Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

FBI: groot aantal ziekenhuizen besmet met malware

dinsdag 31 maart 2020, 11:43 door Redactie, 7 reacties

Een groot aantal ziekenhuizen wereldwijd is met malware besmet geraakt, zo stelt de FBI. De Amerikaanse opsporingsdienst verstuurde een "Private Industry Notification" waarin het zorgaanbieders en andere organisaties waarschuwt voor aanvallen met de Kwampirs-malware (pdf).

Kwampirs is een Remote Access Trojan (RAT) waarmee aanvallers op afstand volledige controle over het systeem hebben. Met name de aanvallen tegen zorginstellingen zouden zeer succesvol zijn geweest, aldus de FBI. Het gaat dan zowel om grote transnationale gezondheidszorgbedrijven als lokale ziekenhuizen. Volgens de opsporingsdienst hebben de aanvallers via software supply chains en hardwareproducten toegang tot "een groot aantal ziekenhuizen wereldwijd" gekregen.

Het gaat onder andere om gecompromitteerde softwareleveranciers die producten leveren voor het beheren van industriële controlesystemen (ICS) in ziekenhuizen. Specifieke namen worden niet door de FBI genoemd. Wel geeft de opsporingsdienst verschillende kenmerken van getroffen leveranciers. Het gaat onder andere om aanbieders van ICS-beheeroplossingen, Enterprise Resource Planning (ERP), scansystemen en software in het algemeen.

Aanvallers kunnen via de softwareleverancier de omgeving van het ziekenhuis infecteren, bijvoorbeeld wanneer er een besmet apparaat wordt geïnstalleerd. Tijdens fusies en overnames kunnen de aanvallers via een infectie bij het ene bedrijf het andere netwerk binnendringen zodra dat is gekoppeld. Ook waarschuwt de FBI voor softwareontwikkelaars die middelen delen, waardoor de malware zich kan verspreiden.

De FBI stelt verder dat aanbieders van netwerkscanners en -kopieerapparaten, met domeintoegang tot klantennetwerken, zijn aangevallen. De aanvallers proberen bij deze partijen binnen te dringen en daarvandaan toegang tot de netwerken van klanten te krijgen, waaronder gebruikte cloudoplossingen. Zodra de aanvallers toegang tot een netwerk hebben wordt er aanvullende malware geïnstalleerd.

Aanbevelingen

De FBI doet ook verschillende aanbevelingen in het geval er een infectie is vastgesteld, zoals het opslaan van netwerkverkeer, het vaststellen van 'patient zero', het onderzoeken van verschillende logbestanden en het maken van volledige images van getroffen systemen. Naast de aanbevelingen heeft de FBI ook indicators of compromise (IOCs) en YARA-regels vrijgegeven waarmee organisaties de malware in hun omgeving kunnen opsporen, zo meldt het Internet Storm Center (pdf).

Image

Zoom aangeklaagd voor het delen van data met Facebook
Amazon.nl verwijdert onveilige beveiligingscamera's
Reacties (7)
Reageer met quote
31-03-2020, 11:57 door Anoniem
Wel opvallend veel persberichtenactiviteit uit met name de landen waar eigen economie boven mensenlevens gaat. Het ruikt net zo naar propaganda als de RIVM grafieken, die op zich wel kloppen (want er staat een sterretje bij en een toelichting) maar ook voor de snelle lezer een blijkbaar bedoeld verkeerd beeld scheppen.

