De recente cyberaanvallen op Amerikaanse ziekenhuizen is nog maar het begin. De Federal Bureau of Investigation (FBI), het ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) zeggen dat cybercriminelen zich voorbereiden op een golf aan ransomware-aanvallen. De hackers zijn volgens de veiligheidsinstanties uit op geld en geven niets om de gezondheid of veiligheid van patiënten. Gezondheidsinstellingen krijgen het advies om hun digitale beveiliging op te schroeven.
De inlichtingen- en handhavingsdiensten waarschuwen ziekenhuizen via een zogeheten 'advisory' bericht.
Diverse ziekenhuizen reeds getroffen
Ziekenhuizen hebben hun handen vol aan de reguliere zorg en het coronavirus. Alsof dat nog niet genoeg is, komt nog een extra inspanning bij, cybersecurity. De afgelopen weken zijn diverse zorginstellingen getroffen door cyberaanvallen. Eind september was het Amerikaanse ziekenhuisnetwerk Universal Health Services (UHS) het slachtoffer van een cyberaanval. Ransomware die bekendstaat onder de naam Ryuk slaagde erin om te infiltreren in de computersystemen van UHS.
Begin deze maand betaalde de University Hospital in New Jersey 670.000 dollar aan losgeld nadat hackers 240 GB aan data hadden gestolen (doxware). De daders claimden identiteitsbewijzen, BSN-nummers, medicijngebruik en complete medische voorgeschiedenis van patiënten in handen te hebben. Uit onderzoek blijkt dat de daders via een phishingaanval in staat waren om het netwerk binnen te dringen.
Deze week drie ziekenhuizen getroffen
Amerikaanse media als Bloomberg en Reuters schrijven dat er deze week cyberincidenten plaatsvonden in ziekenhuizen in Oregon, Californië en New York. Een arts bevestigt anoniem tegenover Reuters dat de zorg weliswaar geen gevaar liep, maar dat er alleen nog maar via papier werd gecommuniceerd. Het overplaatsen van patiënten was geen optie, omdat de beste alternatieve locatie meer dan een uur rijden van het ziekenhuis lag.
“Geloofwaardige inlichtingen”
Het is verschrikkelijk wat de ziekenhuizen is overkomen. Dit is echter nog maar de opmaat. De FBI en CISA zeggen “geloofwaardige inlichtingen” te hebben dat er een “naderende cybercrime dreiging” in aantocht is. De veiligheidsdiensten verwachten een serie ransomware-aanvallen waarbij meerdere ziekenhuizen en zorginstellingen verspreid over het land getroffen worden. Door de gezondheidssector nu te waarschuwen, hopen de diensten dat instanties die in de zorg werkzaam zijn tijdig voorzorgsmaatregelen kunnen treffen om zich te wapenen tegen deze digitale dreiging.
Palet met ransomware
De daders proberen het netwerk en de servers van ziekenhuizen te infecteren met allerlei soorten ransomware. De veiligheidsdiensten noemen Ryuk, Trickbot en Anchor bij naam en toenaam. Vorige week claimden Microsoft en ESET nog een grote klap te hebben toegebracht aan het wereldwijde netwerk van Trickbot. Het ziet er naar uit dat het Amerikaanse technologiebedrijf en antivirusbedrijf te voorbarig waren en dat de daders de toegebrachte schade hebben weten te herstellen.
Een doel "geld"
De hackers hebben volgens de FBI en CISA maar één doel, geld verdienen. Door ransomware of gijzelsoftware te installeren, worden mappen en bestanden vergrendeld. Je kunt je voorstellen dat dit in een sector als de zorg grote ellende met zich meebrengt. Zeker als hierdoor de patiëntenzorg in gevaar komt. De enige manier om de geïnfecteerde data van het digitale slot te halen, is door een decryptiesleutel te gebruiken. Slachtoffers krijgen deze op het moment dat ze losgeld betalen aan de daders.
Gecoördineerde aanval
De FBI onderzoekt momenteel de cyberaanvallen die onlangs plaatsvonden in ziekenhuizen in Oregon, Californië en New York. Wie er verantwoordelijk is voor deze aanvallen, houdt de handhavingsinstantie voor zich. Allan Liska van beveiligingsbedrijf Recorded Future zegt tegen Reuters dat de recente cyberaanvallen een “gecoördineerde aanval” was om ziekenhuizen te ontwrichten.
Honderden ziekenhuizen
Cybersecuritybedrijf FireEye Inc. vertelt tegenover Bloomberg en Reuters dat Wizard Spider, ook wel beter bekend als UNC1878, achter de aanvallen zit. Dit zijn hackers uit Oost-Europese landen die geld proberen te verdienen door zorginstellingen aan te vallen met ransomware. Volgens een medewerker van het bedrijf hebben de hackers hun zinnen gezet op honderden ziekenhuizen. “Op dit moment ervaren we de grootste cybersecurity dreiging die ons land ooit heeft gekend”, zo vertelt hij. Hij noemt de hackers van UNC1878 “de meest schaamteloze, harteloze en verstorende threat actors” die hij ooit gezien heeft in zijn carrière.
Volgens het beveiligingsbedrijf zijn de ransomware-aanvallen geïnitieerd door phishingaanvallen. De daders hebben naar eigen zeggen e-mails verstuurd met daarin een malafide bijlage. Toen deze documenten werden geopend, werd de malware geïnstalleerd.
Bron: Anoniem, cisa.gov, vpngids.nl | Anton Mous