Hackers laten gijzelsoftware los op zorgsector

30.10.2020

De zorgsector in de Verenigde Staten wordt de afgelopen dagen hard geraakt door aanvallen met gijzelsoftware Ryuk. Het Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the Department of Health and Human Services (HHS) waarschuwden ziekenhuizen afgelopen week voor een aanzienlijke dreiging op de sector. Binnen 24 uur melden diverse ziekenhuizen dat zij geraakt waren door Ryuk. Wereldwijd wordt met afschuw gereageerd op de ransomwarecampagne op de toch al door Covid-19 zwaar getroffen zorgsector. Z-CERT deelt dreigingsinformatie rondom Ryuk (indicators of compromise) met haar deelnemers via het Zorg Detectie Netwerk. Ons advies is: blijf waakzaam, controleer je incident responsplan en wees voorbereid.  

Er leven nog veel vragen over Ryuk malware. Wat is het? Waar komt het vandaan? Wie zitten er achter deze aanvallen? Lees onze FAQs over Ryuk.  

 

Wat is Ryuk precies?  
Ryuk is de naam van de gijzelingssoftware (ransomware) die nu gebruikt wordt om de zorgsector in Amerika aan te vallen. Ryuk is een relatief nieuwe ransomware-variant. Onderzoekers zien deze variant sinds 2018. Gijzelsoftware dringt door in een netwerk om daar bestanden te versleutelen. Hierdoor komen (soms kritieke) systemen en applicaties plat te liggen. Aanvallers vragen losgeld in ruil voor de decryptie sleutel.

Wie zitten er achter Ryuk?
Cyber security Onderzoekers menen dat een Oost-Europese groep genaamd Wizard Spider (UNC1878) achter de aanvallen zit. Hun motief zou voornamelijk financieel van aard zijn. Hun losgeldeis is in vergelijking met andere ransomware-aanvallen erg hoog. In sommige gevallen gaat het zelfs om miljoenen dollars. Aan het begin van de pandemie hebben diverse hackersgroepen aangegeven de zorgsector met rust te laten. De groep achter Ryuk heeft zo’n statement nooit gemaakt.

Waarom hebben de hackers het op de zorgsector gemunt?
Dat is niet duidelijk. CISA, de FBI en HHS stellen dat Wizard Spider vooral voor financieel gewin gaat. Ziekenhuizen zijn door de pandemie in de hoogste staat van paraatheid en een disruptieve aanval met ransomware zou in potentie levens kunnen kosten. Mogelijk denken de aanvallers dat de drempel om losgeld te betalen bij de zorgsector laag is daardoor.

Wat betekent dit voor de Nederlandse zorgsector?
De huidige aanvallen met Ryuk lijken zich vooral te richten op Amerikaanse ziekenhuizen. In Nederland is deze week nog geen besmetting gemeld bij Z-CERT. Maar de Nederlandse zorgsector past wel in aanvalsplaatje van de hackersgroepering en er zijn wel indicaties dat de software ook in Nederland voorkomt. Analisten van Z-CERT waarschuwen dat een veel gebruikte voorloper door Ryuk (Trickbot) wel eerder is waargenomen bij zorginstellingen in Nederland maar dat dit niet heeft geleid tot bij Z-CERT gemelde incidenten. Het is aan te raden om waakzaam te blijven op met name phishing en direct actuele dreigingsinformatie (IOC’s) te delen.

Wat doet Z-CERT?
De analisten van Z-CERT houden de situatie in Amerika nauwlettend in de gaten. Amerikaans security specialisten delen informatie (indicators of compromise) die Z-CERT doorzet naar haar deelnemers via het Zorg Detectie Netwerk. Hierdoor kan een eventuele aanval met Ryuk snel worden opgemerkt. We vragen de Nederlandse zorgsector extra alert te zijn op phishing en afwijkende netwerkactiviteit. Bij acute dreiging is Z-CERT 24/7 bereikbaar.