Het kan mogelijk de aandacht afleiden van waar echte security over hoort te gaan. Het nobele vak van trachten zo goed mogelijk te beschermen.
Reageer met quote
31-03-2020, 12:00 door Anoniem
Maar je, het moet zo nodig allemaal online en digitaal. Wat dat was de toekomst.
Reageer met quote
31-03-2020, 12:04 door Anoniem
Het wordt tijd dat deze hele ziekgemaakte maatschappij op de fles gaat, en alle voortekenen wijzen erop, dat dat aan het gebeuren is. Hopelijk ontstaat er dan ooit een samenleving waarin macht en geld geen hoofdrol spelen. Maar gezien de menselijke geest zal dat wel utopie zijn.
Reageer met quote
31-03-2020, 12:21 door [Account Verwijderd]
Door Anoniem: Het wordt tijd dat deze hele ziekgemaakte maatschappij op de fles gaat, en alle voortekenen wijzen erop, dat dat aan het gebeuren is. Hopelijk ontstaat er dan ooit een samenleving waarin macht en geld geen hoofdrol spelen. Maar gezien de menselijke geest zal dat wel utopie zijn.
Kan jij een aantal voortekenen laten zien? Ik zie ze nog niet, maar goed, ik leef dan ook in een speciale bubbel.
Reageer met quote
31-03-2020, 13:17 door Anoniem
"Kwampirs is een Remote Access Trojan (RAT) waarmee aanvallers op afstand volledige controle over het systeem hebben."

en

"De FBI stelt verder dat aanbieders van netwerkscanners en -kopieerapparaten, met domeintoegang tot klantennetwerken, zijn aangevallen."

met

https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs
https://attack.mitre.org/software/S0236/


mag ik hieruit concluderen dat dit een probleem is op voornamelijk MS systemen?
Reageer met quote
31-03-2020, 13:58 door Anoniem
Uit het document blijkt dat AV (antivirus) een rol speelt bij detectie. Kwampir kan dus AV niet uitschakelen, zoals Clop dit wel kan? En waarom kan de AV een herkend Kwampir niet direct uitschakelen? Opslaan in een Vault?

Post AV -Possible Residual Artifacts Created by the Kwampirs RAT, Found in: %SystemRoot%/inf/
mtmndkb32.pnf
digirps.pnf
mkdiawb3.pnf
ie11.pnf

Hier wordt duidelijk vermeld: "post AV" ... waarom wordt geen "detect and destroy" toegepast?
Waarom staat het OS toe dat system-files worden aangepast door de malware?

Another method of identifying historical artifacts associated with a previous Kwampirs RAT intrusion, post AV remediation, is to examine System 7045 Events, with a service name of WMI Performance Adapter Extension.This is actually a legitimate Windows service and the location should be C:\Windows\System32\wbem\WmiApSrv.exe for Windows 10, 8, 7, XP, and Windows Server OS. Eliminating the legitimate services would identify remaining services that are Kwampirs. This can be confirmed by correlating with AV logs or, if still present, scanning the binary with AV.

Ook hier "post AV remediation", waarom mag het AV alleen logs produceren?? Search and destroy. Dat was ooit de naam van een AV software.

Employ regular updates to applications and the host operating system to ensure protection against known vulnerabilities

Open deur: "employ regular updates" ... maar welke Microsoft update is hier van toepassing?
Even op Startpage.com invullen: "Microsoft update Kwampir"

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Kwampirs.A&ThreatID=-2147270842
Published Jun 28, 2015 | Updated May 02, 2018 (!!).

Deze update wordt niet in het artikel door de FBI gemeld. Als je deze Windows Defender updates niet hebt uitgerold, die inderdaad "search and destroy" mogelijk maken, blijf je kwetsbaar voor een inmiddels oeroud probleem .... en zal je ook kwetsbaar blijken te zijn voor heel veel andere malware zoals Clop (bekend van Maastricht).

Je kan in deze hectische Corona-virus crisis als ziekenhuismedewerker (m/v) een Windows-virus crisis er toch niet bij gebruiken. Criminelen zijn gewetenloos, maar system admins zouden nu beter moeten weten, en er naar handelen.

De antistof (Windows update) is gratis beschikbaar ... niet toedienen is misdadig.
Reageer met quote
03-04-2020, 21:29 door Anoniem
Als je ziet hoe slecht het onderhoud van beveiligingslekken op copiers is - dan kan ik alleen maar bevestigen dat wat het FBI schrijft daaromtrend klopt als een bus.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 897
Image
BYOD
04-03-2021 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

13 reacties
Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter