Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Hard geraakt
Het team zegt dat België en Frankrijk hard worden geraakt. In december vorig jaar was het Algemeen Medisch Laboratorium uit Antwerpen het doelwit van hackers. Belgische media schreven dat het lab was getroffen door een ransomware-aanval. De aanvallers eisten losgeld, het testlab koos er echter voor om aangifte te doen bij het Antwerpse parket en de Computer Crime Unit van de Belgische federale politie. Bij de aanval was geen informatie buitgemaakt.
Half januari was het Belgische ziekenhuis Chwapi de dupe van een cyberaanval. Medewerkers konden hierdoor niet met elkaar communiceren en hadden geen toegang tot patiëntendossiers. Ambulances werden noodgedwongen doorverwezen naar ziekenhuizen in de regio. De directeur van het ziekenhuis vond het schandalig dat het personeel tijd en energie hierin moest steken, wat ten koste ging van de reguliere patiëntenzorg.
In januari en februari waren drie Franse ziekenhuizen en een zorgverzekeraar de dupe van hackers. Zij werden getroffen door ransomware van onder meer Egregor, Ryuk en RansomExx. Mogelijk zijn meer zorginstellingen geraakt, maar dat is nu nog niet bekend.
| Incident | Slachtoffer |
|---|---|
| 28 december 2020 | Algemeen Medisch Lab (B) |
| 17 januari 2021 | Ziekenhuis Chwapi (B) |
| 05 februari 2021 | MNH: Franse zorgverzekeraar voor zorgpersoneel (F) |
| 09 februari 2021 | Dax-Côte d’Argent hospital (F) |
| 11 februari 2021 | Dordogne ziekenhuis groep - 2 locaties besmet maar geringe impact (F) |
| 15 februari 2021 | Ziekenhuis Nord-Oues (met impact op 3 locaties) (F) |
Aanleiding om te waarschuwen voor hackers
Deze ontwikkelingen waren voor Z-CERT (Zorginstellingen Computer Emergency Response Team) aanleiding om ziekenhuizen, laboratoria en andere zorginstanties in Nederland te waarschuwen voor hackers. De cyberspecialisten van Z-CERT gaan ervan uit dat het hier gaat om georganiseerde misdaad.
Hackers collectief of niet, vaak maken de aanvallers gebruik van standaardmethoden om bij een organisatie binnen te dringen. Om Nederlandse zorginstellingen hiervoor te behoeden, heeft Z-CERT een aantal tips op een rij gezet om cybercriminelen buiten de deur te houden. Het gaat om de tien belangrijkste maatregelen om incidenten met gijzelsoftware te voorkomen, of de impact ervan te beperken.
Diverse aanbevelingen
Tussen de tips vinden we diverse aanbevelingen die vrij eenvoudig door de IT-afdeling zijn te implementeren. Zo adviseert Z-CERT bijvoorbeeld om regelmatig back-ups te maken van belangrijke data en beveiligingsupdates van besturingssystemen en andere software te installeren zodra deze beschikbaar zijn. Een andere belangrijke tip is om multifactorauthenticatie te implementeren. Naast een gebruikersnaam en wachtwoord heb je ook een code nodig om in te loggen op een systeem of applicatie. Deze code wordt vaak naar je smartphone verstuurd.
Nu we door de coronacrisis grotendeels vanuit huis werken, is het belangrijk om ervoor te zorgen dat dit veilig en verantwoord gebeurt. Daarom luidt het advies van Z-CERT om ‘afstandswerkoplossingen’ te beveiligen. Wat er gebeurt als je dat niet doet, bewijst een Amerikaans drinkwaterbedrijf dat onlangs door een hacker werd aangevallen. Hij maakte misbruik van de applicatie TeamViewer om kwaadaardige bestanden op de computer van een medewerker te installeren. Ook maakte hij vermoedelijk misbruik van een beveiligingslek van Microsofts Remote Desktop Protocol. Hiervoor bestaat weliswaar een patch, maar deze was nog niet geïnstalleerd. Naar aanleiding van het incident publiceerde de FBI publiceerde een officiële waarschuwing om op pas te passen met TeamViewer.
Tot slot adviseert Z-CERT om applicatie whitelisting in te voeren, het least privilege principe toe te passen, Office macro’s te reguleren of stoppen en de ‘buitenkant van de IT-structuur’ te scannen.
-
Whitelisting
Applicatie whitelisting houdt in dat een systeembeheerder alleen applicaties die hij veilig acht voor een organisatie koppelt aan het netwerk.
