image

Ziekenhuizen geven firewall schuld van ransomware-infectie

woensdag 1 februari 2017, 14:54 door Redactie, 13 reacties

Drie grote Britse ziekenhuizen die eind oktober vorig jaar zo'n 2800 afspraken en operaties annuleerden omdat systemen met ransomware besmet waren geraakt hebben een "verkeerd geconfigureerde firewall" de schuld gegeven. Dat blijkt uit het verslag van een commissievergadering (pdf).

Vanwege de computerbesmetting werd besloten om gedurende verschillende dagen alle operaties en afspraken te annuleren. In totaal ging het om 2800 afspraken. "Alle mogelijk versleutelde servers werden gecontroleerd en opgeschoond zowel voordat ze werden uitgeschakeld en weer ingeschakeld. Het grootste deel van onze systemen was binnen 48 uur weer operationeel", zo liet het ziekenhuis destijds weten.

Volgens de adjunct-directeur zijn er bij de aanval geen gegevens bekeken of gestolen. "Het grootste probleem dat dit veroorzaakte was een misconfiguratie van de firewall." Vanwege de aanval zullen er nu penetratietests op de systemen van het ziekenhuis worden uitgevoerd en zal het bewustzijn van het personeel via phishingaanvallen worden getest. Advies van een beveiligingsbedrijf om bij twee ziekenhuizen voor een periode van twee maanden een 'black box' neer te zetten werd vanwege de kosten niet opgevolgd.

Image

Reacties (13)
01-02-2017, 15:07 door Anoniem
Advies van een beveiligingsbedrijf om bij twee ziekenhuizen voor een periode van twee maanden een 'black box' neer te zetten werd vanwege de kosten niet opgevolgd.

En dan ligt het aan de firewall?
Ransomware komt normaal gesproken via de gebruikers binnen...
01-02-2017, 15:42 door karma4
Het bestuur van het ziekenhuis is en blijft verantwoordelijk voor het reilen en zeilen. Dat ze zaken hebben geoutsourced leveranciers inschalen dat mag allemaal.
Maar is geen reden om die verantwoordelijkheid weg te wimpelen. Het is wel een gangbare poging om er zo onderuit zien te komen.
01-02-2017, 16:08 door Anoniem
Present:
Linda Jackson Non-Executive Director (Chair)
Marcus Hassall Director of Finance
Karen Dunderdale Deputy Chief Executive
Jayne Adamson Director of People and Organizational Effectiveness
Pam Clipson Director of Strategy & Planning
Jug Johal Director of Facilities
Alan Bell Non Executive Director
Anne Shaw Chairman, Trust Board
Wendy Booth Director of Performance Assurance & Trust Secretary
Paul Corlass Deputy Director of Finance
Steve Vaughan Interim COO
Janet Mellor PA to Karen Dunderdale

Zo te zien valt IT wederom onder 'Facilitair'. Waarschijnlijk is er dan ook geen CTO en CSO want die zouden wel gewenst zijn. Aanames natuurlijk. Maar tegen slecht management kan geen firewall op.
01-02-2017, 16:55 door Anoniem
ziekenhuis waar ik werkte had alle apparatuur aan een groot medisch vlan hangen, inclusief windows XP pc's in scan apparatuur en vergeten linuxen in weegschalen en wat al niet meer. plus dat een groot aantal apparaten 2 netwerkkaarten hadden voor gebruikersgemak, waarmee dat vlan ook meteen geen nut meer had.

blijft een probleem. apparaat van 100.000 euro, met ingebouwde pc van 2 tientjes. sta je dan als systeembeheerder met je "ja-maar" tegen de broer van de directeur die dat ding morgen succesvol op moet leveren met champagne en broodjes.
01-02-2017, 16:56 door Anoniem
Wordt de term 'black box' niet verkeerd gebruikt in dit artikel. Black box testing is toch het systeem testen zonder enige voorkennis?
01-02-2017, 19:45 door Anoniem
Een firewall doet niets tegen ransomware. Ik heb ransomware besmettingen bij een groot bekend bedrijf al een aantal keren meegemaakt. Ransomware komt gewoon via een e-mail binnen en een enkele keer via een besmette link. Het enige wat helpt is:

http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-ransomware-including-cryptolocker/

Met stip op 1, een goede backup. Iedere keer was een restore het enige wat we konden doen. Vertrouw niet op je AV want de besmettingen waren iedere keer nieuwe varianten van Ransomware waarvan de signatures nog niet bekend waren. Het blocken van .exe files in AppData/LocalAppData werkt lang niet altijd. Eigenlijk werkt een deel van de tips niet in de praktijk (hangt wel van de ransomware versie af) Ga bijvoorbeeld maar eens de Bios clock terugzetten op duizenden machines. :)

Maar goed, die firewall is gewoon een excuus of gewoon gebrek aan kennis/praktijk ervaring.
01-02-2017, 22:52 door Anoniem
Door Anoniem: Een firewall doet niets tegen ransomware. Ik heb ransomware besmettingen bij een groot bekend bedrijf al een aantal keren meegemaakt. Ransomware komt gewoon via een e-mail binnen en een enkele keer via een besmette link. Het enige wat helpt is:

http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-ransomware-including-cryptolocker/

Met stip op 1, een goede backup. Iedere keer was een restore het enige wat we konden doen. Vertrouw niet op je AV want de besmettingen waren iedere keer nieuwe varianten van Ransomware waarvan de signatures nog niet bekend waren. Het blocken van .exe files in AppData/LocalAppData werkt lang niet altijd. Eigenlijk werkt een deel van de tips niet in de praktijk (hangt wel van de ransomware versie af) Ga bijvoorbeeld maar eens de Bios clock terugzetten op duizenden machines. :)

Maar goed, die firewall is gewoon een excuus of gewoon gebrek aan kennis/praktijk ervaring.
nonsens, ransom?are preventie begint bij gelaagde beveiliging. Een onderdeel daarvan is absoluut de firewall die command and control verkeer detecteert en blokkeert.
02-02-2017, 07:10 door SPlid
Door Anoniem: Wordt de term 'black box' niet verkeerd gebruikt in dit artikel. Black box testing is toch het systeem testen zonder enige voorkennis?
Het klopt dat black box testen gedaan worden, dit betekend een test om op een site binnen te komen zonder informatie vooraf (btw op verzoek van het bedrijf) .

De black box die hier waarschijnlijk bedoeld wordt is een appliance die netwerk verkeer kan sniffen en precies kan zien wat er gebeurd en de data kan daarna geanalyseerd worden (denk hier bijvoorbeeld aan FireEye : en.wikipedia.org/wiki/FireEye)
02-02-2017, 09:22 door Anoniem
Voordat we weer in methodieken en oplossingen gaan denken en benatwoorden ..... "Het grootste probleem dat dit veroorzaakte was een misconfiguratie van de firewall."
Cursus voor de beheerder?
02-02-2017, 10:01 door Anoniem
Door Anoniem:
Door Anoniem: Een firewall doet niets tegen ransomware. Ik heb ransomware besmettingen bij een groot bekend bedrijf al een aantal keren meegemaakt. Ransomware komt gewoon via een e-mail binnen en een enkele keer via een besmette link. Het enige wat helpt is:

http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-ransomware-including-cryptolocker/

Met stip op 1, een goede backup. Iedere keer was een restore het enige wat we konden doen. Vertrouw niet op je AV want de besmettingen waren iedere keer nieuwe varianten van Ransomware waarvan de signatures nog niet bekend waren. Het blocken van .exe files in AppData/LocalAppData werkt lang niet altijd. Eigenlijk werkt een deel van de tips niet in de praktijk (hangt wel van de ransomware versie af) Ga bijvoorbeeld maar eens de Bios clock terugzetten op duizenden machines. :)

Maar goed, die firewall is gewoon een excuus of gewoon gebrek aan kennis/praktijk ervaring.
nonsens, ransom?are preventie begint bij gelaagde beveiliging. Een onderdeel daarvan is absoluut de firewall die command and control verkeer detecteert en blokkeert.

