Z-Cert: de culminatie van een ransomwareaanval in de gezondheidszorg van de Europese Unie

De reden voor deze groei van ransomware-aanvallen is niet duidelijk, maar de evolutie moet nog komen Z-CERT Reden genoeg om de Nederlandse zorg verder te waarschuwen. Mogelijk worden meer zorginstellingen getroffen, maar dit is nog niet aangekondigd. Cyberprofessionals van Z-CERT gaan uit van georganiseerde cybercriminaliteit op basis van hun bronnen.

Bekende ransomwarepakketten

Het is bekend dat ransomwarepakketten achter een aantal incidenten zitten: Egregor, Ruyk en RansomExx. Dit zijn bekende actoren in internetcriminaliteit en hebben al talloze slachtoffers gemaakt. Zo heeft Roic het afgelopen jaar grote schade aangericht in de gezondheidszorg in de Verenigde Staten.

Het is bekend dat cybercriminelen vaak standaardmethoden gebruiken om een ​​organisatie binnen te komen. In de gids “10 tips tegen ransomware” beschrijft de autoriteit maatregelen (preventief) die angst kan nemen. Denk erover om reservekopieën te maken.

Het wordt moeilijker zodra cybercriminelen een organisatie binnenkomen. Dit zijn de professionele cybercriminelen die op een zeer hoog technisch niveau handelen. Z-Cert geeft op zijn website meer informatie in een reeks artikelen over hoe organisaties een hoger detectieniveau hebben bereikt en hoe deze cybercriminelen kunnen worden ‘gepakt’ in het zogenaamde Detection Network.

Van de volgende zorgorganisaties is bekend dat ze de afgelopen weken zijn getroffen door ransomware-aanvallen.

28-12-2020 Laboratorium voor Algemene Geneeskunde (België).
17-01-2021 : Chwapi Hospital (België)
05/02/2021 : MNH: de Franse ziektekostenverzekeraar voor gezondheidswerkers.
09-02-2021 Ziekenhuis: Dax Cote d’Argent (Frankrijk).
2021-02-11Dordogne Hospitals Group (Frankrijk) – 2 sites getroffen, maar met minimale impact.
15-02-2021 Ziekenhuis Nord-Auss (Frankrijk) (3 getroffen locaties).

Ransomware-aanvallen groeien

In november 2020 waarschuwde Z-Cert al voor een toename van het aantal ransomwareaanvallen op zorgorganisaties. In de VS werden binnen een week verschillende ziekenhuizen aangevallen door ransomware onder de naam Ryuk. Op dat moment waren er in Nederland geen gevallen bekend. Z-CERT heeft de zorgsector geadviseerd waakzaam te blijven, plannen voor respons op ongevallen te controleren en informatie over Ryuk te behandelen die Z-CERT deelt via het Care Detection Network.

Cyberdreigingsanalyse van de gezondheidszorg

In haar eerste beoordeling van de cyberdreiging voor de zorg concludeerde de autoriteit begin februari dat ransomware op dit moment nog steeds de grootste cyberdreiging voor de zorgsector is. Hoewel er in 2020 geen grote losgeldaanvallen op Nederlandse ziekenhuizen waren, liet de aanslag op de Universiteit Maastricht eind 2019 zien hoe ernstig de gevolgen kunnen zijn.

De dreiging wordt geïllustreerd door het feit dat Nederlandse zorginstellingen:

• Velen worden onderzocht door kwaadwillenden.
• Ontvang malware die klaar is om ransomware te downloaden.
• Kwaadaardige software (Emotet) wordt op grote schaal via e-mail ontvangen. Emotet is vaak de voorbode van ransomware. Andere malware die wordt gebruikt bij ransomware-aanvallen is ook ontvangen.

Z-Cert heeft ook enkele waarborgen in het rapport opgenomen:

1. Remote Desktop Protocol: Om op afstand te werken. Diverse grote ransomware-incidenten hebben RDP misbruikt. Zorg ervoor dat RDP geen directe toegang tot internet is. Zo wordt de kans op externe uitbuiting sterk verminderd.
2. Stop of organiseer Office-macro’s: Kleine programma’s in Office-bestanden die vaak worden gebruikt om onder andere malware te downloaden en uit te voeren. Z-CERT raadt aan om macro’s van internet te verbieden en het gebruik van macro’s uit te faseren. Als de organisatie specifieke macro’s nodig heeft, organiseer dan het gebruik ervan.
3. Lijst met applicatie: Zwarte lijst omkeren. Er staan ​​geen onveilige apps in de lijst met geblokkeerde apps, maar de lijst met veilige apps. Dit voorkomt dat ongeautoriseerde applicaties, zoals malware, worden uitgevoerd.