Ziekenhuisketen VS betaalt ransomware voor ontsleutelen patiëntdata
De grootste ziekenhuisketen van de Amerikaanse staat New Jersey heeft criminelen verantwoordelijk voor een ransomware-infectie een niet nader genoemd bedrag betaald voor het ontsleutelen van patiëntendossiers en andere data. Door de ransomware-infectie, die begin december bij Hackensack Meridian Health plaatsvond, werden systemen van klinieken en zeventien ziekenhuizen van de keten getroffen en moesten zo'n honderd operaties worden afgezegd.
Door de besmetting was het netwerk van de ziekenhuizen twee dagen niet beschikbaar en hadden artsen en verplegers geen toegang tot de medische dossiers van patiënten. Na betaling van het losgeld kon de ziekenhuisketen beginnen met het ontsleutelen van de versleutelde data. "Het is onze verplichting om de toegang tot gezondheidszorg voor onze gemeenschappen te beschermen", aldus een verklaring van de ziekenhuisketen.
Twee weken na de infectie zijn de primaire ziekenhuissystemen inmiddels weer online, terwijl aan andere systemen nog wordt gewerkt. Hoeveel de keten de aanvallers heeft betaald kan het vanwege een geheimhoudingsovereenkomst niet zeggen. De verzekering van de ziekenhuisketen zal de kosten van de betaling en het herstel dekken, zo meldt Asbury Park Press. Verdere details over het soort ransomware en hoe de infectie zich kon voordoen zijn niet bekendgemaakt.
Reacties (14)
Wat is het probleem om systemen afdoende te kunnen beschermen tegen ransomware? Ik snap niet dat 3 jaar na de eerste ransomware uitbraak computers nog steeds niet afdoende beveiligd kunnen worden.
Die "ontsleuteling" die je dan krijgt, werkt regelmatig ook gewoon niet. Of deels, en deels niet. En dat kun je er niet altijd aan af zien, dus moet je alle bestanden van begin tot eind controleren.
Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Door Anoniem: Die "ontsleuteling" die je dan krijgt, werkt regelmatig ook gewoon niet. Of deels, en deels niet. En dat kun je er niet altijd aan af zien, dus moet je alle bestanden van begin tot eind controleren.
En vaak ook wel.Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Dat hoeft helemaal niet. Het hangt er vanaf hoe je data in elkaar zit.Door Anoniem: Die "ontsleuteling" die je dan krijgt, werkt regelmatig ook gewoon niet. Of deels, en deels niet. En dat kun je er niet altijd aan af zien, dus moet je alle bestanden van begin tot eind controleren.
Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Er zijn zelfs stromingen die zeggen dat je het ijzer niet eens meer kunt vertrouwen.
"Verdere details over het soort ransomware en hoe de infectie zich kon voordoen zijn niet bekendgemaakt."
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Door Anoniem: "Verdere details over het soort ransomware en hoe de infectie zich kon voordoen zijn niet bekendgemaakt."
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
Als desktop waarschijnlijk. Maar of de backend, waarop de data actief was, en waar dus eigenlijk je backup op actief had moeten zijn zijn, is helemaal niet duidelijk. Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Iets wat wij niet weten, maar bij de juiste personen natuurlijk wel bekend. Kans is heel groot. Slecht beheer, wat bijna altijd de oorzaak is van alle ellende.Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Dit lost inderdaad het meeste op.Ziekenhuisketen VS betaalt ransomware voor ontsleutelen patiëntdata.
Leerden we niet dat misdaad niet loont?Sinds kort weten we beter: dankzij dit soort ziekenhuizen wordt misdaad dus lonend en wordt het bestaan van misdadigers mogelijk gemaakt door de slachtoffers die de geldbuidel voor ze opentrekken.
Echt geweldig dit.
Door Anoniem:
En dat veranderd helemaal niets aan het punt: Dus moet je alle bestanden van begin tot eind controleren.Door Anoniem: Die "ontsleuteling" die je dan krijgt, werkt regelmatig ook gewoon niet. Of deels, en deels niet. En dat kun je er niet altijd aan af zien, dus moet je alle bestanden van begin tot eind controleren.
En vaak ook wel.Mede daarom, maar ook omdat onbevoegden kennelijk toegang tot je data hadden, kun je de dataset eigenlijk niet meer vertrouwen.
Dat hoeft helemaal niet. Het hangt er vanaf hoe je data in elkaar zit.Je kan wel tegen de klippen op blijven hopen dat het allemaal goed gaat, maar als hospitaalketen speel je dan vrij letterlijk met patiëntlevens.
Door Anoniem: Er zijn zelfs stromingen die zeggen dat je het ijzer niet eens meer kunt vertrouwen.
Bij gerichte aanvallen is het al wel gebeurd dat de malware zich dan zo diep de firmware ingegraven heeft dat de firmware bijwerken niet eens meer helpt. Mischien dat we het in de toekomst ook wel met malware gaan zien.Door Anoniem: Wat is het probleem om systemen afdoende te kunnen beschermen tegen ransomware? Ik snap niet dat 3 jaar na de eerste ransomware uitbraak computers nog steeds niet afdoende beveiligd kunnen worden.
