Canadees kinderziekenhuis gebruikt decryptietool ransomwaregroep niet
Het grootste kinderziekenhuis van Canada dat vorige maand door ransomware werd getroffen en vervolgens van de verantwoordelijke ransomwaregroep een decryptietool kreeg voor het ontsleutelen van systemen heeft besloten hier geen gebruik van te maken. Ook is er geen losgeld aan de criminelen betaald. Inmiddels is tachtig procent van de systemen hersteld en is "code grijs" opgeheven.
Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het ging om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. Code grijs staat voor verlies van essentiële diensten.
Door de uitval van systemen kregen patiënten en gezinnen met vertragingen te maken in behandelingen en onderzoeken. Ook duurde het langer voordat artsen onderzoeksresultaten en röntgenfoto's konden ophalen, wat weer voor langere wachttijden voor patiënten kon zorgen. Veel van de inmiddels herstelde systemen zouden volgens het ziekenhuis hebben bijgedragen aan vertragingen bij behandelingen en onderzoeken.
Gratis decryptietool
De aanval werd opgeëist door de groep achter de LockBit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.
De groep liet via de eigen website weten dat de voor de aanval verantwoordelijke partner de "regels" heeft overtreden en uit het partnerprogramma is gezet. De groep heeft daarop een gratis decryptietool beschikbaar gemaakt. Het ziekenhuis liet vervolgens externe experts naar de decryptietool kijken, maar heeft besloten die niet te gebruiken. Een reden voor deze beslissing is niet gegeven.
Wel herhaalt het ziekenhuis dat er geen losgeld aan de groep is betaald en dat inmiddels tachtig procent van de systemen is hersteld. Daarop is besloten om "code grijs" op te heffen. Verder claimt het ziekenhuis dat de impact op de zorgverlening aan patiënten minimaal was. Het digitaal patiëntendossier van het ziekenhuis was niet getroffen, maar wel systemen die daarmee zijn geïntegreerd. Ook was het niet mogelijk om röntgenfoto's te bekijken. Hoe de ransomware-aanval mogelijk was is niet bekendgemaakt.
Vond het ergens wel vreemd dat ze de decodersleutel niet wilde gebruiken, dus even gekeken wat er precies pep0wned was, eigenlijk niets meer dan wat voip telefoonlijnen 'corporate' webpagina's en er was een storing op de rontgenfoto applicatie (die mogelijk niet eens gerelateerd was).
Hardly code grey waardig.
Ah, wat een stuurman aan de wal.
Dus, als jij ergens zit als security officer, en je krijgt een incident met ransomware op deze interne systemen - met koppelingen naar van alles , is jouw advies
"lekker doordraaien, want IK WEET HELEMAAL ZEKER dat het incident niet groter is of gaat worden dan de systemen die nu getroffen zijn" .
Sorry, ik kan je daarin echt niet serieus nemen.
Wanneer je een stevig incident hebt op een aantal systemen waarop dat niet mogelijk had moeten zijn, moet je wel *ontzettend* goed weten dat die zodanig geisoleerd zijn - en je monitoring/detectie zodanig goed zijn - dat het incident niet breder is dan je op dat moment weet om je alert niveau af te schalen .
Dat je die conclusie trekt _nadat_ je rustig en uitgebreid de getroffen systemen , en de andere systemen waarmee ze gekoppeld onderzocht hebt , prima.
Maar dat je in eerste begint met de aanname dat je (ook) niet meer kunt vertrouwen op de integriteit van de overige systemen vind ik vrij logisch . En dan moet de conclusie 'code grey' zijn.
Vond het ergens wel vreemd dat ze de decodersleutel niet wilde gebruiken, dus even gekeken wat er precies pep0wned was, eigenlijk niets meer dan wat voip telefoonlijnen 'corporate' webpagina's en er was een storing op de rontgenfoto applicatie (die mogelijk niet eens gerelateerd was).
Hardly code grey waardig.
Pas nadat je zeker weet dat het incident echt beperkt is tot die systemen is de conclusie "geen code grey" terecht.
#1 je kan niet zomaar systemen gaan uitzetten om ze te beschermen tegen een aanval.
#2 Het gaat erom dat je oproept tot iets wat geverifieerd is.
Code Grey is bedoeld voor grootschalige uitval van vitale systemen, het onnodig uitroepen is net zo schadelijk als code oranje roepen voor een regenbui met 3mm regen.
Na een volgende keer worden mensen nonchalanter...'ach, weer een code oranje, ik ga gewoon op pad hoor... heej een tornado... I can see my house from here''....
Dus ik snap dat je systemen afschaalt en uitzet, om impact te beperken, maar dat is niet gebeurd. Alle systemen zijn gewoon in de lucht gebleven tijdens de malware infest...
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.