Opmars malafide javascripts bij zorginstellingen

di 8 juni 2021 - 07:55
Cybersecurity-ScreenHacker-2
Security
Nieuws

De organisaties voor cybersecurity in de zorg, Z-CERT, ziet in de afgelopen periode een toename van malafide javascript bestanden bij zorg- en zorggerelateerde instellingen. In zes maanden tijd zijn twaalf gevallen gemeld. Criminelen proberen via de betreffende malafide javascript files toegang te verschaffen tot de netwerken en servers van instellingen, om gegevens te stelen of zogenoemde ransomware te installeren. Z-CERT vraagt de zorgsector zich te verdiepen in de maatregelen om dit tegen te gaan.

Er zijn op dit moment een aantal actieve campagnes waarbij cybercriminelen gebruik maken van malafide javascripts. Het zijn echter niet, zoals gebruikelijk, scripts die actief zijn als onderdeel van een website. De malafide javascripts die nu opgemerkt zijn, worden binnen Windows opgestart door te dubbelklikken.

Diverse ransomware varianten

De methode van de malafide javascripts is de afgelopen maanden door verschillende groepen van cybercriminelen gebruikt. De ransomware varianten Conti en Avaddon zijn twee voorbeelden daarvan. De cybercrimegroep die gebruik maakt van Conti (Wizard spider) zat ook achter de grote hack op de Ierse gezondheidssector waarbij 2000 patiëntsystemen offline werden gehaald.

Microsoft rapporteerde in april ook over een campagne waarbij malafide javascripts aangeboden werden die de malware IcedID downloadt. Deze versie wordt ook door verschillende ransomware criminelen gebruikt. Daaronder ook twee groepen die het specifiek gemunt hebben op de zorgsector: Egregor en REvil.

Eind vorig jaar werd daarnaast een toename gezien in het aantal aanvallen met SocGholish. Hierbij wordt een legitieme website geïnfecteerd. Via deze website worden malafide browser updates aangeboden in de vorm van een zip-file met daarin een javascript file. Z-CERT waarschuwde in februari ook al voor de toename van cybercrime bij diverse Europese zorginstellingen.

Maatregelen tegen malafide javascripts

De cybercrime en malware analisten van Z-CERT hebben een aantal maatregelen opgesteld waarmee cyberaanvallen door malafide javascript bestanden relatief eenvoudig voorkomen kunnen worden. Het feit dat systeembeheerders voor het uitvoeren van systeemtaken doorgaans geen gebruik maken van javascripts, kan de misbruikte faciliteit veelal zonder gevolgen uitgeschakeld worden.

  • Zorg dat javascript bestanden (extensies: .js en .jse) niet standaard opgestart wordt door de “Windows Script Host” bij dubbelklik. Zorg dat dit een andere applicatie is, b.v. notepad.exe. Niet een hele solide oplossing, maar wel effectief.
    Dit kan gedaan worden door de .js en .jse extensies te associëren met notepad.exe i.p.v. de Windows Script Host.
  • Implementeer Applicatiewhitelisting! Applicatiewhitelisting is ook toe te passen op javascript bestanden.
  • Het is mogelijk om de “Windows Script Host” uit te schakelen zodat javascript niet meer uitgevoerd kan worden. Dit heeft ook impact op enkele andere type bestanden en de impact hiervan moet dus wel eerst getest worden.
  • Er zijn een aantal “attack surface reduction rules” die van toepassing zijn op malafide javascript bestanden.

Block JavaScript or VBScript from launching downloaded executable content
GUID: D3E037E1-3EB8-44C8-A917-57927947596D
Block executable content from email client and webmail
GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550