ChipSoft ransomware legt zorg plat, VENOM steelt executive logins en 7 jaar cel

Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.

ChipSoft ransomware treft de hele Nederlandse zorg

Op dinsdag 7 april werd bekend dat ChipSoft, de leverancier achter het elektronisch patientendossier HiX, is getroffen door een ransomware aanval. ChipSoft heeft naar schatting zeventig procent marktaandeel in Nederlandse ziekenhuizen, waardoor de impact van deze aanval moeilijk te overschatten is.

Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, bevestigde dat het om ransomware gaat en adviseerde ziekenhuizen om hun VPN verbinding met ChipSoft te verbreken. Elf ziekenhuizen haalden hun patientenportalen offline, waaronder het Slingeland Ziekenhuis in Doetinchem, het Diakonessenhuis in Utrecht, Rijnstate in Arnhem en Tergooi MC. Patientenportalen, online afspraken en aanmeldzuilen vielen uit, maar de directe zorg ging overal door en patientendossiers bleven intern toegankelijk. De Autoriteit Persoonsgegevens ontving 23 datalekmeldingen. Ook in Belgie raakte het Belgische ziekenhuis AZ Delta in Roeselare getroffen, dat een deel van zijn digitale diensten uit voorzorg offline haalde.

D66 Kamerleden Vervuurt en El Boujdaini stelden vervolgens Kamervragen aan minister Hermans van Volksgezondheid. Ze willen weten of patientgegevens zijn gestolen, hoe de minister de sterke afhankelijkheid van een beperkt aantal commerciele leveranciers voor cruciale zorg IT beoordeelt en of er aanvullende eisen nodig zijn op het gebied van redundantie en interoperabiliteit. De vragen sluiten aan bij een breder patroon. Uit onderzoek van de Stichting Internet Domeinregistratie Nederland (SIDN) bleek deze week dat dertig procent van de domeinnamen van Nederlandse ziekenhuizen niet op naam van de zorginstelling zelf staat, waardoor een extra risico ontstaat bij faillissement of contractwijziging van de IT leverancier.

Het ministerie van Binnenlandse Zaken kwam tegelijkertijd met nieuws over het Odido datalek. Staatssecretaris Aerdts liet weten dat slachtoffers hun paspoort of identiteitskaart niet hoeven te vernieuwen, omdat criminelen met alleen paspoortnummers niet zelfstandig fraude kunnen plegen. De gestolen gegevens worden volgens de staatssecretaris vooral gebruikt voor phishingaanvallen. Het kabinet steunt het besluit van Odido om geen losgeld te betalen.

Phishing via vertrouwde platforms en VENOM jaagt op executives

Cybercriminelen vonden deze week bijzonder effectieve manieren om beveiligingsmaatregelen te omzeilen door vertrouwde platforms van binnenuit te misbruiken. Onderzoekers van Trustwave SpiderLabs ontdekten een campagne waarbij aanvallers de legitieme partner request functie van Meta Business Manager gebruiken om phishing mails te versturen. Omdat de berichten worden verzonden vanaf facebookmail.com, een geverifieerd Meta communicatiedomein, passeren ze standaard authenticatiecontroles zoals SPF en DKIM probleemloos. De onderzoekers traceerden meer dan veertigduizend phishing mails naar meer dan vijfduizend organisaties in de Verenigde Staten, Europa, Canada en Australie. Sectoren die sterk afhankelijk zijn van Meta advertentietools werden het zwaarst getroffen, een bedrijf ontving meer dan 4.200 berichten.

Parallel daaraan onthulden onderzoekers van Abnormal het VENOM platform, een gesloten phishing as a service dienst die specifiek CEO's, CFO's en VP's in het vizier neemt. VENOM bootst Microsoft SharePoint notificaties na met sterk gepersonaliseerde berichten en injecteert valse e-mail threads die zijn afgestemd op het doelwit. Een QR code in Unicode stuurt slachtoffers naar hun mobiele apparaat, waar ze via een adversary in the middle aanval hun inloggegevens en MFA codes ongemerkt prijsgeven. Onderzoekers merkten op dat MFA niet langer voldoende is als verdediging, omdat VENOM binnen het authenticatieprotocol opereert in plaats van het te omzeilen. Ze adviseren FIDO2 authenticatie als vervanging.

In de webwinkelwereld ontdekte beveiligingsbedrijf Sansec een campagne waarbij bijna honderd Magento winkels zijn besmet met creditcard skimmers. De malware verbergt zich in een SVG afbeelding van een pixel groot. Wanneer een bezoeker op afrekenen klikt, verschijnt een overtuigende nep checkout die kaartgegevens valideert en in realtime naar de aanvaller stuurt. De exfiltratieservers draaien bij een hostingprovider in Nederland.

Supply chain aanvallen raken WordPress en AI tools

Het updatesysteem van Smart Slider 3 Pro, een populaire WordPress plugin met meer dan 800.000 actieve installaties, werd op 7 april gekaapt. Aanvallers verspreidden een kwaadaardige versie die een volledig uitgeruste, meerlaagse toolkit bevatte. De malware creeerde een verborgen administrator account, installeerde backdoors op meerdere locaties en stal inloggegevens, terwijl de normale functionaliteit van de plugin behouden bleef. PatchStack waarschuwde dat beheerders die versie 3.5.1.35 hebben geinstalleerd, moeten uitgaan van een volledige site compromittering. De kwaadaardige update was ongeveer zes uur beschikbaar voordat hij werd ontdekt.

Onderzoekers van LayerX demonstreerden deze week een heel ander type supply chain kwetsbaarheid. Ze toonden aan dat het CLAUDE.md configuratiebestand van AI assistent Claude Code misbruikt kan worden om beveiligingsregels te omzeilen. Door slechts drie regels Engels in het tekstbestand te typen, lieten ze de AI SQL injectieaanvallen uitvoeren en gebruikersgegevens stelen. LayerX stelde Anthropic op 29 maart op de hoogte, maar ontving geen reactie. Teams die Claude Code gebruiken, wordt aangeraden deze bestanden als echte code te behandelen en nauwlettend te inspecteren.

Tegelijkertijd kwam er goed nieuws over AI en beveiliging. Anthropic's Claude Mythos, een nieuw AI model ontwikkeld in samenwerking met Amazon, Apple, Microsoft en Google via Project Glasswing, ontdekte een 13 jaar oude kritieke kwetsbaarheid in Apache ActiveMQ in slechts tien minuten. Die zelfde week waarschuwde een onderzoeker voor een actief aangevallen zeroday in Adobe Reader waarvoor al vier maanden geen patch beschikbaar is. Via de kwetsbaarheid kunnen aanvallers lokale bestanden lezen en verdere aanvallen uitvoeren.

Recht en politie pakken cybercriminelen aan

De rechtbank Noord Nederland veroordeelde een 24 jarige man uit Delfzijl tot zeven jaar gevangenisstraf voor het stelen van 900.000 euro via bankhelpdeskfraude. Het is een van de hoogste straffen ooit in Nederland voor dit type fraude. De man stuurde anderen aan die zich voordeden als bankmedewerkers en belde slachtoffers ook zelf op. Via de remote access software AnyDesk namen ze computers over en haalden zowel bankrekeningen als cryptowallets leeg. Bij een van de slachtoffers werd 500.000 euro buitgemaakt. Bij een huiszoeking vond de politie seed phrases waarmee 1,6 miljoen euro aan cryptovaluta in beslag werd genomen. De man waste daarnaast ruim 6,5 miljoen euro aan crypto wit. De rechter noemde het gedrag vanuit de gevangenis zorgelijk, waar de verdachte in afgeluisterde gesprekken zei dat hij met goed gedrag snel vrij zou zijn.

De politie verstuurde deze week ook een waarschuwing naar ruim 4.800 Nederlanders over boilerroomfraude. Team Digitale Criminaliteit van de eenheid Midden Nederland ontdekte dat hun persoonsgegevens voorkomen in een internationale database van cybercriminelen. Wereldwijd zijn ongeveer 14.500 mensen slachtoffer geworden, waarvan meer dan 670 Nederlanders financieel zijn gedupeerd. De criminelen gebruiken advertenties op sociale media om mensen naar nep cryptoplatforms te lokken.

Op het gebied van digitale soevereiniteit kondigde staatssecretaris Boswijk van Defensie de bouw aan van een cloud voor staatsgeheime gegevens, samen met KPN en Thales. Er is bewust gekozen voor Nederlandse bedrijven om de afhankelijkheid van de Verenigde Staten te verminderen. Staatssecretaris Aerdts voor Digitale Economie benadrukte in een interview dat Nederland minder afhankelijk moet worden van software uit een enkel land en dat er sneller Europese alternatieven moeten komen.

De belangrijkste punten

- ChipSoft ransomware treft 70 procent NL ziekenhuizen: Elf ziekenhuizen haalden portalen offline, 23 datalekmeldingen bij AP, Kamervragen over leveranciersafhankelijkheid

- Meta Business Manager misbruikt voor phishing: Meer dan veertigduizend mails via echt Meta adres, vijfduizend organisaties getroffen

- VENOM platform jaagt op topmanagers: Gesloten PhaaS omzeilt MFA via adversary in the middle en device code phishing

- Smart Slider 3 Pro supply chain aanval: Update gehijacked, meerlaagse backdoor in 800.000+ WordPress sites

- Claude Code CLAUDE.md misbruik: Drie regels Engels omzeilen AI beveiligingsregels voor SQL injectie

- Zeven jaar cel bankhelpdeskfraude: 900.000 euro gestolen, 6,5 miljoen witgewassen, een van de hoogste straffen ooit in NL

Lees ook

- S02E41: Twee FortiClient zerodays, Noord Korea's miljardenbusiness en LinkedIn als spion - Vorige aflevering met de FortiClient kwetsbaarheden die ook deze week weer door het NCSC worden benadrukt

- Gehackt bij Odido, wat criminelen nu over jou weten - Achtergrond bij het Odido datalek waarover de staatssecretaris deze week Kamervragen beantwoordde

- Wanneer een schakel in de keten breekt, de impact van cyberincidenten in de supply chain - Uitleg over supply chain aanvallen zoals de ChipSoft en Smart Slider incidenten van deze week

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam