image

Zorgverzekeraar Medibank weekend offline als gevolg van ransomware-aanval

vrijdag 9 december 2022, 12:41 door Redactie, 4 reacties
Laatst bijgewerkt: 09-12-2022, 15:48

De Australische zorgverzekeraar Medibank, waar een ransomwaregroep de gegevens van 9,7 miljoen klanten wist te stelen en online zette, gaat dit weekend offline om beveiligingsverbeteringen door te voeren. Alle systemen zijn vanaf vrijdagavond tot en met zondagavond onbereikbaar. Daarnaast zijn morgen alle winkels van Medibank gesloten, alsmede de callcenters.

Medibank heeft nog altijd niet bekendgemaakt hoe de criminelen toegang tot het netwerk konden krijgen. Daar werden zeer gevoelige gegevens van klanten buitgemaakt. De ransomwaregroep dreigde de gegevens te publiceren tenzij de verzekeraar losgeld zou betalen. Medibank weigerde, waarop de data online verscheen. Het ging om medische dossiers met daarin onder andere informatie over de hiv-status van personen, alsmede of ze hepatitis, psychische klachten, hartklachten, diabetes, astma, kanker en dementie hebben.

Volgens Medibank is er sinds 12 oktober geen verdachte activiteit meer in het netwerk waargenomen. Als onderdeel van herstel- en beveiligingswerkzaamheden is besloten om dit weekend volledig offline te gaan. Eerder werd al besloten om tweefactorauthenticatie in de callcenters uit te rollen. Vanwege de operatie zullen allerlei diensten van de zorgverzekeraar die via de website of app worden aangeboden onbereikbaar zijn. Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.

Reacties (4)
09-12-2022, 13:23 door walmare
Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.
Hupsake weer 25 miljoen op de TCO van windows plus data weg en gelekt. Ik weet dat sommige managers van grote ict dienstverleners heel zenuwachtig rondlopen en dat gros van afd security overspannen thuis zit, maar gewoon lekker doorgaan. Who next?
09-12-2022, 15:09 door Tintin and Milou
Door walmare:
Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.
Hupsake weer 25 miljoen op de TCO van windows plus data weg en gelekt. Ik weet dat sommige managers van grote ict dienstverleners heel zenuwachtig rondlopen en dat gros van afd security overspannen thuis zit, maar gewoon lekker doorgaan. Who next?
Ze hebben wel een OS draaien waarop hun applicaties, die ze nodig hebben om hun werk te kunnen doen, kan draaien.

Maar vaak bij dit soort problemen, slechte inrichting en beheer zijn de hoofdoorzaken van de problemen.
10-12-2022, 23:53 door Anoniem
Door Tintin and Milou:
Door walmare:
Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.
Hupsake weer 25 miljoen op de TCO van windows plus data weg en gelekt. Ik weet dat sommige managers van grote ict dienstverleners heel zenuwachtig rondlopen en dat gros van afd security overspannen thuis zit, maar gewoon lekker doorgaan. Who next?
Ze hebben wel een OS draaien waarop hun applicaties, die ze nodig hebben om hun werk te kunnen doen, kan draaien.

Maar vaak bij dit soort problemen, slechte inrichting en beheer zijn de hoofdoorzaken van de problemen.
Blijkbaar is dat OS niet te beheren gezien de 100% ransomware incidenten op dat platform. Daarnaast draaien die applicaties tegenwoordig ook op andere platforms. Vrijwel alles is namelijk webbased. Geen enkele reden om je vast te houden aan dat ransomware platform wat ook nog eens moelijker te behren is.
11-12-2022, 07:09 door karma4 - Bijgewerkt: 11-12-2022, 07:31
Door walmare:
Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.
Hupsake weer 25 miljoen op de TCO van windows plus data weg en gelekt. Ik weet dat sommige managers van grote ict dienstverleners heel zenuwachtig rondlopen en dat gros van afd security overspannen thuis zit, maar gewoon lekker doorgaan. Who next?

Weer zo'n open source fanaat die niets van gedegen beheer van IT-omgevingen begrijpt.. Ze zijn een gevaar voor de continuiteit van de omgevingen.
Eerder werd al besloten om tweefactorauthenticatie in de callcenters uit te rollen
Dat duidt op de supplychain met zeer waarschijnlijk open source welke gebruikt is om binnen te komen.
Als de rest net zo is ingericht zijn er jarenlang vele miljoenen (honderden) bespaard met een tekort schietende inrichting

The Medibank data breach was made possible by the theft of internal credentials believed to belong to an individual with privileged system access. Internal credential theft is one of the first objectives of almost every cyberattack. "
https://www.upguard.com/blog/what-caused-the-medibank-data-breach
Het is veel goedkoper om:
- niet aan polp te doen (principle of least privileges)
- geen of een foutief netwerksegmentatie te doen
- geen gecontroleerde MFA opgezet te hebben.

[ur]https://socradar.io/what-we-learned-from-medibank-ransomware-incident/[/url]
Gewoon geen SIEM IDS IPS doorvoeren is ook geodkoop.
"The cyber attack affecting Medibank could be classified as a ransomware attack even though hackers did not / could not encrypt the data. During the exfiltration, the security team noticed the unusual activity. However, the hackers claimed they were in the IT systems for a month.
....
What we know is that the credential used for the attack was bought and sold in a Telegram channel. An unidentified bidder bought and sold these credentials on the dark web, then used them to access Medibank’s internal network.
"
Als we consequent zijn: Verhaal halen bij telegram wegens dienstverlening aan criminele activiteiten.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.