In Finland ontstond afgelopen week grote ophef omdat een hackergroep probeert tienduizenden Finse burgers te chanteren, nadat ze eerder toegang hadden gekregen tot medische dossiers van hun therapiesessies. De FBI waarschuwde gisteren tegelijk dat ziekenhuizen en andere zorgorganisaties te maken gaan krijgen met aanvallen van Russische hackergroepen. Covid is niet het enige probleem voor zorgorganisaties, die toch al worstelen met beperkte capaciteit.
De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) publiceerden afgelopen nacht een bulletin waarin ze ziekenhuizen en andere zorginstellingen waarschuwen voor grootschalige op handen zijnde aanvallen met gijzelsoftware door groepen Russische hackers. Het rapport zegt dat de overheidsdiensten beschikken over “geloofwaardige informatie over een toenemende en onmiddellijke dreiging van cybercriminaliteit voor Amerikaanse ziekenhuizen en zorgverleners.” De FBI en CISA delen deze informatie om zorgverleners voorzorgsmaatregelen te laten nemen om hun netwerken tegen deze bedreigingen te beschermen.
Het invloedrijke cybersecurity blog KrebsOnSecurity meldde afgelopen maandag al dat een betrouwbare bron aangaf dat een agressieve Russische cybercriminele bende zich voorbereidde om softwaresystemen te verstoren in honderden ziekenhuizen, klinieken en medische zorginstellingen in de Verenigde Staten.
"400 Amerikaanse ziekenhuizen in het vizier"
De tipgever van KrebsOnSecurity zei dat hij deze week online communicatie heeft gezien tussen cybercriminelen die zijn aangesloten bij een Russisch sprekende ransomwaregroep die bekend staat onder de naam Ryuk. Daarin zouden groepsleden bespreken hoe ze ransomware gaan inzetten bij meer dan 400 zorginstellingen in de VS. Het probleem met de geavanceerde software van Ryuk is dat de gijzelsoftware al heel lang sluimerend aanwezig kan zijn in de ICT-systemen van een ziekenhuis. Volgens de FBI is Ryuk al sinds 2016 bezig met de verfijning van hun Trickbot-malware om “het gemak, de snelheid en de winstgevendheid” van die malware te vergroten.
Ryuk en verwante groepen gebruiken een unieke aanpak voor elk slachtoffer, waardoor het moeilijker is om op basis van algemene kenmerken te herkennen of systemen geïnfecteerd zijn. Bij een geslaagde infectie heeft de bende Windows-bestanden nagenoeg onzichtbaar aangepast, en kunnen delen van de ziekenhuis-systemen worden bestuurd door zogeheten 'command and control'-servers van de bende. Daarmee kunnen ze bijvoorbeeld ook op een versleutelde en moeilijk te ontdekken manier data stelen uit systemen.
Charles Carmakal, topman van securitybedrjf Mandiant, vertelde persbureau Reuters vandaag dat de bende waarvoor de FBI nu waarschuwt een van de meest “brutale, harteloze en ontwrichtende" is die hij in de loop van zijn carrière heeft gezien. Volgens hem zijn inmiddels al meerdere ziekenhuizen aanzienlijk getroffen door Ryuk-ransomware en zijn hun netwerken zijn offline gehaald. WWNY's Channel 7 News in New York meldde gisteren al dat een Ryuk-ransomware-aanval op het St. Lawrence Health System leidde tot problemen in drie aangesloten ziekenhuizen.
Probleem niet nieuw, maar wel steeds dreigender.
De golf ransomware aanvallen in de zorg waarvoor de FBI waarschuwt is geen nieuw fenomeen. Zorginstellingen over de gehele wereld zijn in de afgelopen jaren, en met name tijdens de Covid-periode, op grote schaal slachtoffer geweest van cybercriminelen. “Nederlandse ziekenhuizen zijn kwetsbaar voor aanvallen met een gijzelvirus”, meldde de NOS in al 2017. Zeker vijftien Nederlandse ziekenhuizen hadden in de drie jaar daarvoor te maken gehad met ransomware-aanvallen. In één ziekenhuis werden zelfs 75 computers geïnfecteerd, bleek destijds uit een rondgang van de NOS onder vijfentwintig ziekenhuizen. De georganiseerde hackergroepen gaan sinds 2017 steeds geniepiger en effectiever te werk, en bereidden een aanval op een instelling minutieus voor.
Therapie-dossiers openbaar maken
Een nieuwe ontwikkeling is dat hackergroepen niet alleen kritische systemen op slot zetten met gijzelsoftware, maar dreigen met het openbaar maken van persoonlijke medische gegevens op Internet. In Finland ontstond afgelopen week grote ophef omdat een hacker probeert tienduizenden Finse burgers te chanteren nadat ze toegang hebben gekregen tot hun medische dossiers van therapiesessies. De Finse politie zei zaterdag dat een hacker was begonnen met het e-mailen van meer dan 40.000 patiënten van wie de gegevens al in eerder waren gestolen uit een psychotherapiecentrum in Vastaamo.
Slachtoffers ontvingen een e-mail waarin de hacker ze 24 uur de tijd gaf om €200,- in bitcoin te betalen en nog eens 48 uur om €500,- te betalen. Bij weigering om te betalen zouden hun gegevens, waaronder huisadres, telefoonnummer en transcripties van therapiesessies, online worden gepubliceerd. De e-mail verwees naar het unieke sofinummer van de slachtoffers. Volgens Mikko Hyppönen, hoofd onderzoek bij het Finse cyberbeveiligingsbedrijf F-Secure, gaat het hier om nieuw soort aanval die zelfs op wereldschaal nog vrij ongebruikelijk is.
De Finse premier Sanna Marin zei gisteren toe dat het Finse ministerie van Sociale Zaken en Volksgezondheid, in samenwerking met andere ministeries, de ondersteuning voor slachtoffers van de hack gaat coördineren. Ze gaat ook onderzoeken of slachtoffers hun gelekte persoonlijke identiteitsnummers kunnen wijzigen in het kader van de huidige wetgeving of dat er aanpassingen in de wetgeving nodig zijn.
Plaats een Reactie
Meepraten?Draag gerust bij!