image

Veenendaalse zorggroep Charim getroffen door ransomware-aanval

dinsdag 21 september 2021, 11:52 door Redactie, 11 reacties

Zorggroep Charim in Veenendaal is vorige week getroffen door een ransomware-aanval waarbij allerlei bestanden werden versleuteld. Het onderzoek naar de aanval gaat vermoedelijk nog weken duren, zo laat een woordvoerder tegenover RTV Utrecht weten. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Wel laat de zorginstelling weten dat de zorg voor patiënten niet in gevaar is geweest.

Op dit moment kijkt de zorginstelling hoe groot de schade is. "Er wordt gekeken welke bestanden geïnfecteerd zijn en hoe je die vervolgens weer schoon kan krijgen. Er zijn verschillende harde schijven, dus in feite is ieder computerbestand dat opengemaakt wordt, een risico", zegt woordvoerder Rufo Petri van Charim.

De zorginstelling stelt over back-ups te beschikken waarmee de bestanden zijn te herstellen. Er is geen losgeld aan de aanvallers betaald. "Heel vervelend dat zoiets gebeurt. Er wordt met man en macht gewerkt om alles weer in orde te kregen. We moeten zeker weten dat omgeving schoon is, anders gaat zo'n virus weer verder", laat Petri verder weten.

Charim telt vijftien locaties in de regio's Veenendaal en Zeist. Er werken zo'n zeventienhonderd medewerkers en duizend vrijwilligers die zorg aan ruim twaalfhonderd cliënten bieden.

Reacties (11)
21-09-2021, 13:14 door Anoniem
Hopelijk heeft Charim de kosten van deze hersteloperatie ingecalculeerd bij de TCO total cost of ownership van hun OS.

Hoe de aanval kon plaatsvinden is niet bekendgemaakt.
Nou, daar schieten we weer niets mee op. Lekker iedereen voor zichzelf
Laat mij dan eens raden: heeft het iets met Windows te maken??

Tussenstand Charim tegen Ransomwarecriminelen is 4-0:
1. penetration
2. rights elevation
3. lateral movement
4. encryption

Hopelijk wordt het niet alsnog 5-0:
5. backup encryption.

De Universiteit Maastricht is zo langzamerhand de enige instelling die openheid van zaken heeft gegeven na een ransomware aanval. Daar kunnen zij niet genoeg voor geprezen worden.
Maar de "lessons learnt" van de Universiteit Maastricht zijn kennelijk nog niet door iedereen gelezen, laat staan begrepen en geimplementeerd.
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht

Het NCSC (nationaal cyber security centrum) heeft een factsheet gepubliceerd:
https://www.ncsc.nl/documenten/factsheets/2020/juni/30/factsheet-ransomware

Deze factsheet met aanbevelingen is vermeld in onderstaande discussies:
https://www.security.nl/posting/720339/Verzekeraar+ziet+claims+door+ransomware-aanvallen+sterk+toenemen
https://www.security.nl/posting/720365/Cyberriskverzekeringen+in+het+onderwijs
Maar heeft (te) weinig publiciteit gekregen.

Wat ieder (onderwijs)instelling nu vandaag nog kan doen is heel simpel: zorg voor een goede backup:
https://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2020/juni/30/factsheet-ransomware/71059_NCSC_FS+Ransomeware+NL_WEB.pdf
Pagina 6 van 8:
"Pas de 3-2-1 regel toe: zorg dat je minstens drie verschillende kopieën van je data en applicaties hebt. Deze back-ups moeten minimaal twee verschillende dragers hebben. Zorg dat er één drager op een andere locatie is. De 3-2-1-1 regel stelt daarnaast dat één van deze back-ups een offline kopie moet zijn."
"Het is een risico om de back-up op dezelfde technologie te laten berusten als de operationele infrastructuur. Overweeg om de back-up infrastructuur in een eigen omgeving te laten werken (waardoor lateral movement wordt beperkt) en overweeg om geheel andere technologie te gebruiken. Denk hierbij aan het gebruik van Linux-gebaseerde oplossingen voor de back-up van een Windows-systeem."
Voor een backup op een Linux-systeem is niet meer voor nodig dan een (oude) laptop of PC, voldoende schijfruimte, en een beheerder met een beetje Linux-kennis. In de onderwijswereld lopen genoeg leraren rond met bijvoorbeeld RaspberryPi ervaring. Tegen minimale kosten een maximaal resultaat.

De overige punten uit de factsheet zijn misschien iets minder makkelijk te implementeren, maar 2FA (two-factor-authorisation) is ook niet heel omvangrijk.

Uiteraard is het instellen van een SIEM (security information and event management) een dure oplossing. Dat is niet van vandaag op morgen geregeld, maar een SIEM mag op de begroting nu niet meer ontbreken.
21-09-2021, 13:20 door Anoniem
Zeer spijtig. Komen de verzorgingsdossiers van mijn vader en moeder nu ook op straat te liggen?
21-09-2021, 14:34 door Bitje-scheef
Door Anoniem: Zeer spijtig. Komen de verzorgingsdossiers van mijn vader en moeder nu ook op straat te liggen?


Hoeft niet, maar de mogelijkheid is er wel. Dat hangt af van de club die de ransomeware heeft naar binnen geschoten.
21-09-2021, 15:45 door Anoniem
Hopelijk publiceren ze een "lessons learned" zoals destijds bij Maastricht Univerity.
21-09-2021, 16:29 door Anoniem
Door Anoniem: Hopelijk heeft Charim de kosten van deze hersteloperatie ingecalculeerd bij de TCO total cost of ownership van hun OS.

Want als ze een andere OS hadden zou dat anders liggen? Nee, natuurlijk niet. Geen systeem op de wereld is virus/malware vrij. En zelfs het meest voor de hand liggende OS voor in bedrijfsomgevingen is zo te configureren dat het er minder vatbaar voorstaat dan een slecht geconfigureerd random ander OS.
21-09-2021, 16:37 door Anoniem
Door Bitje-scheef:
Door Anoniem: Zeer spijtig. Komen de verzorgingsdossiers van mijn vader en moeder nu ook op straat te liggen?


Hoeft niet, maar de mogelijkheid is er wel. Dat hangt af van de club die de ransomeware heeft naar binnen geschoten.

en of er wel of niet betaald gaat worden!
21-09-2021, 18:24 door karma4 - Bijgewerkt: 21-09-2021, 18:24
Door Anoniem: .... Voor een backup op een Linux-systeem is niet meer voor nodig dan een (oude) laptop of PC, voldoende schijfruimte, en een beheerder met een beetje Linux-kennis. In de onderwijswereld lopen genoeg leraren rond met bijvoorbeeld RaspberryPi ervaring. Tegen minimale kosten een maximaal resultaat. ...
Lees dat rapport van maastricht eens beter. Ze hadden een NAS (ander OS) en gescheiden backups ... dachten ze.
Bleek een papieren belofte te zijn, Het werkte in de praktijk voor de beheerder veel eenvoudiger.

Dit is jouw benadering: https://www.security.nl/posting/721555/Data+106+miljoen+internationale+bezoekers+Thailand+gelekt+via+open+database
21-09-2021, 23:49 door Anoniem
Door karma4:
Door Anoniem: .... Voor een backup op een Linux-systeem is niet meer voor nodig dan een (oude) laptop of PC, voldoende schijfruimte, en een beheerder met een beetje Linux-kennis. In de onderwijswereld lopen genoeg leraren rond met bijvoorbeeld RaspberryPi ervaring. Tegen minimale kosten een maximaal resultaat. ...
Lees dat rapport van maastricht eens beter. Ze hadden een NAS (ander OS) en gescheiden backups ... dachten ze.
Bleek een papieren belofte te zijn, Het werkte in de praktijk voor de beheerder veel eenvoudiger.

Dit is jouw benadering: https://www.security.nl/posting/721555/Data+106+miljoen+internationale+bezoekers+Thailand+gelekt+via+open+database
Lees dat rapport van de ncsc de eens man.
21-09-2021, 23:54 door Anoniem
Door Anoniem:
Door Anoniem: Hopelijk heeft Charim de kosten van deze hersteloperatie ingecalculeerd bij de TCO total cost of ownership van hun OS.

Want als ze een andere OS hadden zou dat anders liggen? Nee, natuurlijk niet. Geen systeem op de wereld is virus/malware vrij. En zelfs het meest voor de hand liggende OS voor in bedrijfsomgevingen is zo te configureren dat het er minder vatbaar voorstaat dan een slecht geconfigureerd random ander OS.
Check de facts. Afgerond 100% windows platform en dat zal nog wel een tijdje zo blijven
22-09-2021, 11:23 door Anoniem
Grappig, ik heb hier ooit een keer gesolliciteerd voor een stage waar ik een opdracht omtrent security awareness wilde uitvoeren. Was niet nodig toen :')
22-09-2021, 11:34 door Anoniem
Door karma4:
Door Anoniem: .... Voor een backup op een Linux-systeem is niet meer voor nodig dan een (oude) laptop of PC, voldoende schijfruimte, en een beheerder met een beetje Linux-kennis. In de onderwijswereld lopen genoeg leraren rond met bijvoorbeeld RaspberryPi ervaring. Tegen minimale kosten een maximaal resultaat. ...
Lees dat rapport van maastricht eens beter. Ze hadden een NAS (ander OS) en gescheiden backups ... dachten ze.
Bleek een papieren belofte te zijn, Het werkte in de praktijk voor de beheerder veel eenvoudiger.

