Z-CERT waarschuwt zorginstellingen voor ransomware-aanvallen

Stethoscoop liggend op een toetsenbord

Z-CERT, het Computer Emergency Response Team dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.

Via een persbericht geeft Z-CERT geeft zorginstellingen tien tips om zich te wapenen tegen hackers en cybercriminelen.

Diverse Belgische en Franse zorginstellingen de dupe van hackers

Z-CERT zegt dat België en Frankrijk hard worden geraakt. In december vorig jaar was het Algemeen Medisch Laboratorium uit Antwerpen het doelwit van hackers. Belgische media schreven dat het lab was getroffen door een ransomware-aanval. De aanvallers eisten losgeld, het testlab koos er echter voor om aangifte te doen bij het Antwerpse parket en de Computer Crime Unit van de Belgische federale politie. Bij de aanval was geen informatie buitgemaakt.

Half januari was het Belgische ziekenhuis Chwapi de dupe van een cyberaanval. Medewerkers konden hierdoor niet met elkaar communiceren en hadden geen toegang tot patiëntendossiers. Ambulances werden noodgedwongen doorverwezen naar ziekenhuizen in de regio. De directeur van het ziekenhuis vond het schandalig dat het personeel tijd en energie hierin moest steken, wat ten koste ging van de reguliere patiëntenzorg.

In januari en februari waren drie Franse ziekenhuizen en een zorgverzekeraar de dupe van hackers. Zij werden getroffen door ransomware van onder meer Egregor, Ryuk en RansomExx. Mogelijk zijn meer zorginstellingen geraakt, maar dat is nu nog niet bekend.

Z-CERT geeft tips om hackers te slim af te zijn

Deze ontwikkelingen waren voor Z-CERT aanleiding om ziekenhuizen, laboratoria en andere zorginstanties in Nederland te waarschuwen voor hackers. De cyberspecialisten van Z-CERT gaan ervan uit dat het hier gaat om georganiseerde misdaad.

Hackerscollectief of niet, vaak maken de aanvallers gebruik van standaardmethoden om bij een organisatie binnen te dringen. Om Nederlandse zorginstellingen hiervoor te behoeden, heeft Z-CERT een aantal tips op een rij gezet om cybercriminelen buiten de deur te houden. Het gaat om de tien belangrijkste maatregelen om incidenten met gijzelsoftware te voorkomen, of de impact ervan te beperken.

Zo houd je hackers buiten de deur

Tussen de tips vinden we diverse aanbevelingen die vrij eenvoudig door de IT-afdeling zijn te implementeren. Zo adviseert Z-CERT bijvoorbeeld om regelmatig back-ups te maken van belangrijke data en beveiligingsupdates van besturingssystemen en andere software te installeren zodra deze beschikbaar zijn. Een andere belangrijke tip is om multifactorauthenticatie te implementeren. Naast een gebruikersnaam en wachtwoord heb je ook een code nodig om in te loggen op een systeem of applicatie. Deze code wordt vaak naar je smartphone verstuurd.

Nu we door de coronacrisis grotendeels vanuit huis werken, is het belangrijk om ervoor te zorgen dat dit veilig en verantwoord gebeurt. Daarom luidt het advies van Z-CERT om ‘afstandswerkoplossingen’ te beveiligen. Wat er gebeurt als je dat niet doet, bewijst een Amerikaans drinkwaterbedrijf dat onlangs door een hacker werd aangevallen. Hij maakte misbruik van de applicatie TeamViewer om kwaadaardige bestanden op de computer van een medewerker te installeren. Ook maakte hij vermoedelijk misbruik van een beveiligingslek van Microsofts Remote Desktop Protocol. Hiervoor bestaat weliswaar een patch, maar deze was nog niet geïnstalleerd. Naar aanleiding van het incident publiceerde de FBI publiceerde een officiële waarschuwing om op pas te passen met TeamViewer.

Tot slot adviseert Z-CERT om applicatie whitelisting in te voeren, het least privilege principe toe te passen, Office macro’s te reguleren of stoppen en de ‘buitenkant van de IT-structuur’ te scannen. Applicatie whitelisting houdt in dat een systeembeheerder alleen applicaties die hij veilig acht voor een organisatie koppelt aan het netwerk. Het least privilege principe betekent dat werknemers alleen toegang krijgen tot informatie en systemen die hij ook echt nodig heeft om zijn werk te kunnen doen.

Macro’s zijn instructies die een programma uitvoert zodra je hem opstart. Ze kunnen de werkdruk verlichten, maar bieden tevens de mogelijkheid om malware binnen te smokkelen. Met het scannen van de ‘buitenkant van de IT-structuur’ bedoelt Z-CERT dat een systeembeheerder regelmatig alle systemen die op internet zijn aangesloten monitort op afwijkingen en kwetsbaarheden.

Tien tips van Z-CERT om de impact van hackers te minimaliseren

Klik of tik om te vergroten

Hackers richten hun pijlen op de zorgsector

In het begin van het artikel noemden we enkele voorbeelden van recente cyberaanvallen op zorginstellingen. Afgelopen jaar vielen er nog veel meer slachtoffers te betreuren. Eén van de eerste slachtoffers was de Wereldgezondheidsorganisatie WHO. In de eerste helft van 2020 stalen hackers duizenden e-mailadressen en wachtwoorden van WHO-medewerkers en maakten deze openbaar. Het aantal cyberaanvallen nam kort na het uitbreken van de coronapandemie toe met een factor vijf.

Universal Health Services (UHS), een van de grootste ziekenhuisnetwerken in de VS, was evenmin bestand tegen hackers. Daar werden computers en telefoonlijnen platgelegd en bestanden versleuteld door ransomware. In een ziekenhuis in Düsseldorf overleed in september een patiënt als gevolg van een cyberaanval. Ook diverse Britse en Amerikaanse universiteiten en laboratoria hadden hun handen vol aan hackers.

Eind november was AstraZeneca het doelwit van hackers. Daarbij deden de aanvallers zich voor als recruiters van een bedrijf die een droombaan voor medewerkers in het verschiet stelden. Zij ontvingen een e-mail met een bijlage die voorzien was van kwaadaardige macro’s. Zodra ze dit bestand openden, werden hun computers geïnfecteerd. Op deze manier probeerden de daders het bedrijfsnetwerk van AstraZeneca te infiltreren. Deze aanval mislukte, waardoor het bedrijf geen schade opliep. Het gerucht gaat dat Noord-Koreaanse staatshackers achter deze aanval zitten.

In december tot slot werd het Europees Medicijnagentschap EMA aangevallen, vermoedelijk door Noord-Koreaanse staatshackers. Ze stalen vertrouwelijke documenten van farmaceutische bedrijven, pasten deze aan en publiceerden ze op internet. Waarschijnlijk wilden de aanvallers het vertrouwen in en de werkzaamheid van reeds goedgekeurde coronavaccins ondermijnen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen