Help er zit (al maanden) een hacker in mijn netwerk!

29.9.2020

De hackers van het Universitair medisch centrum van Dusseldorf, zaten vermoedelijk al maanden in het netwerk voordat ze hun ransomware uitrolden. Naar verluid maakten ze in januari al gebruik van de bekende kwetsbaarheid in citrix.  De Duitse autoriteiten onderzoeken de zaak. Als gevolg van de aanval, is een patiënt overleden. Hoe kan het dat de hackers maandenlang onopgemerkt bleven? En nog belangrijker; hoe voorkom je dit als Nederlandse zorginstelling?

Vast patroon
Om antwoord te geven op die vragen moeten we in de huid kruipen van de aanvaller. Hackers zijn net mensen, ze volgen een vast patroon van fases of stadia en laten bij elk stap sporen achter. Dat patroon noemen we de cyber kill chain en duurt soms wel 200 dagen. Doorloopt de aanvaller de stappen goed, dan kan hij aan het eind de ransomware uitrollen. Dit is het piece de resistance van de aanval en waarbij alle alarmbellen afgaan. Maar in de periode daarvoor kan de malafide aanwezigheid al opgemerkt worden bij voldoende inzet van detectie. In cyber termen noemen we dit cyberdefense.

Whitepaper
Eerder dit jaar schreef onze cyberanalist Jan Hanstede een uitgebreid whitepaper over cyberdefense. Hierin zet hij uiteen welke stappen een organisatie moet doorlopen om in een vroeg stadium illigale netwerkactiviteit te herkennen en elimineren. Tevens bevat het whitepaper een handige shortlist: detecteer ransomware in uw netwerk.

Dit rapport was tot voor kort alleen beschikbaar voor onze deelnemers, maar gezien het tragische incident in Duitsland, willen we deze informatie zo breed mogelijk delen in de zorgsector. U kunt het rapport opvragen door een mailtje te sturen naar [email protected] We sturen u het whitepaper dan toe.