Dit is jouw benadering: https://www.security.nl/posting/721555/Data+106+miljoen+internationale+bezoekers+Thailand+gelekt+via+open+database

"Lees dat rapport eens beter" .... waarom komt mij deze kreet zo bekend voor?
Die kreet werd ook opgeschreven door Karma4 in deze discussie:
https://www.security.nl/posting/718496/ROC+Mondriaan+heeft+nog+weken+last+van+aanval+op+systemen
31-08-2021, 22:16 door karma4
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.

In die discussie is uitgebreid ingegaan op het rapport van FoxIT over de ransomware aanval op de Universiteit Maastricht.
Uit de uitgebreide reacties in die discussie komen de volgende onderbouwde stellingen naar voren:
1. De kroonjuwelen stonden bij de Universiteit Maastricht veilig geparkeerd op Linux-servers:
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht
... "In totaal heeft Fox-IT vijf accounts en 269 Windows systemen geidentificeerd als gecompromitteerd (van in totaal 1.647 servers en 7.307 werkplekken). Naast Windows systemen heeft Opdrachtgever Linux en OS X systemen binnen de infrastructuur welke niet zijn geraakt door de aanval". (paragraaf 4.2 bladzijde 12 van 38)

2. Ook Pim Takkenberg van NorthWave Security legt de vinger op de zere plek:
https://www.security.nl/posting/715255/Securitybedrijven+luiden+noodklok+over+ransomware-incidenten+in+Nederland
05-08-2021, 13:17 door Anoniem
Door Anoniem: extra achtergrond:
https://www.computable.nl/artikel/achtergrond/security/7189156/1444691/onderhandelen-met-cybercriminelen-doe-je-zo.html
saillant daaruit is toch wel dit:
" Vrijwel in alle gevallen dringen de criminelen via Windowssystemen het netwerk binnen. Bedrijven met Unix- of Linux-omgevingen ontspringen de dans. Ook hebben opvallend veel organisaties die slachtoffer zijn van ransomware alle backups online staan. Daardoor kunnen ze deze niet herstellen of offline ophalen en terugzetten, vertelt Takkenberg."
Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.

3. Ook het NCSC (nationaal cyber security centrum) beveelt een backup aan op een Linux-systeem, in de "factsheet-ransomware":
https://www.security.nl/posting/720339/Verzekeringsadviseur+ziet+claims+door+ransomware-aanvallen+sterk+toenemen 14-09-2021, 19:11 door Anoniem
Dat is niet moeilijk. Hier ook geopperd, maar mag niet van hogerhand (standaardisatie microsoft technologie), ondanks aanbeveling van https://www.ncsc.nl/documenten/factsheets/2020/juni/30/factsheet-ransomware
Pagina 6 van 8:
"Pas de 3-2-1 regel toe: zorg dat je minstens drie verschillende kopieën van je data en applicaties hebt. Deze back-ups moeten minimaal twee verschillende dragers hebben. Zorg dat er één drager op een andere locatie is. De 3-2-1-1 regel stelt daarnaast dat één van deze back-ups een offline kopie moet zijn."
"Het is een risico om de back-up op dezelfde technologie te laten berusten als de operationele infrastructuur. Overweeg om de back-up infrastructuur in een eigen omgeving te laten werken (waardoor lateral movement wordt beperkt) en overweeg om geheel andere technologie te gebruiken. Denk hierbij aan het gebruik van Linux-gebaseerde oplossingen voor de back-up van een Windows-systeem.

Karma4 geef nou eens onderbouwd aan met een citaat en paginanummer waar volgens jou iets anders te lezen valt in het rapport van FoxIT over de Clop-ransomware aanval op de Universiteit van Maastricht.

Totdat Karma4 met een geloofwaardige onderbouwing komt en het tegendeel bewijst, blijf ik achter bovenstaande citaten staan van FoxIT, Pim Takkenberg van NorthWave Security en het NCSC.

Windows-beheerders zijn niet gebaat bij obfuscatie van de feiten, wel bij de "lessons learnt" zoals die door de Universiteit Maastricht zijn opgeschreven naar aanleiding van het rapport van FoxIT.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.