Ransomware golf laat Amerikaanse systemen crashen

Een tsunami van ransomware-aanvallen overspoelt de VS en bedreigt veel van de meest fundamentele instellingen van het land.

De meest recente aanval was gericht tegen Universal Health Systems (UHS), een in Pennsylvania gevestigd zorgstelsel van 11,4 miljard dollar dat ongeveer 400 zorginstellingen in de VS en overzee exploiteert. Het ziekenhuisnetwerk bevestigde aan de Associated Press dat al zijn 250 Amerikaanse faciliteiten waren geïnfiltreerd. [1]

Volgens berichten in de media, die gebaseerd zijn op interviews met UHS-medewerkers, werd de Ryuk ransomware gebruikt om de systemen van het ziekenhuisnetwerk te versleutelen. Dit type ransomware wordt vaak gebruikt om grote ondernemingen en overheidsinstellingen binnen te dringen. Een aanval begint meestal met een phishing-e-mail waarin werknemers worden verleid tot het downloaden van malware die keyloggers installeert om werknemersgegevens te stelen. Deze worden vervolgens gebruikt om gevoelige informatie te stelen en de ransomware te installeren. [2]

Een week eerder werd het University Hospital in Newark, New Jersey, naar verluidt ook al het slachtoffer van een ander type ransomware, SunCrypt. In dit geval werd het 500 bedden tellende staatsziekenhuis getroffen door een grootschalige inbreuk op 48.000 documenten, waaronder patiëntendossiers met persoonlijk identificeerbare informatie zoals sofinummers.

Onderzoek toont aan dat e-mailpirishingaanvallen 90% van de gezondheidszorgorganisaties treffen

"Ondanks gegevens waaruit blijkt dat de gezondheidszorg een sterke, toegewijde cyberbeveiligingsaanpak hanteert, blijft het een belangrijk aanvalspunt voor cybercriminelen," merkt Matthew Gardiner op, een cyberbeveiligingsstrateeg bij Mimecast. Hij zegt dat uit een recent onderzoek van Mimecast is gebleken dat 90% van de organisaties in de gezondheidszorg het afgelopen jaar is getroffen door e-mailgedragen aanvallen , en dat bijna drie op de vier als gevolg daarvan te maken heeft gehad met verstoringen en downtime.

Ransomware-aanvallen richten zich ook op scholen en verkiezingssystemen

Deze laatste golf van ransomware overspoelt ook overheidsinstellingen. Zo meldt The Wall Street Journal dat eind augustus, nadat functionarissen een ransomware-eis hadden geweigerd, een hacker documenten publiceerde met sofinummers, cijfers van studenten en andere privé-informatie die gestolen was uit het Clark County School District in Las Vegas. [3] De vrijgave van gevoelige informatie trof ongeveer 320.000 studenten - en was slechts de laatste in een gestage stroom van ransomware-aanvallen op openbare schooldistricten die zijn geëscaleerd sinds het begin van de COVID-19 pandemie.

Misschien nog onheilspellender is het feit dat The New York Times meldt dat binnen enkele dagen na de UHS-aanval ook Tyler Technologies, een Texaans bedrijf dat software verkoopt die door steden en staten wordt gebruikt om verkiezingsresultaten weer te geven, werd getroffen door ransomware. [4] Dit was de laatste van bijna duizend van dergelijke aanvallen in het afgelopen jaar tegen kleine steden, grote steden en de aannemers die hun stemsystemen beheren. Hoewel het bedrijf niet daadwerkelijk de stemmen telt, wordt zijn software door verkiezingsfunctionarissen gebruikt om de stemmen op ten minste 20 plaatsen in het land samen te tellen en te rapporteren.

