Piek in cyberaanvallen op zorgsector in Europa

Gepubliceerd op 19 februari 2021 om 15:00
Piek in cyberaanvallen op zorgsector in Europa

Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.

Hard geraakt

Het team zegt dat België en Frankrijk hard worden geraakt. In december vorig jaar was het Algemeen Medisch Laboratorium uit Antwerpen het doelwit van hackers. Belgische media schreven dat het lab was getroffen door een ransomware-aanval. De aanvallers eisten losgeld, het testlab koos er echter voor om aangifte te doen bij het Antwerpse parket en de Computer Crime Unit van de Belgische federale politie. Bij de aanval was geen informatie buitgemaakt.

Half januari was het Belgische ziekenhuis Chwapi de dupe van een cyberaanval. Medewerkers konden hierdoor niet met elkaar communiceren en hadden geen toegang tot patiëntendossiers. Ambulances werden noodgedwongen doorverwezen naar ziekenhuizen in de regio. De directeur van het ziekenhuis vond het schandalig dat het personeel tijd en energie hierin moest steken, wat ten koste ging van de reguliere patiëntenzorg.

In januari en februari waren drie Franse ziekenhuizen en een zorgverzekeraar de dupe van hackers. Zij werden getroffen door ransomware van onder meer Egregor, Ryuk en RansomExx. Mogelijk zijn meer zorginstellingen geraakt, maar dat is nu nog niet bekend.

Incident Slachtoffer
28 december 2020 Algemeen Medisch Lab (B)
17 januari 2021 Ziekenhuis Chwapi (B)
05 februari 2021 MNH: Franse zorgverzekeraar voor zorgpersoneel (F)
09 februari 2021 Dax-Côte d’Argent hospital (F)
11 februari 2021 Dordogne ziekenhuis groep - 2 locaties besmet maar geringe impact (F)
15 februari 2021 Ziekenhuis Nord-Oues (met impact op 3 locaties) (F)

Aanleiding om te waarschuwen voor hackers

Deze ontwikkelingen waren voor Z-CERT (Zorginstellingen Computer Emergency Response Team) aanleiding om ziekenhuizen, laboratoria en andere zorginstanties in Nederland te waarschuwen voor hackers. De cyberspecialisten van Z-CERT gaan ervan uit dat het hier gaat om georganiseerde misdaad.

Hackers collectief of niet, vaak maken de aanvallers gebruik van standaardmethoden om bij een organisatie binnen te dringen. Om Nederlandse zorginstellingen hiervoor te behoeden, heeft Z-CERT een aantal tips op een rij gezet om cybercriminelen buiten de deur te houden. Het gaat om de tien belangrijkste maatregelen om incidenten met gijzelsoftware te voorkomen, of de impact ervan te beperken.

Diverse aanbevelingen

Tussen de tips vinden we diverse aanbevelingen die vrij eenvoudig door de IT-afdeling zijn te implementeren. Zo adviseert Z-CERT bijvoorbeeld om regelmatig back-ups te maken van belangrijke data en beveiligingsupdates van besturingssystemen en andere software te installeren zodra deze beschikbaar zijn. Een andere belangrijke tip is om multifactorauthenticatie te implementeren. Naast een gebruikersnaam en wachtwoord heb je ook een code nodig om in te loggen op een systeem of applicatie. Deze code wordt vaak naar je smartphone verstuurd.

Nu we door de coronacrisis grotendeels vanuit huis werken, is het belangrijk om ervoor te zorgen dat dit veilig en verantwoord gebeurt. Daarom luidt het advies van Z-CERT om ‘afstandswerkoplossingen’ te beveiligen. Wat er gebeurt als je dat niet doet, bewijst een Amerikaans drinkwaterbedrijf dat onlangs door een hacker werd aangevallen. Hij maakte misbruik van de applicatie TeamViewer om kwaadaardige bestanden op de computer van een medewerker te installeren. Ook maakte hij vermoedelijk misbruik van een beveiligingslek van Microsofts Remote Desktop Protocol. Hiervoor bestaat weliswaar een patch, maar deze was nog niet geïnstalleerd. Naar aanleiding van het incident publiceerde de FBI publiceerde een officiële waarschuwing om op pas te passen met TeamViewer.

