Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Hard geraakt
Het team zegt dat België en Frankrijk hard worden geraakt. In december vorig jaar was het Algemeen Medisch Laboratorium uit Antwerpen het doelwit van hackers. Belgische media schreven dat het lab was getroffen door een ransomware-aanval. De aanvallers eisten losgeld, het testlab koos er echter voor om aangifte te doen bij het Antwerpse parket en de Computer Crime Unit van de Belgische federale politie. Bij de aanval was geen informatie buitgemaakt.
Half januari was het Belgische ziekenhuis Chwapi de dupe van een cyberaanval. Medewerkers konden hierdoor niet met elkaar communiceren en hadden geen toegang tot patiëntendossiers. Ambulances werden noodgedwongen doorverwezen naar ziekenhuizen in de regio. De directeur van het ziekenhuis vond het schandalig dat het personeel tijd en energie hierin moest steken, wat ten koste ging van de reguliere patiëntenzorg.
In januari en februari waren drie Franse ziekenhuizen en een zorgverzekeraar de dupe van hackers. Zij werden getroffen door ransomware van onder meer Egregor, Ryuk en RansomExx. Mogelijk zijn meer zorginstellingen geraakt, maar dat is nu nog niet bekend.
Incident | Slachtoffer |
---|---|
28 december 2020 | Algemeen Medisch Lab (B) |
17 januari 2021 | Ziekenhuis Chwapi (B) |
05 februari 2021 | MNH: Franse zorgverzekeraar voor zorgpersoneel (F) |
09 februari 2021 | Dax-CΓ΄te dβArgent hospital (F) |
11 februari 2021 | Dordogne ziekenhuis groep - 2 locaties besmet maar geringe impact (F) |
15 februari 2021 | Ziekenhuis Nord-Oues (met impact op 3 locaties) (F) |
Aanleiding om te waarschuwen voor hackers
Deze ontwikkelingen waren voor Z-CERT (Zorginstellingen Computer Emergency Response Team) aanleiding om ziekenhuizen, laboratoria en andere zorginstanties in Nederland te waarschuwen voor hackers. De cyberspecialisten van Z-CERT gaan ervan uit dat het hier gaat om georganiseerde misdaad.
Hackers collectief of niet, vaak maken de aanvallers gebruik van standaardmethoden om bij een organisatie binnen te dringen. Om Nederlandse zorginstellingen hiervoor te behoeden, heeft Z-CERT een aantal tips op een rij gezet om cybercriminelen buiten de deur te houden. Het gaat om de tien belangrijkste maatregelen om incidenten met gijzelsoftware te voorkomen, of de impact ervan te beperken.
Diverse aanbevelingen
Tussen de tips vinden we diverse aanbevelingen die vrij eenvoudig door de IT-afdeling zijn te implementeren. Zo adviseert Z-CERT bijvoorbeeld om regelmatig back-ups te maken van belangrijke data en beveiligingsupdates van besturingssystemen en andere software te installeren zodra deze beschikbaar zijn. Een andere belangrijke tip is om multifactorauthenticatie te implementeren. Naast een gebruikersnaam en wachtwoord heb je ook een code nodig om in te loggen op een systeem of applicatie. Deze code wordt vaak naar je smartphone verstuurd.
Nu we door de coronacrisis grotendeels vanuit huis werken, is het belangrijk om ervoor te zorgen dat dit veilig en verantwoord gebeurt. Daarom luidt het advies van Z-CERT om ‘afstandswerkoplossingen’ te beveiligen. Wat er gebeurt als je dat niet doet, bewijst een Amerikaans drinkwaterbedrijf dat onlangs door een hacker werd aangevallen. Hij maakte misbruik van de applicatie TeamViewer om kwaadaardige bestanden op de computer van een medewerker te installeren. Ook maakte hij vermoedelijk misbruik van een beveiligingslek van Microsofts Remote Desktop Protocol. Hiervoor bestaat weliswaar een patch, maar deze was nog niet geïnstalleerd. Naar aanleiding van het incident publiceerde de FBI publiceerde een officiële waarschuwing om op pas te passen met TeamViewer.