Dat is niet mogelijk omdat er gebruik wordt gemaakt van Microsoft Windows software en dit besturingssysteem is, omdat het een brakke softwarearchitectuur heeft (die niet kan worden verbeterd omdat backwards compatiliteit noodzakelijk is), blijvend vatbaar voor mal- en ransomware. Derden kunnen er ook niets aan doen want het is closed source software.
Degenen die zich graag 'ons' noemen zullen dit ontkennen en de boodschapper ridiculiseren, zelfs demoniseren. Bedenk echter dat zij (en natuurlijk Microsoft zelf) er het meeste belang bij hebben om Windows te verbeteren en de problemen met mal- en ransomware te verhelpen. Dat is hun al jarenlang niet gelukt, zo blijkt uit de aanhoudende stroom berichten in de media hierover, en om bovenstaande redenen is hier ook geen enkel zicht op.
Ongeacht het operating systeem, ongeacht de oorzaak....
Ze betalen alleen maar omdat er geen goede backups aanwezig waren, dus genoodzaakt zijn te betalen om te herstellen (decrypten).
Data goed in kaart hebben, deze goed backuppen lijkt bij de meeste betalers bij ransomware het grootste probleem.
(misschien ook regelmatig restore testen zou handig zijn).
Nu is ransomeware de oorzaak van data verlies, maar data verlies kan ook door andere oorzaken, dus die backup blijft het belangrijkste.
Voor grote en kleine bedrijven, zelfs voor consumenten, zijn er genoeg backup oplossingen...
Ze betalen alleen maar omdat er geen goede backups aanwezig waren, dus genoodzaakt zijn te betalen om te herstellen (decrypten).
Data goed in kaart hebben, deze goed backuppen lijkt bij de meeste betalers bij ransomware het grootste probleem.
(misschien ook regelmatig restore testen zou handig zijn).
Nu is ransomeware de oorzaak van data verlies, maar data verlies kan ook door andere oorzaken, dus die backup blijft het belangrijkste.
Voor grote en kleine bedrijven, zelfs voor consumenten, zijn er genoeg backup oplossingen...
Door Anoniem: "Verdere details over het soort ransomware en hoe de infectie zich kon voordoen zijn niet bekendgemaakt."
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Wat me opvalt is dat de meeste mensen maar wat roepen en zich helemaal niet verdiepen in hoe professionele ransomware aanvallers tegenwoordig te werk gaan. Neem nou het gebazel hierboven: "we kunnen aannemen dat het ziekenhuis windows software gebruikt en geen back-up maakt"
Nou dat Windows is wel waarschijnlijk, en die backup wordt tegenwoordig echt wel gemaakt als antwoord op een ransomware aanval. Zo zijn er meer "anoniem" hierboven die het ook niet snappen.
Een aanvullende maatregel, controleer dagelijks je restore, op het moment dat die niet lukt moet je je zorgen gaan maken.
tegenwoordig vinden ransomware aanvallen steeds professioneler plaats. Globaal stappenplan:
1. verzend miljoenen phishing mails
2. er klikken altijd wel slachtoffers op een link
3. installeer malware, de trojan wordt geinstalleerd.
4. Onderzoek het bedrijf dat je besmet hebt, onderzoek draagkracht, verhandel deze aanval
5. wacht en verschaf je meer toegang, lateraal movement
6. onderzoek de backup en schema en maak deze kapot door encryptie of iets anders
7. wacht tot er geen goede backup meer is afhankelijk van het back-up schema
8. doe de ransomware aanval
dit duurt 3 tot 6 maanden en soms langer, na iedere stap wordt een bepaalde tijd gewacht en is er niets. Afhankelijk van de draagkracht wordt de aanval verder doorgezet. Als je je hier in verdiept ben ik benieuwd hoeveel "slapende" besmettingen nog op de loer liggen tot het moment dat het rendabel wordt om ze te executen....
Er is genoeg te vinden over dit onderwerp
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes
google eens op : emotet trickbot ryuk ransomware
Overigens hebben deze aanvallers bij dit type aanval vaak een professionele helpdesk, dus ontsleutelen werkt vaak wel.
Door Anoniem:
Wat me opvalt is dat de meeste mensen maar wat roepen en zich helemaal niet verdiepen in hoe professionele ransomware aanvallers tegenwoordig te werk gaan. Neem nou het gebazel hierboven: "we kunnen aannemen dat het ziekenhuis windows software gebruikt en geen back-up maakt"
Nou dat Windows is wel waarschijnlijk, en die backup wordt tegenwoordig echt wel gemaakt als antwoord op een ransomware aanval. Zo zijn er meer "anoniem" hierboven die het ook niet snappen.
Een aanvullende maatregel, controleer dagelijks je restore, op het moment dat die niet lukt moet je je zorgen gaan maken.
tegenwoordig vinden ransomware aanvallen steeds professioneler plaats. Globaal stappenplan:
1. verzend miljoenen phishing mails
2. er klikken altijd wel slachtoffers op een link
3. installeer malware, de trojan wordt geinstalleerd.
4. Onderzoek het bedrijf dat je besmet hebt, onderzoek draagkracht, verhandel deze aanval
5. wacht en verschaf je meer toegang, lateraal movement
6. onderzoek de backup en schema en maak deze kapot door encryptie of iets anders
7. wacht tot er geen goede backup meer is afhankelijk van het back-up schema
8. doe de ransomware aanval
dit duurt 3 tot 6 maanden en soms langer, na iedere stap wordt een bepaalde tijd gewacht en is er niets. Afhankelijk van de draagkracht wordt de aanval verder doorgezet. Als je je hier in verdiept ben ik benieuwd hoeveel "slapende" besmettingen nog op de loer liggen tot het moment dat het rendabel wordt om ze te executen....
Er is genoeg te vinden over dit onderwerp
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes
google eens op : emotet trickbot ryuk ransomware
Overigens hebben deze aanvallers bij dit type aanval vaak een professionele helpdesk, dus ontsleutelen werkt vaak wel.
Door Anoniem: "Verdere details over het soort ransomware en hoe de infectie zich kon voordoen zijn niet bekendgemaakt."
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Kwalijk, zo komen we niet verder in IT land.
- Wat we kunnen aannemen is dat het ziekenhuis Windows-software gebruikt, en er geen (recente) backup is gemaakt.
- Wat we niet weten is of de afpersers gebruik hebben gemaakt van een zeroday, of van een bekende vulnerability, en zo ja of Microsoft daarvoor al een patch heeft uitgebracht.
Misschien is een positief effect dat de verzekering de schade dekt, en dat zij hopelijk de deelnemers gaat verplichten de bekende maatregelen te nemen: updaten en backuppen, netwerken segmenteren etc.
Wat me opvalt is dat de meeste mensen maar wat roepen en zich helemaal niet verdiepen in hoe professionele ransomware aanvallers tegenwoordig te werk gaan. Neem nou het gebazel hierboven: "we kunnen aannemen dat het ziekenhuis windows software gebruikt en geen back-up maakt"
Nou dat Windows is wel waarschijnlijk, en die backup wordt tegenwoordig echt wel gemaakt als antwoord op een ransomware aanval. Zo zijn er meer "anoniem" hierboven die het ook niet snappen.
Een aanvullende maatregel, controleer dagelijks je restore, op het moment dat die niet lukt moet je je zorgen gaan maken.
tegenwoordig vinden ransomware aanvallen steeds professioneler plaats. Globaal stappenplan:
1. verzend miljoenen phishing mails
2. er klikken altijd wel slachtoffers op een link
3. installeer malware, de trojan wordt geinstalleerd.
4. Onderzoek het bedrijf dat je besmet hebt, onderzoek draagkracht, verhandel deze aanval
5. wacht en verschaf je meer toegang, lateraal movement
6. onderzoek de backup en schema en maak deze kapot door encryptie of iets anders
7. wacht tot er geen goede backup meer is afhankelijk van het back-up schema
8. doe de ransomware aanval
dit duurt 3 tot 6 maanden en soms langer, na iedere stap wordt een bepaalde tijd gewacht en is er niets. Afhankelijk van de draagkracht wordt de aanval verder doorgezet. Als je je hier in verdiept ben ik benieuwd hoeveel "slapende" besmettingen nog op de loer liggen tot het moment dat het rendabel wordt om ze te executen....
Er is genoeg te vinden over dit onderwerp
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes
google eens op : emotet trickbot ryuk ransomware
Overigens hebben deze aanvallers bij dit type aanval vaak een professionele helpdesk, dus ontsleutelen werkt vaak wel.
Google op TrickBot:
https://www.pcrisk.com/removal-guides/12512-trickbot-virus
... "This malware should be eliminated immediately, however, TrickBot is notorious for hiding itself - on initial inspection, it is virtually impossible to determine if this malware is present. It's detection avoiding capabilities have increased significantly. Besides, it is capable of disabling Windows Defender. Fortunately, most legitimate anti-virus suites are capable of detecting and removing TrickBot. If you have recently downloaded/opened suspicious email attachments or used third party Adobe Flash Player update tools, you should immediately use a reputable anti-virus software to scan the entire system and eliminate all listed threats ..."
Dus je hebt Windows Defender, en "reputable anti-virus software" ....
Door Anoniem:
Sinds kort weten we beter: dankzij dit soort ziekenhuizen wordt misdaad dus lonend en wordt het bestaan van misdadigers mogelijk gemaakt door de slachtoffers die de geldbuidel voor ze opentrekken.
Echt geweldig dit.
Ziekenhuisketen VS betaalt ransomware voor ontsleutelen patiëntdata.
Leerden we niet dat misdaad niet loont?Sinds kort weten we beter: dankzij dit soort ziekenhuizen wordt misdaad dus lonend en wordt het bestaan van misdadigers mogelijk gemaakt door de slachtoffers die de geldbuidel voor ze opentrekken.
Echt geweldig dit.
'k Vind het aantal eerder verontrustend naar hun IT security toe... elke week of soms zelfs meerdere keren per week komt voorbij dat een ziekenhuis in the VS slachtoffer geworden is...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