Theorie is prachtig. De praktijk is echter weerbarstiger.

http://www.silicon.co.uk/security/ransomware-bypasses-corporate-firewalls-194363
https://www.bsminfo.com/doc/of-ransomware-bypass-firewalls-email-filtering-0001
02-02-2017, 16:48 door Anoniem
Door Anoniem: Een firewall doet niets tegen ransomware. Ik heb ransomware besmettingen bij een groot bekend bedrijf al een aantal keren meegemaakt. Ransomware komt gewoon via een e-mail binnen en een enkele keer via een besmette link.

Nee daar geloof ik niets van en dat mag je statistisch onderbouwen.

Wil ransomware wil onderweg door malwarescanners heenkomen dan gaat dat het beste via bijvoorbeeld een link-verwizing, daarbij aantekenend dat de link niet besmet is (hoe doe je dat in godsnaam en slim is het niet want dan vangt de malwarescanner haar misschien alsnog) maar het online materiaal waar de link naar verwijst, of zelfs dat niet direct omdat er nog een tussenstap tussen zit namelijk eerst detectie van het Os, de browsersoort en de kwetsbare plugins.
Wanneer het een 'besmette bijlage' betreft, is de bijlage ook niet altijd besmet want wederom zal het activeren van de gevraagde macrofunctionaliteit ervoor zorgen dat er wederom online het echte besmette materiaal wordt opgehaald.

Kortom, het is buitengewoon effectief om met een firewall en whitelisting (of blacklisting) te werken.
Als je office en je adobe pdf reader al verbiedt direct ongevraagd contact te laten maken met het internet bij openen van een document ben je al saved by the firewall.

Bui-ten-ge-woon effectief dus die firewall.

Maar het kan inderdaad voorkomen dat de malwarecode encrypted wordt binnengesmokkeld en niet onderweg noch op jouw systeem wordt gedetecteerd.
'Wedden' dat het ophalen van online code nog steeds veel meer voorkomt dat embedded malware code via de mail?

Een firewall helpt dus desgewenst heel veel tegen ransomware.
Maar je moet haar wel juist configureren.
Wat dat betreft is de titel ook scheef.
Niet de firewall maar de verkeerde configuratie van die firewall is de schuldige.

Net zoals dat je Os niet schuldig is aan alle soorten domme gedragingen van de gebruiker.
Daar kan je nog een aantal van voorkomen maar uiteindelijk niet allemaal.
Maar je kan een eind komen, dan krijg je een dichtgespijkerd iets als iOS, alleen dan loopt een deel va de gebruikers weer te piepen dat ze te weinig mogen (wat inderdaad in de weg kan zitten als je meer wil).

Firewall is essentieel nuttig tegen/bij van alles en nog wat.
Maar bij een ziekenhuis zou ik overwegen bepaalde ringen in je systeem te creëren waarbij de belangrijkste ringen van systemen helemaal geen contact kunnen hebben met het internet!
02-02-2017, 18:18 door Anoniem
Ik zie al dat je meer van de theorie dan de praktijk bent. Een methode waarmee ransomware binnen komt heet obfuscation (Google). Het komt gewoon als een attachement, vermomt als factuur, bij de financiële afdeling binnen (ja zelfs daar is over na gedacht, het is vorm van phising)
Ransomware en malware in het algemeen is geen statisch product. Er woedt namelijk een wapenwedloop. Je doet een aardige suggestie om de malware te stoppen en de criminelen werken daar weer omheen. Dit is al jaren aan de gang.

Je kan hier van alles suggereren en in je hebt op sommige punten gelijk. Maar nogmaals de praktijk binnen bijvoorbeeld een echt ziekenhuis is veel weerbarstiger. Daarbij zijn sommige methodes onwerkbaar. Dit weten zij die in ICT dienstverlening werkzaam zijn als geen ander.

https://securingtomorrow.mcafee.com/mcafee-labs/locky-ransomware-hides-under-multiple-obfuscated-layers-of-javascript/
http://blog.checkpoint.com/2015/08/17/what-you-can-and-cant-do-against-ransomware/ (lees attack vector 2)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.