Aanvallen zoals die op Tyler zijn een blijvende angst voor cyberbeveiligingsdeskundigen van het Amerikaanse ministerie van Binnenlandse Veiligheid, die vrezen dat cybercriminelen ransomware zullen gebruiken om de kiezersregistratiedatabases die door staten worden onderhouden, te blokkeren. [5] Dit heeft ertoe geleid dat de FBI waarschuwt dat de dagen na de verkiezingen in november kunnen leiden tot "desinformatie met berichten over het onderdrukken van kiezers, cyberaanvallen gericht op verkiezingsinfrastructuur, kiezers- of stembusfraude en andere problemen die bedoeld zijn om het publiek ervan te overtuigen dat de verkiezingen onwettig zijn". [6]

Het uitbreken van de pandemie heeft de crisis verergerd. Profiterend van de algemene verwarring en de toename van online activiteit die met de besmetting gepaard zijn gegaan, hebben cybercriminelen hun aanval opgevoerd. De FBI meldt dat het aantal gemelde cyberaanvallen is gestegen tot 4.000 per dag - een stijging met 400% ten opzichte van het niveau van vóór de COVID. Het aantal ransomware-aanvallen is zelfs nog meer toegenomen - met 800% in de loop van de besmetting. [7]

Vrij goede' beveiliging niet goed genoeg

"Gardiner van Mimecast: "Eén ding is duidelijk geworden: 'redelijk goede' praktijken op het gebied van beveiliging, veerkracht en bedrijfscontinuïteit zijn niet voldoende. Het is absoluut van cruciaal belang dat alle organisaties die sterk afhankelijk zijn van IT, beschikken over eersteklas preventieve beveiligingscontroles, in combinatie met back-up- en herstelsystemen en bedrijfscontinuïteitsvoorzieningen die in een oogwenk kunnen worden ingezet."

Het moeten uitschakelen van een kritiek systeem of het overgaan op een pen-en-papier-operatie in de nasleep van een aanval, voegt hij eraan toe, zijn tekenen dat de aangevallen organisatie tekort is geschoten wat betreft de implementatie van beste praktijken op het gebied van cyberbeveiliging.

"Ze moeten een uitgebreid back-up- en herstelplan hebben om ervoor te zorgen dat hun gegevens beschermd zijn en hersteld kunnen worden als een systeem uitvalt", legt Gardiner uit. "Ze moeten zorgen voor consistente cyberbewustzijnstrainingen, zodat hun werknemers alert zijn op en voorbereid zijn op het verijdelen van een potentiële aanval."

De FBI heeft een lijst met beste praktijken gepubliceerd om organisaties te helpen hun cyberresilience te verbeteren en een ransomware-aanval af te wenden. [8] Deze omvatten:

• Regelmatig scrummen en offline opslaan van gegevens
• Minimalisering van de toegang tot gegevens waar mogelijk
• Werknemers opleiden tot "veiligheidsbewust" gedrag
• Alle ontdekte kwetsbaarheden patchen
• Whitelisting toepassingen

De kern van de zaak

Om het hoofd te bieden aan de golf van ransomware die de VS nu overspoelt, moeten instellingen zoals ziekenhuizen, scholen en overheidsinstellingen beter voorbereid zijn. Deze organisaties moeten hun cyberbestendigheid verbeteren met de beste beveiligingscontroles, uitgebreide back-upsystemen en consistente cyberbewustzijnstrainingen om medewerkers te helpen een aanval te herkennen en te verijdelen.

[1] " Gehackte ziekenhuisketen zegt dat alle 250 VS-faciliteiten zijn getroffen, " Associated Press

[2] " Ryuk Ransomware-Malware van de Maand, januari 2020, " Security Boulevard

[3] " Hacker geeft informatie vrij over studenten in Las Vegas nadat ambtenaren losgeld niet betalen, " The Wall Street Journal

[4] " Ransomware-aanvallen krijgen nieuwe urgentie in de aanloop naar de stemming, " The New York Times

[5] " The Cybersecurity 202: Ransomware-aanval tegen de verkiezingen van 2020 kan databases met staatsstemmen verstoren ," The Washington Post

[6] " Buitenlandse actoren zullen waarschijnlijk online-tijdschriften gebruiken om desinformatie te verspreiden over de verkiezingen van 2020, " FBI & CISA

[7] " Top Cyber Security Experts Report: 4.000 cyberaanvallen per dag sinds COVID-19 pandemie ," PR Newswire

[8] " Ransomware-aanvallen met grote gevolgen bedreigen bedrijven en organisaties in de VS, " FBI