
Scannen buitenkant IT-structuur
Met het scannen van de ‘buitenkant van de IT-structuur’ bedoelt Z-CERT dat een systeembeheerder regelmatig alle systemen die op internet zijn aangesloten monitort op afwijkingen en kwetsbaarheden.
Toename met factor vijf
In het begin van het artikel noemden we enkele voorbeelden van recente cyberaanvallen op zorginstellingen. Afgelopen jaar vielen er nog veel meer slachtoffers te betreuren. Eén van de eerste slachtoffers was de Wereldgezondheidsorganisatie WHO. In de eerste helft van 2020 stalen hackers duizenden e-mailadressen en wachtwoorden van WHO-medewerkers en maakten deze openbaar. Het aantal cyberaanvallen nam kort na het uitbreken van de coronapandemie toe met een factor vijf.
Universal Health Services (UHS), een van de grootste ziekenhuisnetwerken in de VS, was evenmin bestand tegen hackers. Daar werden computers en telefoonlijnen platgelegd en bestanden versleuteld door ransomware. In een ziekenhuis in Düsseldorf overleed in september een patiënt als gevolg van een cyberaanval. Ook diverse Britse en Amerikaanse universiteiten en laboratoria hadden hun handen vol aan hackers.
Eind november was AstraZeneca het doelwit van hackers. Daarbij deden de aanvallers zich voor als recruiters van een bedrijf die een droombaan voor medewerkers in het verschiet stelden. Zij ontvingen een e-mail met een bijlage die voorzien was van kwaadaardige macro’s. Zodra ze dit bestand openden, werden hun computers geïnfecteerd. Op deze manier probeerden de daders het bedrijfsnetwerk van AstraZeneca te infiltreren. Deze aanval mislukte, waardoor het bedrijf geen schade opliep. Het gerucht gaat dat Noord-Koreaanse staatshackers achter deze aanval zitten.
In december tot slot werd het Europees Medicijnagentschap EMA aangevallen, vermoedelijk door Noord-Koreaanse staatshackers. Ze stalen vertrouwelijke documenten van farmaceutische bedrijven, pasten deze aan en publiceerden ze op internet. Waarschijnlijk wilden de aanvallers het vertrouwen in en de werkzaamheid van reeds goedgekeurde coronavaccins ondermijnen.
Bron: z-cert.nl, vpngids.nl
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Ransomware gerelateerde berichten
"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt"
Ruim een week nadat Microsoft de 'mitigatietool met één muisklik' heeft uitgebracht om cyberaanvallen op lokale Exchange-servers te beperken maakte het bedrijf bekend dat de patches reeds zijn uitgevoerd op 92% van alle internet-gerichte servers die zijn getroffen door de 'ProxyLogon-kwetsbaarheden'.
Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld
Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd.
Losgeld: "Het besluit dat we hebben genomen gaat in tegen al onze principes, het voelt heel slecht"
Het 'Staring College' is deze week getroffen door een grote ransomware-aanval. De middelbare school, met vestigingen in Lochem en Borculo, heeft na wikken en wegen besloten om losgeld te betalen aan de aanvallers. Dat was enige manier om er zeker van te zijn dat het onderwijs geen gevaar liep.
Twee derde van organisatie kreeg te maken met ransomware in 2020
Uit onderzoek van Proofpoint blijkt dat ransomware-aanvallen een enorm groot probleem zijn. Zo geeft 66 procent van respondenten aan het slachtoffer te zijn geweest van ransomware.
Piek in cyberaanvallen op zorgsector in Europa
Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Zijn er nieuwelingen die gebruik maken van 'open ransomware-as-a-service diensten' die onbedoeld gegevens vernietigen?
Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.