image

Noodtoestand in Amerikaans ziekenhuis wegens ransomware

woensdag 23 maart 2016, 10:02 door Redactie, 18 reacties

Een Amerikaans ziekenhuis heeft intern de noodtoestand afgekondigd nadat systemen met ransomware besmet raakten en patiëntengegevens werden versleuteld. Dat laat Hospital Review weten naar aanleiding van berichtgeving op de website van het ziekenhuis.

Het gaat om het Methodist Hospital in Henderson in de Amerikaanse staat Kentucky. "We hebben de FBI ingelicht en overleggen met de federale autoriteiten hoe we met de situatie moeten omgaan", zegt David Park, chief operating officer van het ziekenhuis tegenover 14 News. "Afhankelijk van het aantal bestanden dat is vergrendeld wordt er gekeken of we tot betalen overgaan."

In een verklaring stelt het ziekenhuis dat de gegevens van patiënten veilig zijn en er een back-upsysteem is ingeschakeld toen het hoofdnetwerk vanwege de infectie was uitgeschakeld. Ondanks de ransomware zouden de dagelijkse werkzaamheden van het ziekenhuis niet in gevaar zijn gekomen. In februari besloot een Amerikaans ziekenhuis nog 17.000 dollar te betalen nadat bestanden door ransomware waren versleuteld.

Reacties (18)
23-03-2016, 11:05 door Ron625
Computers in een ziekenhuis die voor dit soort dingen gebruikt worden, horen ook niet (direct) aan internet te hangen.
De betaling gewoon aftrekken van het salaris van de verantwoordelijke.............
23-03-2016, 11:43 door Anoniem
Het zal tijd worden dat men bedrijven en software developers een boete gaat opleggen voor gebrekkige beveiliging. Zolang het men er mee weg kan komen zal er niks veranderen. Zeker nu er steeds meer afhankelijk en impact is op de fysieke wereld is de huidige strategie niet toereikend en is het wachten op een ramp.
23-03-2016, 12:05 door Anoniem
Door Ron625: Computers in een ziekenhuis die voor dit soort dingen gebruikt worden, horen ook niet (direct) aan internet te hangen.
De betaling gewoon aftrekken van het salaris van de verantwoordelijke.............

Voor deze besmetting heb je geen internet nodig... Een bijlage in een email of een bestand op een netwerk share kan het al starten...

Uit ervaring (werkend voor grote klanten) is het enige middel om het te bestrijden :
- Gebruik Microsoft Applocker of een third party zoals RES Workspace Manager die applicaties Whitelist (AppGuard).
- Meestal komen de bestanden binnen via email met extentie .pdf.exe, voor eindgebruiker zichtbaar als PDF file, klikt erop en EXE wordt gestart onder gebruikers rechten (dus zonder Local Admin start het ook)...
- Zoekt al je Documenten, pictures, etc op en start met encrypten.
- Zoekt al je netwerk mappings op en start met encrypten van documenten waar jij rechten op het netwerk voor hebt.

Als je dit soort bestanden niet blokkeert doormiddel van dit soort tools, dan is je enige hoop dat je eindgebruikers dit soort bestanden niet openen...
23-03-2016, 12:13 door Anoniem
Door Anoniem: Het zal tijd worden dat men bedrijven en software developers een boete gaat opleggen voor gebrekkige beveiliging. Zolang het men er mee weg kan komen zal er niks veranderen. Zeker nu er steeds meer afhankelijk en impact is op de fysieke wereld is de huidige strategie niet toereikend en is het wachten op een ramp.

Met de wet Meldplicht Datalekken is dit eigenlijk al zo. Wanneer er een datalek heeft plaatsgevonden en het blijkt dat de betreffende organisatie in grote gebreken is gebleken kan zij een boete van ten hoogste € 820.000 ontvangen.

Overigens ben ik het niet volledig eens met wat jij zegt dat bedrijven en software developers een boete moeten krijgen wanneer zij een gebrekkige beveiliging hebben. In mijn opinie kun je zoiets enkel opleggen wanneer de informatie die jij hebt of die diensten die jij levert essentieel zijn voor de continuïteit van andere ondernemingen. Wanneer dit niet het geval is en ze dus de organisatie enkel zelf de pineut is wanneer zij besmet is met ransomware.
23-03-2016, 13:29 door Anoniem
Door Anoniem:
Door Anoniem: Het zal tijd worden dat men bedrijven en software developers een boete gaat opleggen voor gebrekkige beveiliging. Zolang het men er mee weg kan komen zal er niks veranderen. Zeker nu er steeds meer afhankelijk en impact is op de fysieke wereld is de huidige strategie niet toereikend en is het wachten op een ramp.

