image

Ransomware ontregelt honderd Amerikaanse tandartsen

maandag 9 december 2019, 10:02 door Redactie, 8 reacties

Meer dan honderd tandartsenpraktijken in de VS zijn met ransomware besmet geraakt nadat hun it-dienstverlener werd gecompromitteerd. Complete Technology Solutions (CTS) biedt netwerkbeveiliging, managed it-diensten, back-ups en voip-diensten voor tandartsenpraktijken in Denver, Phoenix, Dallas, Las Vegas, en Kansas City.

Aanvallers wisten CTS te compromitteren en daarvandaan tandartspraktijken die klant zijn met de Sodinokibi-ransomware te besmetten. De ransomware-infectie ontregelde de dienstverlening van de praktijken, zo meldt it-journalist Brian Krebs. De aanval begon op 25 november, maar nog altijd zijn klanten niet hersteld. Verschillende getroffen tandartsen en een securitybedrijf dat een aantal praktijken helpt laten aan Krebs weten dat CTS het losgeld van 700.000 dollar weigerde te betalen.

Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen. "De aanvallers gaan er nu met veel meer geld vandoor dan wanneer CTS de 700.000 dollar had betaald", aldus Gary Salman van Black Talon Security dat verschillende praktijken met het herstel helpt. Volgens Salman hebben de aanvallers de remote administration tool gecompromitteerd waarmee CTS op afstand klantsystemen beheert.

"Veel van deze it-dienstverleners hebben actieve sessies naar elke klantcomputer. Als een klant de it-dienstverlener belt kunnen ze meteen inloggen en de problemen verhelpen", stelt Salman. In dit geval konden de aanvallers op de systemen van de tandartsenpraktijken inloggen en die met ransomware infecteren. In een besloten Facebookgroep laten sommige tandartsen weten dat ze vanwege de infectie nog steeds gesloten zijn, tot grote onvrede van patiënten en personeel.

In augustus werden nog vierhonderd tandartsenpraktijken door ransomware getroffen na een aanval op de it-leverancier van hun back-upprovider. Ook bij deze aanval ging het om de Sodinokibi-ransomware en wisten de aanvallers via de remote administration tool binnen te komen.

Reacties (8)
09-12-2019, 14:20 door Anoniem
Ik mis toch wel achtergrondinformatie in dit artikel.

1. De Sodinokibi-ransomware is gebaseerd op GandCrab (Windows-only malware)

2. https://www.zdnet.com/article/sodinokibi-ransomware-is-now-using-a-former-windows-zero-day/
"A ransomware strain named Sodinokibi (also Sodin or REvil) is using a former Windows zero-day vulnerability to elevate itself to admin access on infected hosts.
The vulnerability, a privilege escalation flaw known as CVE-2018-8453, had been patched in the October 2018 Patch Tuesday Microsoft security updates after it had previously been used by a state-sponsored hacking group known as FruityArmor since August 2018."
... Ok, Windows heeft dus al een patch uitgebracht in oktober 2018. Daar kan het dus niet aan liggen.

3. https://krebsonsecurity.com/2019/12/ransomware-at-colorado-it-provider-affects-100-dental-offices/
" ... the dental industry in general has fairly atrocious security practices, and that relatively few offices are willing to spend what’s needed to fend off sophisticated attackers. He said it’s common to see servers that haven’t been patched for over a year, backups that haven’t run for a while, Windows Defender as only point of detection, non-segmented wireless networks, and the whole staff having administrator access to the computers — sometimes all using the same or simple passwords."
... (oeps ...)
“A lot of these [practices] are forced into a price point on what they’re willing to spend,” said Terronez, whose company also offers IT services to dental providers. “The most important thing for these offices is how fast can you solve their problems, and not necessarily the security stuff behind the scenes until it really matters.”
... (de tijd is nu rijp voor een digitaal rijbewijs ??)

4.https://nos.nl/artikel/2312363-nederlandse-bedrijven-slachtoffer-van-geavanceerde-gijzelsoftware.html
Datum: 28 november 2019.
"Verschillende Nederlandse bedrijven zijn getroffen door geavanceerde gijzelsoftware. Dat blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum, dat in handen is van de NOS."
... (waarom is dat rapport vertrouwelijk ?)
"Volgens het NCSC moeten bedrijven dan ook alerter zijn. "Bedrijven nemen nog steeds niet alle basismaatregelen", laat een woordvoerder weten via e-mail. "Draai updates, zorg dat je personeel zich bewust is van de digitale dreigingen en maak backups."
... (tja ...)
09-12-2019, 16:23 door Anoniem
Moeten we als samenleving willen dat ieder digitaal systeem beschermd moet worden tegen hackers en daarom voor
allerlei diensten (in dit geval de tandarts) meer gaan betalen, of kunnen we beter inzetten op het aanpakken van die
hackers op zodanige wijze dat ze niet meer in de verleiding komen om dat soort dingen te doen?

Die tandartsen hebben waarschijnlijk ook ramen zonder tralies en geen kogelvrij glas voor de assistente.
09-12-2019, 17:46 door Anoniem
@ anoniem van 16:23

Hoe wil je dan beter gaan inzetten op het pakken van deze cybercriminelen (met de bekende geringe pakkans, zeker als ze door een rogue staat worden gefacilteerd en gedoogd, als ze zich maar niet in de eigen achtertuin ongeliefd maken)?

Ik wacht met spanning op je voorstellen in deze.

Hoe wil je dat uitvoeren? Wie zit er achter het anonimiseringsfirmaatje in Panama en wie zijn de cubercriminele klanten ervan? Wie gaat ze uitleveren? We weten ze in Nederland al nauwelijks aan te pakken laat staan elders.

Websites en eindgebruikers wat beter laten beschermen wordt wel eens tijd. Met de letterlijke zeef van nu, gaat er steeds meer cybercrimineel verkeer doorheen. Waarom is Leaseweb hier nog niet gestopt met het lanceren van malcode?
Een cybercriminele euro verdient even lekker als een legale Euro voor hen. Niet toch?

Wat doet de politiek? Alles alleen duurder maken. Oplossingen, ho maar. Want aan de bovenkant heeft men er even veel wil van als aan de onderkant en wij hangen ertussen als slachtoffers. Dus verandert er niets aan de gaande praktijk.

Jodocus Oyevaer
10-12-2019, 07:49 door Jean Vohur
Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen.

Ik geef het je te doen als tandartspraktijk. Als je je data niet terug krijgt dan kan je natuurlijk de praktijk wel opdoeken.
10-12-2019, 12:08 door Anoniem
Door Jean Vohur:
Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen.

Ik geef het je te doen als tandartspraktijk. Als je je data niet terug krijgt dan kan je natuurlijk de praktijk wel opdoeken.

Het scheelt wel dat je in ieder geval geen backups hoeft op te ruimen, want die heb je nooit gemaakt.
Je bent maximaal efficient bezig geweest. Thumbs up.
10-12-2019, 18:10 door Jean Vohur - Bijgewerkt: 10-12-2019, 18:10
Door Anoniem:
Door Jean Vohur:
Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen.

Ik geef het je te doen als tandartspraktijk. Als je je data niet terug krijgt dan kan je natuurlijk de praktijk wel opdoeken.

Het scheelt wel dat je in ieder geval geen backups hoeft op te ruimen, want die heb je nooit gemaakt.
Je bent maximaal efficient bezig geweest. Thumbs up.

Als tandarts die het toch al veel te druk heeft en wiens vak het niet is houd je je daar niet zo mee bezig. Nou ben ik geen tandarts maar ook geen vakidioot met een gebrek aan inlevingsvermogen.
11-12-2019, 10:49 door jh81
Door Jean Vohur:
Door Anoniem:
Door Jean Vohur:
Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen.

Ik geef het je te doen als tandartspraktijk. Als je je data niet terug krijgt dan kan je natuurlijk de praktijk wel opdoeken.

Het scheelt wel dat je in ieder geval geen backups hoeft op te ruimen, want die heb je nooit gemaakt.
Je bent maximaal efficient bezig geweest. Thumbs up.

Als tandarts die het toch al veel te druk heeft en wiens vak het niet is houd je je daar niet zo mee bezig. Nou ben ik geen tandarts maar ook geen vakidioot met een gebrek aan inlevingsvermogen.
Een hoop ITers staan niet echt bekend om hun inlevingsvermorgen ;-)

Tsja, in sommige gevallen kiezen tandartsen er bewust voor om geen backups te (laten) maken, want kost geld.
In andere gevallen weten ze gewoon niet beter, dan is het aan de dienstverlener om ze daarin te helpen/onderwijzen. Toch zie ik nog heel veel dienstverleners die zich niet of nauwelijks bemoeien met dit soort vraagstukken. En DAT vind ik wel een kwalijke zaak :(
11-12-2019, 12:44 door Anoniem
Door jh81:
Door Jean Vohur:
Door Anoniem:
Door Jean Vohur:
Sommige praktijken die niet over back-ups beschikken onderhandelen nu zelf met de aanvallers om hun data terug te krijgen.

Ik geef het je te doen als tandartspraktijk. Als je je data niet terug krijgt dan kan je natuurlijk de praktijk wel opdoeken.

Het scheelt wel dat je in ieder geval geen backups hoeft op te ruimen, want die heb je nooit gemaakt.
Je bent maximaal efficient bezig geweest. Thumbs up.

Als tandarts die het toch al veel te druk heeft en wiens vak het niet is houd je je daar niet zo mee bezig. Nou ben ik geen tandarts maar ook geen vakidioot met een gebrek aan inlevingsvermogen.
Een hoop ITers staan niet echt bekend om hun inlevingsvermorgen ;-)

Tsja, in sommige gevallen kiezen tandartsen er bewust voor om geen backups te (laten) maken, want kost geld.
In andere gevallen weten ze gewoon niet beter, dan is het aan de dienstverlener om ze daarin te helpen/onderwijzen. Toch zie ik nog heel veel dienstverleners die zich niet of nauwelijks bemoeien met dit soort vraagstukken. En DAT vind ik wel een kwalijke zaak :(

Als je in de auto stapt en de motor start, moet je een autogordel om doen: "fasten seatbelts". Daarbij wordt geen onderscheid gemaakt tussen mensen met een gebrek aan inlevingsvermogen, of vakidioten, dat zijn geen ter zake doende argumenten.

Als het waar zou zijn dat "tandartsen er voor kiezen (haha, grappig red.) om geen backups te (laten) maken, want dat kost geld" dan zijn er mijns inziens twee nalatige partijen:

1. De tandarts, want het mag toch algemeen bekend worden verondersteld dat maken van recente backups van levensbelang kan zijn, net zoals het dragen van een veiligheidsgordel in de auto. Je hebt het nooit nodig, tot misschien dat ene moment.

2. De IT-dienstverlener, die niet alleen moet "helpen/onderwijzen" maar het maken van backups standaard in een "inclusief-prijs" moet doorberekenen aan de tandarts, of apotheek, of ziekenhuis.

De acute vraag die tandartsen, apothekers, ziekenhuizen NU moeten stellen aan hun IT-dienstverleners is: "Hoe vaak wordt van mijn administratie een backup gemaakt, en ben ik daarmee voldoende beschermd tegen ransomware".

Met als vervolgvragen bijvoorbeeld: "is mijn systeem up-to-date, is mijn netwerk voldoende gesegmenteerd, zijn jullie verzekerd tegen claims tengevolge van uitval door ransomware?"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.