Na de hack: Wat kan de Nederlandse zorgsector leren van de ransomware aanval op een Duits ziekenhuis

21.10.2020

Het Universitair Medisch Centrum in Dusseldorf dat in september geraakt was door Doppelpaymer ransomware is weer volledig in gebruik. De aanval die de boeken in gaat als “de eerste ransomwareaanval met dodelijke afloop”, trok wereldwijd de aandacht. De grens tussen de digitale en de fysieke wereld vervaagd, waarschuwen experts. Welke lessen kan de Nederlandse zorgsector halen uit deze digitale tragedie?

CVE-2019-19781
Het UMC Dusseldorf maakte zelf bekend dat de aanvallers hoogstwaarschijnlijk zijn binnengekomen via de beruchte kwetsbaarheid ‘Shitrix’ in Citrix van begin dit jaar (CVE-2019-19781). Dat zou betekenen dat de aanvallers toegang verkregen tot de systemen in de periode tussen bekendmaking van de kwetsbaarheid en het moment van patchen door het ziekenhuis. Daarna zijn ze tijdenlang onopgemerkt gebleven in de systemen. Pas na maanden gingen ze tot actie over en werd het ziekenhuis opgeschrikt door de ransomware.

Citrix.. en nu?
Ook veel Nederlandse zorginstellingen maken gebruik van Citrix. Begin dit jaar stonden de kwetsbaarheden hoog het op ieders agenda, maar hoe staat het er nu voor? Heb je bijvoorbeeld zicht op eventueel abnormale activiteit in je systemen? Gebruikers van de producten Citrix Gateway (voorheen NetScalerGateway) en Citrix Application Delivery Controller zouden hun netwerkinfrastructuur en systemen regelmatig moeten controleren op mogelijke afwijkingen. Roep hierbij desgewenst de hulp in van je ICT dienstverlener of security-partner.

Thuiswerken
Verder wijzen we als Z-CERT op het belang van het toepassen van “least privilege” principes [1], zoals het bewust alleen die rechten toekennen aan accounts die nodig zijn voor het uitvoeren voor de taken waarvoor deze accounts bestaan en gedurende tijd dat het nodig is. Hebben meer mensen toegang tot systemen dan nodig? Houd dit regelmatig tegen het licht en wees hier kritisch op. Zeker tijdens deze Covid-19 crisis hebben meer mensen toegang gekregen tot Citrix omgevingen dan gebruikelijk was vanwege het advies om thuis te werken. Als deze crisis voorbij is zal dit voor veel gebruikers weer gerevalueerd moeten worden.

48 uur
Installeer patches zo snel mogelijk nadat ze zijn uitgekomen. Vooral bij een hoge kans/impact inschaling, is het aan te raden om binnen 48 uur te patchen, omdat er na die tijd vaak publieke exploit-code beschikbaar komt en de kans op misbruik steeds groter wordt. Meestal brengen leveranciers patches direct uit na bekendmaking van een kwetsbaarheid. Vooral als er exploitcode publiek beschikbaar is, is elke dag dat je hiermee wacht is een dag langer voor aanvallers om binnen te dringen via de net bekend geworden kwetsbaarheid.

Het Medisch Centrum moest als gevolg van de gijzelsoftware wekenlang de normale dienstverlening staken. De aanvallers infecteerden dertig servers met Doppelpaymer zonder een duidelijke geldeis. Regulier afspraken werden afgezegd, operaties uitgesteld en de spoedeisende hulp was dertien dagen buiten gebruik. Na contact met de politie leverden de aanvallers de decryptie key aan. Zij zouden zich er niet van bewust zijn dat het ging om een ziekenhuis. Volgens experts zou Doppelpaymer ransomware afkomstig zijn uit Rusland.

Door de aanval is zeker 1 patiënt overleden. Zij kon niet op tijd worden geholpen en overleed onderweg naar een ander ziekenhuis. Een strafrechtelijk onderzoek door de Duitse autoriteiten naar de personen achter de ransomware loopt nog. Volgens cybersecurity experts is dit de eerste keer dat een cyberaanval direct te linken is aan een dodelijk slachtoffer.

Vragen?
Heeft u vragen naar aanleiding van dit incident? Of het gebruik van Citrix? Neem dan contact op met [email protected]

[1]lees meer over Citrixbeveiliging: https://www.citrix.com/blogs/2019/05/07/citrix-tips-top-10-recommendations-to-improve-your-security-posture/