Met de wet Meldplicht Datalekken is dit eigenlijk al zo. Wanneer er een datalek heeft plaatsgevonden en het blijkt dat de betreffende organisatie in grote gebreken is gebleken kan zij een boete van ten hoogste € 820.000 ontvangen.

Sorry, maar afpersen door data in gijzeling te houden en een data lek waarbij gevoelige informatie wordt gelekt/gestolen zijn twee hele verschillende dingen.
23-03-2016, 14:14 door Anoniem
Door Anoniem:
Door Ron625: Computers in een ziekenhuis die voor dit soort dingen gebruikt worden, horen ook niet (direct) aan internet te hangen.
De betaling gewoon aftrekken van het salaris van de verantwoordelijke.............

Voor deze besmetting heb je geen internet nodig... Een bijlage in een email of een bestand op een netwerk share kan het al starten...

Uit ervaring (werkend voor grote klanten) is het enige middel om het te bestrijden :
- Gebruik Microsoft Applocker of een third party zoals RES Workspace Manager die applicaties Whitelist (AppGuard).
- Meestal komen de bestanden binnen via email met extentie .pdf.exe, voor eindgebruiker zichtbaar als PDF file, klikt erop en EXE wordt gestart onder gebruikers rechten (dus zonder Local Admin start het ook)...
- Zoekt al je Documenten, pictures, etc op en start met encrypten.
- Zoekt al je netwerk mappings op en start met encrypten van documenten waar jij rechten op het netwerk voor hebt.

Als je dit soort bestanden niet blokkeert doormiddel van dit soort tools, dan is je enige hoop dat je eindgebruikers dit soort bestanden niet openen...
Je bent een goede backup (geteste) vergeten in het geval dat er toch bestanden worden encrypt.
23-03-2016, 14:56 door Anoniem
Door Anoniem: Sorry, maar afpersen door data in gijzeling te houden en een data lek waarbij gevoelige informatie wordt gelekt/gestolen zijn twee hele verschillende dingen.
Sorry, maar geen toegang meer hebben tot data is ook een lek in de context van de meldplicht datalekken. En dit bericht laat goed zien waarom dat terecht is: als je geen toegang meer hebt tot een informatie die van levensbelang is voor een patiënt dan kunnen de gevolgen ernstig zijn.

https://www.security.nl/posting/464618/Juridische+vraag%3A+is+de+meldplicht+datalekken+ook+van+toepassing+bij+het+verloren+gaan+van+gegevens%3F
23-03-2016, 15:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het zal tijd worden dat men bedrijven en software developers een boete gaat opleggen voor gebrekkige beveiliging. Zolang het men er mee weg kan komen zal er niks veranderen. Zeker nu er steeds meer afhankelijk en impact is op de fysieke wereld is de huidige strategie niet toereikend en is het wachten op een ramp.

Met de wet Meldplicht Datalekken is dit eigenlijk al zo. Wanneer er een datalek heeft plaatsgevonden en het blijkt dat de betreffende organisatie in grote gebreken is gebleken kan zij een boete van ten hoogste € 820.000 ontvangen.

Sorry, maar afpersen door data in gijzeling te houden en een data lek waarbij gevoelige informatie wordt gelekt/gestolen zijn twee hele verschillende dingen.
Door Anoniem:
Door Anoniem:
Door Anoniem: Het zal tijd worden dat men bedrijven en software developers een boete gaat opleggen voor gebrekkige beveiliging. Zolang het men er mee weg kan komen zal er niks veranderen. Zeker nu er steeds meer afhankelijk en impact is op de fysieke wereld is de huidige strategie niet toereikend en is het wachten op een ramp.

Met de wet Meldplicht Datalekken is dit eigenlijk al zo. Wanneer er een datalek heeft plaatsgevonden en het blijkt dat de betreffende organisatie in grote gebreken is gebleken kan zij een boete van ten hoogste € 820.000 ontvangen.

