image

Ransomware infecteert ziekenhuizen via privémail

maandag 30 maart 2015, 16:04 door Redactie, 10 reacties

De afgelopen maanden zijn meerdere ziekenhuizen en grote gemeenten met ransomware geinfecteerd raakt, wat voornamelijk kwam doordat medewerkers bijlage en linkjes in privémail openden. Dat stelt het Nederlandse SecureLabs tegenover Security.NL. In februari en maart klopten zestien organisaties bij de IT-beveiliger aan. Het ging om vrij grote bedrijven, gemeentes, ziekenhuizen en een scholengemeenschap. "Bij ziekenhuizen zien we een stijgende trend", aldus Ronald Kingma van SecureLabs. Namen wil hij echter niet noemen.

Onlangs kwam Data Recovery nog met het nieuws dat zeker 28 Nederlandse bedrijven het doelwit van crypto-ransomware waren geworden. Hierbij werden alleen NAS-systemen geïnfecteerd. In de gevallen waar SecureLabs mee te maken kreeg ging het om werkstations. "Meestal waren het één of twee computers", merkt Kingma op. Wel kwam het voor dat vanaf de besmette werkstations aangesloten netwerkschijven geïnfecteerd en versleuteld raakten.

De infecties vonden vooral plaats via privémail, waarbij werknemers op hun Gmail- of Outlookaccount een bijlage of link naar Dropbox of Google Docs ontvingen. Op één na waren alle e-mails in goed Nederlands opgesteld. Eén van de berichten leek afkomstig van Giel Beelen van de radio en zag er legitiem uit, waardoor ontvangers de bijlage openden. Ook kwam het voor dat meegestuurde linkjes naar besmette websites wezen die misbruik van bekende lekken in bijvoorbeeld Adobe Reader, Internet Explorer en Flash Player maakten. Updates voor deze kwetsbaarheden waren niet geïnstalleerd.

Eén getroffen organisatie raakte de volledige administratie kwijt en beschikte niet over een back-up. De overige organisaties hadden wel back-ups gemaakt, waardoor de impact meeviel. Zo waren systemen een paar uur uit de lucht of ging er wat data verloren. Bij de ziekenhuizen ging het om administratieve systemen en groepsschijven waar geen patiëntgegevens op stonden.

Niet betalen

Kingma adviseert getroffen organisaties en bedrijven om niet te betalen. "Je weet niet wat de gevolgen zijn. Je doet zaken met criminelen. Wij volgen dan ook het advies van de politie op." Volgens de beveiligingsexpert is het daarnaast ook niet zeker dat bedrijven die wel betalen de decryptiesleutel krijgen. De organisatie die de administratie verloor heeft niet laten weten of ze uiteindelijk het gevraagde losgeld voor het ontsleutelen van de bestanden heeft betaald. "Ik heb ze het advies gegeven om het niet te doen", laat Kingma weten.

Onlangs stelde anti-virusbedrijf Sophos nog dat moet worden voorkomen om te betalen, maar het oké is als er geen andere oplossing voorhanden is. Ook Kingma kan hier in komen. "Als je niets anders hebt en het is een bedrag waar je overheen kunt komen, dan zou je het kunnen proberen." Geen één van de getroffen bedrijven besloot uiteindelijk aangifte bij de politie te doen. "Het was back-ups terugzetten en gewoon weer doorgaan", besluit Kingma.

Reacties (10)
30-03-2015, 16:31 door Anoniem
Kingma adviseert getroffen organisaties en bedrijven om niet te betalen. "Je weet niet wat de gevolgen zijn. Je doet zaken met criminelen. Wij volgen dan ook het advies van de politie op.

Wie moeten we nou geloven????

https://www.security.nl/posting/422396/Anti-virusbedrijf+vindt+betalen+van+ransomware+ok%C3%A9
30-03-2015, 16:32 door [Account Verwijderd] - Bijgewerkt: 30-03-2015, 16:34
[Verwijderd]
30-03-2015, 16:35 door Anoniem
Door Anak Krakatau: niets geleerd van geschiedenis. eerst was het conficker nu ransomware.

https://www.security.nl/posting/24853/Conficker+infecteert+universiteitsnetwerk

Dat noemen ze "resistent" ;-)
30-03-2015, 16:42 door Anoniem
"Kingma adviseert getroffen organisaties en bedrijven om niet te betalen."
Uiteraard, anders kunnen ze als beveiligingsbedrijf zelf minder geld opstrijken.

Effe serieus, het is algemeen bekend bij IT'ers (breed, internationaal in het nieuws geweest afgelopen jaar) dat dit een probleem is in (vrijwel) alle bedrijven die gebruikmaken van Microsoft en e-mail.
Wat is nu het nieuws dat hier wordt gebracht, dat de overheid en gezondheidszorg hier ook last van hebben en dat dit nu meer is dan 10 jaar geleden?
Dat een "beveiligingsexpert" er ook iets van vindt (de uitspraken liggen compleet in lijn met de reeds bekende adviezen) voegt hierop weinig toe en dit artikel komt daarom op mij over als verkapte reclame waarbij er gebruik wordt gemaakt van FUD om relevant over te komen.
30-03-2015, 17:22 door Anoniem
HP had het ontwikkeld: Virus Safe Computing for Windows XP.

http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
30-03-2015, 17:30 door Anoniem
Volges mij had de titel ook kunnen zijn: Ransomware infecteert bedrijven via privémail.
In situaties waarbij bedrijven exe en scr bestanden in zipfiles van het internet preventief blokkeert, vormde de ssl een uitzondering in de webmail van providers.

Niet iets van de afgelopen weken maar afgelopen jaren.
30-03-2015, 18:07 door Anoniem
Het is helemaal niet nodig om de mail of het internet verkeer te scannen, zolang je maar een goede software restriction
(applocker) policy hebt op je netwerk. Dat hebben degenen die geinfecteerd raken niet.

De beheerders van de systemen roepen vaak "we kunnen dit niet met technische maatregelen voorkomen" maar dat is
geheel aan de kunde te wijten en niet aan de mogelijkheden.
30-03-2015, 19:51 door Anoniem
Als ze het nu nog niet geleerd hebben, leren ze het nooit!!!
31-03-2015, 00:06 door Anoniem

Eén van de berichten leek afkomstig van Giel Beelen van de radio en zag er legitiem uit,

Want iedereen in het ziekenhuis mailt dagelijk met Giel Beelen.

Gewoon prive mail bekijken verbieden op het werk, simpel als dat. Je bent op je werk op te werken, niet om je mail te checken. Als je dat echt zo nodig wilt, dan doe je dit maar in je pauze op je mobiele telefoon.
31-03-2015, 10:22 door Rolfieo
Door Anoniem:
De beheerders van de systemen roepen vaak "we kunnen dit niet met technische maatregelen voorkomen" maar dat is
geheel aan de kunde te wijten en niet aan de mogelijkheden.

Das weer gemakkelijk praten, langs de zijlijn.
Als eerste moet je Windows 7 Ultimate of Enterprise hebben. Dat is best een technische limitatie van je mogelijkheden.
Daarbij moet ik nog zien dat Applocker beheersbaar is in een Enterprise omgeving.

Mara je weet ook hoe grote bedrijven werken? Technisch is alles werkend te krijgen. Maar er moet wel de tijd en resouces voor vrij gemaakt worden.
Waarbij heel goed samen met de business gewerkt moet worden. Die moeten hier heel veel voor doen, testen testen en nog eens testen.

Als ik dit nu voor mijn klanten zou willen implementeren, ga ik toch echt de nodige hulp vanuit de eindgebruikers nodig hebben. En een heel hoop zelfs. En dat zie ik echt niet gebeuren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.