Tot slot adviseert Z-CERT om applicatie whitelisting in te voeren, het least privilege principe toe te passen, Office macro’s te reguleren of stoppen en de ‘buitenkant van de IT-structuur’ te scannen.

  • Whitelisting

Applicatie whitelisting houdt in dat een systeembeheerder alleen applicaties die hij veilig acht voor een organisatie koppelt aan het netwerk.

  • Least privilege principe

Het least privilege principe betekent dat werknemers alleen toegang krijgen tot informatie en systemen die hij ook echt nodig heeft om zijn werk te kunnen doen.

  • Macro's

Macro’s zijn instructies die een programma uitvoert zodra je hem opstart. Ze kunnen de werkdruk verlichten, maar bieden tevens de mogelijkheid om malware binnen te smokkelen.

  • Scannen buitenkant IT-structuur

Met het scannen van de ‘buitenkant van de IT-structuur’ bedoelt Z-CERT dat een systeembeheerder regelmatig alle systemen die op internet zijn aangesloten monitort op afwijkingen en kwetsbaarheden.

Toename met factor vijf

In het begin van het artikel noemden we enkele voorbeelden van recente cyberaanvallen op zorginstellingen. Afgelopen jaar vielen er nog veel meer slachtoffers te betreuren. Eén van de eerste slachtoffers was de Wereldgezondheidsorganisatie WHO. In de eerste helft van 2020 stalen hackers duizenden e-mailadressen en wachtwoorden van WHO-medewerkers en maakten deze openbaar. Het aantal cyberaanvallen nam kort na het uitbreken van de coronapandemie toe met een factor vijf.

Universal Health Services (UHS), een van de grootste ziekenhuisnetwerken in de VS, was evenmin bestand tegen hackers. Daar werden computers en telefoonlijnen platgelegd en bestanden versleuteld door ransomware. In een ziekenhuis in Düsseldorf overleed in september een patiënt als gevolg van een cyberaanval. Ook diverse Britse en Amerikaanse universiteiten en laboratoria hadden hun handen vol aan hackers.

Eind november was AstraZeneca het doelwit van hackers. Daarbij deden de aanvallers zich voor als recruiters van een bedrijf die een droombaan voor medewerkers in het verschiet stelden. Zij ontvingen een e-mail met een bijlage die voorzien was van kwaadaardige macro’s. Zodra ze dit bestand openden, werden hun computers geïnfecteerd. Op deze manier probeerden de daders het bedrijfsnetwerk van AstraZeneca te infiltreren. Deze aanval mislukte, waardoor het bedrijf geen schade opliep. Het gerucht gaat dat Noord-Koreaanse staatshackers achter deze aanval zitten.

In december tot slot werd het Europees Medicijnagentschap EMA aangevallen, vermoedelijk door Noord-Koreaanse staatshackers. Ze stalen vertrouwelijke documenten van farmaceutische bedrijven, pasten deze aan en publiceerden ze op internet. Waarschijnlijk wilden de aanvallers het vertrouwen in en de werkzaamheid van reeds goedgekeurde coronavaccins ondermijnen.

Piek Ransomware
PDF – 545,9 KB 350 downloads
Tien Gouden Tips Tegen Ransomware
PDF – 193,3 KB 325 downloads

Bron: z-cert.nl, vpngids.nl

Meer info over ‘ransomware’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Ransomware gerelateerde berichten

Cybercriminelen blijven op het netwerk van slachtoffers actief

Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.

Lees meer »

Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s

De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. 

Lees meer »

IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Lees meer »

6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.

Lees meer »