Z-CERT waarschuwt voor mogelijke opmars ransomware

do 5 november 2020 - 13:10
Hacker-A
Passende Zorg
Nieuws

In de Verenigde Staten zijn diverse ziekenhuizen in de afgelopen week getroffen door gijzelsoftware (ransomware) aanvallen. Het betreft de gijzelsoftware Ryuk. In Nederland zijn voor zover bekend nog geen gevallen beken. Gezien de situatie aan de andere kant van de oceaan adviseert Z-CERT de zorgsector wel om waakzaam te blijven, de incident responsplannen te controleren en de informatie over Ryuk die Z-CERT via het Zorg Detectie Netwerk deelt, ter harte te nemen.

Ruim een week geleden werden diverse ziekenhuizen in de VS getroffen door een aanval met de Ryuk ransomware. Kort daarvoor hadden het Cybersecurity and Infrastructure Security Agency (CISA), de Federal Bureau of Investigation (FBI), een de Department of Health and Human Services (HHS) al gewaarschuwd voor een aanzienlijke dreiging op de zorgsector.

In Nederland zijn bij Z-CERT nog geen meldingen over ransomware aanvallen met Ryuk binnengekomen. Het is te hopen dat dit zo blijft. De zorgsector is de afgelopen maanden, met de COVID-19 pandemie, immers al zwaar genoeg getroffen. Z-CERT heeft alle informatie die momenteel over Ryuk bekend is op een rij gezet.

Ryuk ransomware

Ryuk is een relatief nieuwe ransomware die voor het eerst in 2018 ontdekt werd. Het werkt zoals de meeste gijzelsoftware door in een netwerk binnen te dringen om daar vervolgens bestanden te gaan versleutelen. Doel is om de toegang tot data en applicaties te blokkeren. Hierdoor komen (soms kritieke) systemen en applicaties plat te liggen. De cybercriminelen die de ransomware gebruiken vragen vervolgens losgeld in ruil voor het opheffen van de blokkade.

Let wel, in de praktijk gebeurt het vaak dat na betaling van het losgeld de blokkade alsnog niet opgeheven wordt. Cybercriminelen eisen dan nog meer losgeld of laten de slachtoffers hulpeloos, met ICT-systemen en software die nog steeds niet werkt of benaderbaar is, achter.

Cyber security experts vermoeden dat de Ryuk aanvallen georganiseerd worden door een Oost-Europese groep genaamd Wizard Spider (UNC1878). Zoals vrijwel altijd hebben ook zij alleen financiele motieven. Echter, in vergelijking met andere ransomware aanvallen eisen zij doorgaans veel hogere losgeld bedragen. Diverse andere hackersgroepen verklaarden tijdens de coronacrisis de zorg met rust te zullen laten. Dat geldt niet voor de cybercriminelen achter Ryuk.

Zorgsector nu een makkelijk doelwit?

Waarom de hackers het nu op de zorgsector gemunt hebben is niet duidelijk, maar er is wel een mogelijke verklaring. Door de coronapandemie staat de zorgsector extra onder druk. De uitval van ICT-systemen zou juist nu in potentie levens kunnen kosten. Het is goed mogelijk dat de cybercriminelen er van uit gaan dat hierdoor de drempel om losgeld te betalen bij de zorgsector lager is dan normaal.

Hoewel de huidige Ryuk aanvallen zich vooral op Amerikaanse ziekenhuizen richten, is het wel zaak dat de Nederlandse zorgsector op zijn hoede blijft. Volgens Z-CERT past de Nederlandse zorgsector namelijk wel in aanvalsplaatje van de hackersgroepering en er zijn al indicaties dat de software ook in Nederland voorkomt.

Analisten van Z-CERT waarschuwen dat een veel gebruikte voorloper door Ryuk (Trickbot) wel eerder is waargenomen bij zorginstellingen in Nederland maar dat dit niet heeft geleid tot bij Z-CERT gemelde incidenten. Het is aan te raden om waakzaam te blijven op met name phishing en direct actuele dreigingsinformatie (IOC’s) te delen. Helaas zijn aanvallen met gijzelsoftware al enkele jaren ook binnen de zorgsector geen onbekende.