8 vragen over ransomware met dodelijke afloop

18.09.2020

Een ransomwareaanval op een Universitair Medisch Centrum in Duitsland heeft gisteren vermoedelijk geleid tot het overlijden van een patient. De ambulance waarin de vrouw werd vervoerd moest uitwijken naar een ander ziekenhuis omdat het UMC door de cyberaanval geen acute zorg meer kon leveren. Deze vertraging heeft vermoedelijk bijgedragen aan het overlijden. Voor zover bekend is dit trieste voorval de eerste keer dat een cyberaanval op een ziekenhuis leidt tot een sterfgeval. Z-CERT onderzoekt de zaak en houdt de situatie in Nederland nauwlettend in de gaten. Dit is wat we weten in 8 vragen.

1.Hoe heeft dit kunnen gebeuren?
Hackers wisten de systemen van het UMC binnen te dringen door gebruik te maken van een bekend lek in Citrix; CVE-2019-19781. Dit lek is sinds begin dit jaar veelvuldig besproken. Ook zijn er patches voor vrijgegeven. Hoe de hackers dan toch misbruik konden maken van dit lek wordt nog onderzocht.

2.Kan dit ook in Nederland gebeuren?
Ja, ook ziekenhuizen in Nederland kunnen geraakt worden door ransomware. Z-CERT probeert dat samen met de zorgsector echter zoveel mogelijk te voorkomen door bijvoorbeeld het delen van dreigingsinformatie in de vorm van indicators of compromise.

3. Heeft Z-CERT specifieke acties ondernomen richting Nederlandse zorginstellingen naar aanleiding van dit incident? Zo ja, welke?
Z-CERT heeft naar aanleiding van dit incident al haar deelnemers hierover geinformeerd en hen gewezen op het belang om niet alleen detectie aan de buitenkant van de organisatie in te richten, maar ook op zoek te gaan naar Indicators of Compromise (IoC's) in de organisatie. Aanvallers kunnen, na compromittatie van een aan het internet ontsloten systeem, zich maandenlang onopgemerkt rondbewegen op het netwerk van een organisatie. Z-CERT raadt aan om gebruik te maken van de informatie in het Zorg Detectie Netwerk om revelante IoC's op te halen, en deze in te zetten om eventuele sporen van aanvallers in het eigen netwerk te vinden.

4.Waarom vielen de hackers het ziekenhuis aan?
Z-CERT heeft signalen die erop wijzen dat de hackers in de overtuiging waren dat ze een universiteit gijzelden. Het was waarschijnlijk nooit hun bedoeling om een ziekenhuis te besmetten. Een pijnlijke vergissing dus met dodelijk afloop.

5.Hoeveel geld eisten de aanvallers?
De aanvallers zouden 100 bitcoin hebben geeist. Omgerekend 870.000 euro.
Bron: Express.de

6.Is er een relatie tussen de hack op de Universiteit Maastricht en deze hack?
Dat is niet met zekerheid te zeggen, de aanvalsmethode komen op punten overeen, maar de gebruikte ransomware is anders.

7.Wat kan Z-CERT zeggen over de aanvalsgroep en de methode die zij gebruiken?
Onderzoek toont aan dat dit een bekende aanvalsmethode is. Kwaadwillenden gaan steeds nauwkeuriger te werk, zitten soms maandenlang in een system voordat ze overgaan tot de aanval. Ze doen heel precies onderzoek, soms tot het doorspitten van jaarrekeningen aan toe, tot ze een beeld hebben van de financiële situatie van de organisatie. Door precies op het randje te gaan zitten van wat de organisatie financieel kan dragen, hopen de aanvallers het slachtoffer te verleiden tot betaling over te gaan. Soms lekken de aanvallers data zodat ze naast de gijzeling ook het slachtoffer afpersen en een dubbel bedrag kunnen vragen.

8.Klopt het dat de aanvallers zelf de decryption key aanleverden nadat de politie ze erop had gewezen dat ze een ziekenhuis gijzelden in plaats van een universiteit?
Dit wordt inderdaad door diverse bronnen gerapporteerd. Of de hackers geschrokken waren of wroeging kregen is niet zeker. Het ziekenhuis is momenteel bezig met herstelwerkzaamheden aan de geïnfecteerde systemen.

Lees ook ons zorgspecifieke whitepaper over het voorkomen van ransomware.