Tot slot adviseert Z-CERT om applicatie whitelisting in te voeren, het least privilege principe toe te passen, Office macro’s te reguleren of stoppen en de ‘buitenkant van de IT-structuur’ te scannen.
-
Whitelisting
Applicatie whitelisting houdt in dat een systeembeheerder alleen applicaties die hij veilig acht voor een organisatie koppelt aan het netwerk.
-
Least privilege principe
Het least privilege principe betekent dat werknemers alleen toegang krijgen tot informatie en systemen die hij ook echt nodig heeft om zijn werk te kunnen doen.
-
Macro's
Macro’s zijn instructies die een programma uitvoert zodra je hem opstart. Ze kunnen de werkdruk verlichten, maar bieden tevens de mogelijkheid om malware binnen te smokkelen.
-
Scannen buitenkant IT-structuur
Met het scannen van de ‘buitenkant van de IT-structuur’ bedoelt Z-CERT dat een systeembeheerder regelmatig alle systemen die op internet zijn aangesloten monitort op afwijkingen en kwetsbaarheden.
Toename met factor vijf
In het begin van het artikel noemden we enkele voorbeelden van recente cyberaanvallen op zorginstellingen. Afgelopen jaar vielen er nog veel meer slachtoffers te betreuren. Eén van de eerste slachtoffers was de Wereldgezondheidsorganisatie WHO. In de eerste helft van 2020 stalen hackers duizenden e-mailadressen en wachtwoorden van WHO-medewerkers en maakten deze openbaar. Het aantal cyberaanvallen nam kort na het uitbreken van de coronapandemie toe met een factor vijf.
Universal Health Services (UHS), een van de grootste ziekenhuisnetwerken in de VS, was evenmin bestand tegen hackers. Daar werden computers en telefoonlijnen platgelegd en bestanden versleuteld door ransomware. In een ziekenhuis in Düsseldorf overleed in september een patiënt als gevolg van een cyberaanval. Ook diverse Britse en Amerikaanse universiteiten en laboratoria hadden hun handen vol aan hackers.
Eind november was AstraZeneca het doelwit van hackers. Daarbij deden de aanvallers zich voor als recruiters van een bedrijf die een droombaan voor medewerkers in het verschiet stelden. Zij ontvingen een e-mail met een bijlage die voorzien was van kwaadaardige macro’s. Zodra ze dit bestand openden, werden hun computers geïnfecteerd. Op deze manier probeerden de daders het bedrijfsnetwerk van AstraZeneca te infiltreren. Deze aanval mislukte, waardoor het bedrijf geen schade opliep. Het gerucht gaat dat Noord-Koreaanse staatshackers achter deze aanval zitten.
In december tot slot werd het Europees Medicijnagentschap EMA aangevallen, vermoedelijk door Noord-Koreaanse staatshackers. Ze stalen vertrouwelijke documenten van farmaceutische bedrijven, pasten deze aan en publiceerden ze op internet. Waarschijnlijk wilden de aanvallers het vertrouwen in en de werkzaamheid van reeds goedgekeurde coronavaccins ondermijnen.
Bron: z-cert.nl, vpngids.nl
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
Ransomware gerelateerde berichten
Ransomware in Nederland: Groeiende bedreiging voor organisaties en privacy
Reading in π¬π§ or another language
De alarmerende stijging van ransomware-aanvallen: een toename van 73%
Reading in π¬π§ or another language
Ransomware in 2024: Opkomende trends en recente ontwikkelingen
Reading in π¬π§ or another language
De strijd tegen LockBit: Technologische vooruitgang en Internationale triomf
EN: Click here and choose your language using Google's translation bar at the top of this page β
De internationale overwinning op LockBit ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page β
Een strijd van wilskracht: De afname van losgeldbetalingen en de toekomst van ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page β