Sorry, maar afpersen door data in gijzeling te houden en een data lek waarbij gevoelige informatie wordt gelekt/gestolen zijn twee hele verschillende dingen.

Dat is wel een interessante vraag. Als data verdwenen is en niet teruggehaald kan worden dan valt het wel onder de meldingsplicht. Hoe zit dit met ransomware?
23-03-2016, 15:48 door Profeet
Denk dat je vorige juridische vraag nog even moet doorlezen:

https://www.security.nl/posting/464618/Juridische+vraag%3A+is+de+meldplicht+datalekken+ook+van+toepassing+bij+het+verloren+gaan+van+gegevens%3F

Voor veel mensen is het niet echt intuïtief dat verloren gaan (wissen) van gegevens telt als een datalek. Maar het is echt zo.
23-03-2016, 15:51 door Profeet
Wat ik me afvraag is: gaan we het nog meemaken dat medische apparatuur zelf gekaapt wordt?
Aan de ene kant zeg ik Ja, want niets motiveert tot betalen als een doodsbedreiging. Aan de andere kant denk ik, is dat het waard? De straf voor gijzeling van gezondheid zou nog wel is veel hoger kunnen zijn dan data. Dingen als moord en poging tot doodslag bijvoorbeeld.
23-03-2016, 15:56 door Anoniem
Bestanden die niet via een backup teruggezet kunnen worden, horen niet bereikbaar te zijn via een PC die op wat voor manier dan ook via internet besmet kan worden. PUNT.
23-03-2016, 16:00 door Anoniem
Door Anoniem:
- Gebruik Microsoft Applocker of een third party zoals RES Workspace Manager die applicaties Whitelist (AppGuard).
Als je het zo formuleert dan is de reactie vaak "het kost erg veel beheerwerk om deze applicaties allemaal te whitelisten
en het kan gebeuren dat na een update de applicatie geweigerd wordt".

Daarom kun je het beter zo regelen: sta alleen applicaties toe in directories waar de gebruiker niet mag schrijven.
Standaard mag een gebruiker op de lokale computer alleen schrijven in zijn profiel, en op de serveromgeving alleen
in zijn eigen opslagdirectories. Daar mogen dus GEEN applicaties staan. Dit regel je met een paar simpele AppLocker
rules (zeker als je omgeving geen totale puinhoop is), en dan hoef je niet meer alles te whitelisten.
24-03-2016, 03:35 door Anoniem
@Profeet: als de mogelijkheid er is zal het ongetwijfeld een keer gebeuren. Criminelen schrik je niet af met hogere straffen als het risico om opgepakt te worden nog zo klein is. Je kunt er wel van uit gaan dat er veel opsporingsdiensten bij betrokken gaan worden....
24-03-2016, 06:21 door Anoniem
Helaas zijn deze .EXE en .ZIP bestanden nog altijd een gemakkelijke entree voor malware. Binnenkomende mails filteren op .EXE is een mogelijkheid maar niet alle mail clients kunnen dat. Bv in Thunderbird is filteren van attachments op de extensie .EXE (of welke andere extensie dan ook) niet mogelijk bij mijn weten.

Een groot deel van het "succes" van malware / ransomware / "noem maar op" ware is terug te voeren op het volgende:
1.) Slordigheid en/of slechte gewoontes bij consumenten-computer gebruikers: men klickt maar wat.
2.) Principieel foutieve concepten en architectuur in professionele installaties.
-- Waarom zou een pompinstallatie voor polderbemaling via internet bereikbaar moeten zijn?
-- Waarom moet een bloedtransfusie apparaat in een ziekenhuis van buiten het ziekenhuis bereikbaar zijn via internet?
-- Waarom zijn bedrijfs computers om interne processen te besturen ook nog aan het www verbonden zodat mensen ook nog wat privee dingen kunnen regelen (rekeningen betalen, shopping en prono kijken)? Zo hackte de engelse geheime dienst het service netwerk van Belgacom.
-- Waarom ontwerpen we systemen die het mogelijk maken dat een (administratieve) medewerker op een mail attachment klickt en daardoor een ziekenhuis lam legt?
Zeer veel problemen zijn "home made" en met wat doordenken gemakkelijk te vermijden.