-
Least privilege principe
Het least privilege principe betekent dat werknemers alleen toegang krijgen tot informatie en systemen die hij ook echt nodig heeft om zijn werk te kunnen doen.
-
Macro's
Macro’s zijn instructies die een programma uitvoert zodra je hem opstart. Ze kunnen de werkdruk verlichten, maar bieden tevens de mogelijkheid om malware binnen te smokkelen.
-
Scannen buitenkant IT-structuur
Met het scannen van de ‘buitenkant van de IT-structuur’ bedoelt Z-CERT dat een systeembeheerder regelmatig alle systemen die op internet zijn aangesloten monitort op afwijkingen en kwetsbaarheden.
Toename met factor vijf
In het begin van het artikel noemden we enkele voorbeelden van recente cyberaanvallen op zorginstellingen. Afgelopen jaar vielen er nog veel meer slachtoffers te betreuren. Eén van de eerste slachtoffers was de Wereldgezondheidsorganisatie WHO. In de eerste helft van 2020 stalen hackers duizenden e-mailadressen en wachtwoorden van WHO-medewerkers en maakten deze openbaar. Het aantal cyberaanvallen nam kort na het uitbreken van de coronapandemie toe met een factor vijf.
Universal Health Services (UHS), een van de grootste ziekenhuisnetwerken in de VS, was evenmin bestand tegen hackers. Daar werden computers en telefoonlijnen platgelegd en bestanden versleuteld door ransomware. In een ziekenhuis in Düsseldorf overleed in september een patiënt als gevolg van een cyberaanval. Ook diverse Britse en Amerikaanse universiteiten en laboratoria hadden hun handen vol aan hackers.
Eind november was AstraZeneca het doelwit van hackers. Daarbij deden de aanvallers zich voor als recruiters van een bedrijf die een droombaan voor medewerkers in het verschiet stelden. Zij ontvingen een e-mail met een bijlage die voorzien was van kwaadaardige macro’s. Zodra ze dit bestand openden, werden hun computers geïnfecteerd. Op deze manier probeerden de daders het bedrijfsnetwerk van AstraZeneca te infiltreren. Deze aanval mislukte, waardoor het bedrijf geen schade opliep. Het gerucht gaat dat Noord-Koreaanse staatshackers achter deze aanval zitten.
In december tot slot werd het Europees Medicijnagentschap EMA aangevallen, vermoedelijk door Noord-Koreaanse staatshackers. Ze stalen vertrouwelijke documenten van farmaceutische bedrijven, pasten deze aan en publiceerden ze op internet. Waarschijnlijk wilden de aanvallers het vertrouwen in en de werkzaamheid van reeds goedgekeurde coronavaccins ondermijnen.
Bron: z-cert.nl, vpngids.nl
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Ransomware gerelateerde berichten
"Ik heb Darkweb Ransomware gebruikt om mijn baas te saboteren"
Eenvoudige, schaalbare en laag-risico ransomware zorgt voor een bijzonder nette cybercriminaliteit. Tegenwoordig hoeven potentiële aanvallers niet eens hun eigen ransomware te maken; ze kunnen het gewoon op het darkweb kopen. Drake Bennett, verslaggever van Bloomberg-onderzoeken, schafte wat malware aan om te zien hoe gemakkelijk het was om een aanval uit te voeren.
REvil cyberaanval treft advocatenkantoor Hollywoodsterren
Het Amerikaanse advocatenkantoor 'Grubman Shire Meiselas & Sacks' dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en tal van andere sterren vertegenwoordigt is afgeperst nadat aanvallers data van cliënten wisten te stelen en systemen versleutelden.
Ransomware kosten "verdubbelen" bij betaling aan cybercriminelen
Als een organisatie losgeld betaalt na een aanval met gijzelsoftware (ransomware), dan bedragen de herstelkosten gemiddeld 1,3 miljoen euro. Wordt er niet betaald, dan kost de aanval een bedrijf 'slechts' 675.000 euro. Dit blijkt uit een internationaal onderzoek van cybersecurity-specialist 'Sophos'.
Schade door ransomware bij it-dienstverlener tussen 50 tot 70 miljoen dollar
De Amerikaanse it-dienstverlener Cognizant die in april door de Maze-ransomware werd getroffen schat dat de schade door de aanval 50 tot 70 miljoen dollar zal bedragen. Dat liet het bedrijf bij de presentatie van de cijfers over het eerste kwartaal van dit jaar weten (zie hier onder). Waar de schade precies uit bestaat is nog niet bekendgemaakt. Mogelijk wordt dit in de cijfers over het tweede kwartaal vermeld.
LockBit-ransomware automatiseert zoektocht voor cybercriminelen
Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.