Nieuwe ransomware aanvallen in de Covid-19-tijd

Ransomware is al een tijdje een bekend fenomeen, maar in de laatste weken is door de corona crisis een verhoogde activiteit waarneembaar. Bij instellingen in de gezondheidszorg is het momenteel bijzonder druk en maakt het personeel, onder stress flinke overuren. Aanvallers proberen gebruik te maken van de situatie. Zo kregen we input van een ziekenhuis, waar (gelukkig beperkt gebleven) ransomeware aanvallen verschillende kleine systemen, zoals laptops, had versleuteld. Zij meldden ons ook dat het aantal phishing emails dat ontvangen werd sinds enkele weken zo’n vijf maal zo groot is als normaal. Mogelijk zijn door het grote aantal phishing mails ook inloggevens (credentials) in verkeerd handen gekomen. Deze gegevens zijn mogelijk nog niet gebruikt voor ransomware aanvallen, maar kunnen in latere instantie gebruikt worden in combinatie met andere informatie als onderdeel van een ransomware attack of zelfs een ‘Advanced Persistent Threat’. Er zijn wel wat initiatieven tegen ransomware (zie ook dit ICT Institute artikel )  maar de middelen ter bestrijding achteraf zijn nog steeds beperkt.

Aangenomen wordt, dat het om hackers gaat die momenteel meer kansen zien en gebruik maken van toegenomen mogelijkheden door Covid-19. Er komen ook wel berichten dat ‘state-actors’ hier achter zouden kunnen zitten. Dat lijkt echter meer waarschijnlijk voor de aanvallen die op de algehele gezondheidssector of ministeries gepleegd worden, zoals de aanval op het Amerikaanse ministerie van volksgezondheid.

‘Maze’ Ransomware nu ook gebruikt voor ‘reputatielosgeld’

Het concept van ransomware kennen we nu al een tijd en is eenvoudig. Verlies van data is voor veel organisaties een ramp. Nieuwe vormen van ransomware, die ook de backups vinden en versleutelen, zijn daarom ook redelijk effectief. Maar IT organisaties leren en slaan ook steeds meer off-line backups op, of doen dit in de vorm van het wegschrijven op een ‘write once’ medium.

Bij een nieuwe vorm, o.a. toegepast door de Maze ransomware die werkt volgens het principe ‘Steal, Lock and Inform’, wordt door de ransomware eerst de informatie van het systeem van het slachtoffer helemaal gekopieerd en opgeslagen bij de hacker. Dan wordt de informatie op systeem van het slachtoffer versleuteld en daarna wordt geïnformeerd dat het systeem versleuteld is. Met andere woorden, er wordt gebruik gemaakt van de angst voor verlies van gegevens, maar tevens van de angst voor reputatieschade. Maze dreigt de informatie te publiceren als er niet wordt betaald en tevens publiceert het, bij niet-betaling, regelmatig namen van de bedrijven die zijn aangevallen via sites of social media berichten.

Afgelopen weken bevestigde het It-Outsourcing bedrijf Cognizant hierdoor getroffen te zijn. “Cognizant can confirm that a security incident involving our internal systems, and causing service disruptions for some of our clients, is the result of a Maze ransomware attack,” zie ook de verklaring op de website van Cognizant.

Veel partijen in de zorg sector geven toe dat security in die sector nog maar recent meer aandacht heeft gekregen. De oorspronkelijke, open opzet van zorg instellingen was ook om goede redenen. In de zorgsector kan het delen van informatie in veel gevallen de genezing van de patient ten goede komen en is er vaak tijdsdruk. Het beschermen van informatie heeft pas recent grotere prioriteit en navenant grotere budgetten gekregen. Zie ook dit artikel in Zorgvisie.
Om het thuiswerken in het algemeen veiliger te maken, heeft het NCSC (Nationaal Cyber Security Center) ook nieuwe richtlijnen uitgevaardigd, die van pas kunnen komen in de meeste thuissituaties.

Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.

Image credit: Monkeybusiness