Verder: mijn boormaschine, mijn soldeerbout en mijn tandenborstel hoeft niet 24 uur per dag online te zijn!.
25-03-2016, 20:15 door karma4 - Bijgewerkt: 25-03-2016, 20:15
Door Ron625: Computers in een ziekenhuis die voor dit soort dingen gebruikt worden, horen ook niet (direct) aan internet te hangen.
Je hebt gelijk. Je moet aan een andere segmentering denken dan technische bouwers en de operatie (het gnagbare).
De segmentering zou zich moeten richten op de gevoeligheid van de betreffende gegevens.

Door Anoniem: Helaas zijn deze .EXE en .ZIP bestanden nog altijd een gemakkelijke entree voor malware. Binnenkomende mails filteren op .EXE is een mogelijkheid maar niet alle mail clients kunnen dat..
Moet je ook niet in de clients oplossen maar server side. Exchange en Notes (voorheen Lotus) kunnen dat uitstekend, vraag maar aan een echte mail-beheerder.

-- Waarom ontwerpen we systemen die het mogelijk maken dat een (administratieve) medewerker op een mail attachment klickt en daardoor een ziekenhuis lam legt?
Zeer veel problemen zijn "home made" en met wat doordenken gemakkelijk te vermijden.
Daarin heb je gelijk. Mogelijke antwoorden:
- we hebben het altijd zo gedaan. Iedereen doet het zo waarom veranderen/verbeteren
- nadenken is pijnlijk, dan moeten de grijze cellen aan de slag. Kan dat niet later, de manjana cultuur.
- De investeringen in eenveiligere omgeving zien we in de boekhouding (financieel) niet terug.Iedereen. Als we nu niets doen dan kunnen we dat geld nu zelf houden. Wat er alter gebeurt? Ach dat is voor later, je kunt de boel altijd laten klappen. We zijn toch niet persoonlijk aansprakelijk.
27-03-2016, 13:17 door Anoniem
Beste karma 4:
Jik schreef:
Door Anoniem: Helaas zijn deze .EXE en .ZIP bestanden nog altijd een gemakkelijke entree voor malware. Binnenkomende mails filteren op .EXE is een mogelijkheid maar niet alle mail clients kunnen dat..
Jij schrijft:
Moet je ook niet in de clients oplossen maar server side. Exchange en Notes (voorheen Lotus) kunnen dat uitstekend, vraag maar aan een echte mail-beheerder.
VRAAG:
Ik ben een privee computer gebruiker; ik heb geen mail server. Ik wil mijn mails die binnen komen uitfilteren naar mails met attachments die eindigen op .EXE en/of .ZIP.
Hoe doe ik dat???
En waarom moet dat op een "mailserver" gedaan worden??
En waarom kan dat niet in mijn mail client gedaan worden??
En waarom is er bij mijn weten geen programma dat een mail folder (bv de inbox) kan doorzoeken op bestanden met attachments die eindigen op .EXE of .ZIP.

Alvast bedankt voor de moeite om te antwoorden.
Groeten
01-04-2016, 16:26 door Knowbe4
It is now confirmed, The MedStar Hospital Chain was hit with ransomware and has received a digital ransom note. A Baltimore Sun reporter has seen a copy of the cybercriminal's demands.
"The deal is this: Send 3 bitcoins — 1,250 dollars at current exchange rates — for the digital key to unlock a single infected computer, or 45 bitcoins — about 18,500 dollars — for keys to all of them."

http://www.baltimoresun.com/health/bs-md-medstar-ransom-hack-20160330-story.html

Cyber-attacks are rapidly getting more sophisticated. Based on Kevin Mitnick’s 30+ year unique Fist-hand hacking experience, you now can train employees to better manage the urgent IT security problem of social engineering.

KnowBe4 en FirstThingsFirst,

Test your users with our Free Simulated Phishing Test
Train them with web-based interactive Security Awareness Training
Continue to send frequent Simulated Phishing Tests
01-04-2016, 16:27 door Knowbe4
Stu Sjouwerman
Why Hospitals Are the Perfect Targets for Ransomware. I am interviewed in WIRED Magazine | http://hubs.ly/H02xsPr0
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.