FBI waarschuwt voor Ransomware in de Gezondheidszorg: Wat ziekenhuizen kunnen doen

De Amerikaanse ziekenhuizen die zijn getroffen door een recente piek van ransomware-aanvallen proberen hun systemen te herstellen, terwijl andere ziekenhuizen proberen hun cyberbeveiliging te verbeteren door gaten in hun beveiligingscontroles te dichten om te voorkomen dat ze het volgende slachtoffer van ransomware worden.

Amerikaanse ziekenhuizen en zorgverleners werden afgelopen woensdag gewaarschuwd voor "een verhoogde en dreigende dreiging van cybercriminaliteit" in een gezamenlijke waarschuwing van de FBI, het U.S. Cybersecurity and Infrastructure Agency (CISA) en het Department of Health and Human Services (HHS). [1] De waarschuwing identificeert de familie van malware die wordt gebruikt om de ransomware-aanvallen uit te voeren, die de gegevens van een bedrijf versleutelen, waardoor ze onleesbaar worden en elk systeem dat ervan afhankelijk is, onbruikbaar wordt. Cybercriminelen proberen vervolgens grote sommen geld af te persen van hun slachtoffers, meestal in Bitcoin, in ruil voor het herstellen van de gegevens van de organisatie.

Door zich te richten op ziekenhuissystemen, gaan ransomware-criminelen daarheen waar zij denken dat de financiële opbrengst het hoogst en het makkelijkst te verkrijgen zal zijn. "Ze zijn op zoek naar een gemakkelijke toegang gecombineerd met een grote bereidheid en mogelijkheid om te betalen," aldus Matthew Gardiner, Principal Security Strategist bij Mimecast. Ziekenhuizen zijn bijzonder aantrekkelijke doelwitten nu ze hun aandacht verleggen om meer middelen te besteden aan de bestrijding van de COVID-19 pandemie.

Hoe de Ransomware die ziekenhuizen viseert werkt

Volgens de waarschuwing van de FBI verloopt een infectie met ransomware in twee stappen. Trickbot of Emotet trojans worden vaak eerst in een systeem geïntroduceerd, meestal via e-mail phishing regelingen. De trojans droppen dan Ryuk ransomware, wat momenteel een zeer populair type ransomware is, in het geïnfiltreerde systeem, waar Ryuk overgaat tot het versleutelen van gegevens met gebruik van AES-256. Ryuk verwijdert ook alle back-up bestanden en Volume Shadow Copies die het kan vinden om te voorkomen dat de organisatie de gegevens gemakkelijk kan herstellen. Bovendien probeert de malware beveiligingsprogramma's te verwijderen of uit te schakelen die kunnen voorkomen dat Ryuk wordt uitgevoerd.

Sonoma Valley Hospital in Californië, twee ziekenhuizen van het St. Lawrence Health System in New York, en Sky Lakes Medical Center in Oregon werden de afgelopen week allemaal het slachtoffer. Deze aanvallen volgen op de inbraak bij United Health Services die vorige maand 250 Amerikaanse vestigingen lamlegde.

Uit een recente studie van Mimecast blijkt dat 90% van de zorginstellingen het slachtoffer is geweest van een e-mailaanval en dat 72% van deze organisaties negatieve gevolgen heeft ondervonden van deze aanvallen. "Het blijft van het grootste belang dat ziekenhuizen en medische instellingen hun beveiligingsprogramma's eerlijk beoordelen en de belangrijkste lacunes opvullen. Anders zullen deze vreselijke verhalen aan de orde van de dag blijven," aldus Gardiner.

Belangrijkste Ransomware Verdedigingen

De volgende aanbevelingen om alle organisaties - ook ziekenhuizen - te helpen zich te wapenen tegen ransomware-infecties zijn afkomstig van Carl Wearn, Head of Threat Intelligence, Risk and Resilience, Mimecast.

• Bewustmakingstraining cyberbeveiliging. Een belangrijke, soms over het hoofd geziene verdediging tegen phishing via e-mail is training van werknemers over social engineering-aanvallen en de implementatie van veilige praktijken. Natuurlijk is het blokkeren van de phish voordat deze kan worden afgeleverd het beste, maar het combineren van goede technische controles met een beter bewustzijn en begrip van de gebruiker is een geweldige combinatie. Cybercriminelen infecteren systemen door gebruikers te verleiden op koppelingen te klikken of bijlagen te openen om meer te lezen over actuele gebeurtenissen of om liefdadigheidsbijdragen te doen. Cyberaanvallers maken bijvoorbeeld gebruik van de huidige opleving van COVID-19-infecties om klikken te krijgen - en het werkt; een stijging van 55% in onveilige e-mailklikken die in het begin van de pandemie werd waargenomen, heeft zich doorgezet. Met het toegenomen aantal werknemers die thuis werken, is cyberhygiëne nog belangrijker.
• Sterke wachtwoorden. Het klinkt misschien afgezaagd of cliché, maar sterke wachtwoorden zijn nog steeds van cruciaal belang, vooral gezien het aanzienlijke deel van de ransomware dat wordt gedropt door Emotet. Eenmaal ingebed, probeert Emotet zijn lijst met zwakke en veelvoorkomende wachtwoorden uit om toegang te krijgen. Organisaties kunnen zich tegen deze aanval wapenen door een sterk wachtwoordbeleid te implementeren en ervoor te zorgen dat alle administratieve wachtwoorden worden gewijzigd ten opzichte van de standaardwaarden van het systeem. Verder moeten organisaties werknemers aanmoedigen om unieke wachtwoorden aan te maken en, nog beter, waar mogelijk twee-factor authenticatie implementeren. Werknemers die hun thuissystemen gebruiken, moeten hun schermen vergrendelen als ze niet in gebruik zijn, om te voorkomen dat familieleden of huisgenoten het systeem onbedoeld kunnen kraken.
• Houd software up-to-date. Het tijdig updaten en patchen van systemen is een andere essentiële verdediging tegen dit soort aanvallen. Belangrijke VPN en andere software om up-to-date te houden is Apache Tomcat/Ghostcat, Pulse VPN servers, Citrix servers, Telerik UI en Windows. Vermijd het gebruik van deze bijzonder kwetsbare softwaresystemen in het geheel: Windows 2007, Internet Explorer en Flash.

De FBI adviseert vooral om het losgeld niet te betalen, omdat betaling niet garandeert dat de bestanden hersteld zullen worden en natuurlijk alleen maar de capriolen van de kapers beloont. De FBI raadt sterk aan back-ups offline of op een andere plaats op te slaan waar ransomware de bestanden niet kan vinden, versleutelen of verwijderen. Hierdoor kan het slachtofferbedrijf zijn gegevens snel herstellen zonder het losgeld te hoeven betalen.

De kern van de zaak

Veel organisaties in de gezondheidszorg moeten hun beveiligingsprogramma's opvoeren. Opleiding en bewustmaking van werknemers over mogelijke aanvallen kan de verdediging aanzienlijk verbeteren. Sterke wachtwoorden en twee-factor authenticatie zijn een uitstekende tweede verdedigingslinie. Het meest kritisch is het regelmatig maken van back-ups en het offline of elders opslaan van gegevens, zodat de ransomware er niet bij kan.

[1] " Ransomware-activiteit gericht op de gezondheidszorg en de volksgezondheidssector ," U.S. Cybersecurity & Infrastructure Agency