image

FBI: groot aantal ziekenhuizen besmet met malware

dinsdag 31 maart 2020, 11:43 door Redactie, 7 reacties

Een groot aantal ziekenhuizen wereldwijd is met malware besmet geraakt, zo stelt de FBI. De Amerikaanse opsporingsdienst verstuurde een "Private Industry Notification" waarin het zorgaanbieders en andere organisaties waarschuwt voor aanvallen met de Kwampirs-malware (pdf).

Kwampirs is een Remote Access Trojan (RAT) waarmee aanvallers op afstand volledige controle over het systeem hebben. Met name de aanvallen tegen zorginstellingen zouden zeer succesvol zijn geweest, aldus de FBI. Het gaat dan zowel om grote transnationale gezondheidszorgbedrijven als lokale ziekenhuizen. Volgens de opsporingsdienst hebben de aanvallers via software supply chains en hardwareproducten toegang tot "een groot aantal ziekenhuizen wereldwijd" gekregen.

Het gaat onder andere om gecompromitteerde softwareleveranciers die producten leveren voor het beheren van industriële controlesystemen (ICS) in ziekenhuizen. Specifieke namen worden niet door de FBI genoemd. Wel geeft de opsporingsdienst verschillende kenmerken van getroffen leveranciers. Het gaat onder andere om aanbieders van ICS-beheeroplossingen, Enterprise Resource Planning (ERP), scansystemen en software in het algemeen.

Aanvallers kunnen via de softwareleverancier de omgeving van het ziekenhuis infecteren, bijvoorbeeld wanneer er een besmet apparaat wordt geïnstalleerd. Tijdens fusies en overnames kunnen de aanvallers via een infectie bij het ene bedrijf het andere netwerk binnendringen zodra dat is gekoppeld. Ook waarschuwt de FBI voor softwareontwikkelaars die middelen delen, waardoor de malware zich kan verspreiden.

De FBI stelt verder dat aanbieders van netwerkscanners en -kopieerapparaten, met domeintoegang tot klantennetwerken, zijn aangevallen. De aanvallers proberen bij deze partijen binnen te dringen en daarvandaan toegang tot de netwerken van klanten te krijgen, waaronder gebruikte cloudoplossingen. Zodra de aanvallers toegang tot een netwerk hebben wordt er aanvullende malware geïnstalleerd.

Aanbevelingen

De FBI doet ook verschillende aanbevelingen in het geval er een infectie is vastgesteld, zoals het opslaan van netwerkverkeer, het vaststellen van 'patient zero', het onderzoeken van verschillende logbestanden en het maken van volledige images van getroffen systemen. Naast de aanbevelingen heeft de FBI ook indicators of compromise (IOCs) en YARA-regels vrijgegeven waarmee organisaties de malware in hun omgeving kunnen opsporen, zo meldt het Internet Storm Center (pdf).

Image

Reacties (7)
31-03-2020, 11:57 door Anoniem
Wel opvallend veel persberichtenactiviteit uit met name de landen waar eigen economie boven mensenlevens gaat. Het ruikt net zo naar propaganda als de RIVM grafieken, die op zich wel kloppen (want er staat een sterretje bij en een toelichting) maar ook voor de snelle lezer een blijkbaar bedoeld verkeerd beeld scheppen.

Het kan mogelijk de aandacht afleiden van waar echte security over hoort te gaan. Het nobele vak van trachten zo goed mogelijk te beschermen.
31-03-2020, 12:00 door Anoniem
Maar je, het moet zo nodig allemaal online en digitaal. Wat dat was de toekomst.
31-03-2020, 12:04 door Anoniem
Het wordt tijd dat deze hele ziekgemaakte maatschappij op de fles gaat, en alle voortekenen wijzen erop, dat dat aan het gebeuren is. Hopelijk ontstaat er dan ooit een samenleving waarin macht en geld geen hoofdrol spelen. Maar gezien de menselijke geest zal dat wel utopie zijn.
31-03-2020, 12:21 door [Account Verwijderd]
Door Anoniem: Het wordt tijd dat deze hele ziekgemaakte maatschappij op de fles gaat, en alle voortekenen wijzen erop, dat dat aan het gebeuren is. Hopelijk ontstaat er dan ooit een samenleving waarin macht en geld geen hoofdrol spelen. Maar gezien de menselijke geest zal dat wel utopie zijn.
Kan jij een aantal voortekenen laten zien? Ik zie ze nog niet, maar goed, ik leef dan ook in een speciale bubbel.
31-03-2020, 13:17 door Anoniem
"Kwampirs is een Remote Access Trojan (RAT) waarmee aanvallers op afstand volledige controle over het systeem hebben."

en

"De FBI stelt verder dat aanbieders van netwerkscanners en -kopieerapparaten, met domeintoegang tot klantennetwerken, zijn aangevallen."

met

https://malpedia.caad.fkie.fraunhofer.de/details/win.kwampirs
https://attack.mitre.org/software/S0236/


mag ik hieruit concluderen dat dit een probleem is op voornamelijk MS systemen?
31-03-2020, 13:58 door Anoniem
Uit het document blijkt dat AV (antivirus) een rol speelt bij detectie. Kwampir kan dus AV niet uitschakelen, zoals Clop dit wel kan? En waarom kan de AV een herkend Kwampir niet direct uitschakelen? Opslaan in een Vault?

Post AV -Possible Residual Artifacts Created by the Kwampirs RAT, Found in: %SystemRoot%/inf/
mtmndkb32.pnf
digirps.pnf
mkdiawb3.pnf
ie11.pnf

Hier wordt duidelijk vermeld: "post AV" ... waarom wordt geen "detect and destroy" toegepast?
Waarom staat het OS toe dat system-files worden aangepast door de malware?

Another method of identifying historical artifacts associated with a previous Kwampirs RAT intrusion, post AV remediation, is to examine System 7045 Events, with a service name of WMI Performance Adapter Extension.This is actually a legitimate Windows service and the location should be C:\Windows\System32\wbem\WmiApSrv.exe for Windows 10, 8, 7, XP, and Windows Server OS. Eliminating the legitimate services would identify remaining services that are Kwampirs. This can be confirmed by correlating with AV logs or, if still present, scanning the binary with AV.

Ook hier "post AV remediation", waarom mag het AV alleen logs produceren?? Search and destroy. Dat was ooit de naam van een AV software.

Employ regular updates to applications and the host operating system to ensure protection against known vulnerabilities

Open deur: "employ regular updates" ... maar welke Microsoft update is hier van toepassing?
Even op Startpage.com invullen: "Microsoft update Kwampir"

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Kwampirs.A&ThreatID=-2147270842
Published Jun 28, 2015 | Updated May 02, 2018 (!!).

Deze update wordt niet in het artikel door de FBI gemeld. Als je deze Windows Defender updates niet hebt uitgerold, die inderdaad "search and destroy" mogelijk maken, blijf je kwetsbaar voor een inmiddels oeroud probleem .... en zal je ook kwetsbaar blijken te zijn voor heel veel andere malware zoals Clop (bekend van Maastricht).

Je kan in deze hectische Corona-virus crisis als ziekenhuismedewerker (m/v) een Windows-virus crisis er toch niet bij gebruiken. Criminelen zijn gewetenloos, maar system admins zouden nu beter moeten weten, en er naar handelen.

De antistof (Windows update) is gratis beschikbaar ... niet toedienen is misdadig.
03-04-2020, 21:29 door Anoniem
Als je ziet hoe slecht het onderhoud van beveiligingslekken op copiers is - dan kan ik alleen maar bevestigen dat wat het FBI schrijft daaromtrend klopt als een bus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.