De grootschalige ransomware-aanval waar de Ierse gezondheidzorg in mei van dit jaar mee te maken kreeg, en ervoor zorgde dat duizenden servers en werkstations werden versleuteld en de autoriteiten uit voorzorg alle systemen uitschakelden, begon met een medewerker die een malafide e-mailbijlage opende. Dat blijkt uit onderzoek van PwC (pdf).
De medewerker van de Health Service Executive (HSE) opende op 18 maart van dit jaar een Excel-bestand dat via e-mail naar hem was gestuurd. Details of het document een kwetsbaarheid of malafide macro's bevatte zijn niet gegeven. Vijf dagen na de initiële infectie zorgde de aanvaller ervoor dat hij ook bij een reboot of het uitschakelen van het besmette systeem toegang tot de HSE-omgeving zou behouden. Op 31 detecteerde de antivirussoftware van de gezondheidszorg op het besmette werkstation het gebruik van Cobalt Strike en Mimikatz. Twee tools die vaak bij ransomware-aanvallen worden ingezet.
De antivirussoftware stond alleen in de monitormode, waardoor de uitgevoerde commando's niet werden geblokkeerd. Tussen 1 april en 6 mei was er vervolgens weinig activiteit van de aanvaller, aldus de onderzoekers naar het incident. Op 7 mei infecteerde de aanvaller verdere systemen binnen de HSE en drie dagen later werden systemen van twee ziekenhuizen aangevallen. De gebruikte antivirussoftware detecteerde de aanwezigheid van Cobalt Strike, maar kon de malafide bestanden niet in quarantaine plaatsen.
De daaropvolgende dagen werden systemen van meer ziekenhuizen geïnfecteerd. Op 14 mei werd de ransomware in zes Ierse ziekenhuizen en de HSE zelf uitgerold. Volgens de onderzoekers wist de aanvaller 180 systemen en beheerdersaccounts van acht organisaties en negentien domeinen te compromitteren en werden 2800 servers en 3500 werkstations versleuteld. Het werkelijke aantal ligt waarschijnlijk hoger, omdat sommige systemen al waren hersteld voordat het onderzoek plaatsvond.
Volgens de onderzoekers was er een gebrek aan structuren en processen om met het incident om te gaan. Zo was er geen hoofdverantwoordelijke binnen de HSE voor cybersecurity, was er bekend dat bepaalde accounts teveel rechten hadden, was er te weinig cybersecuritypersoneel, was er geen effectieve securitymonitoring, werd er teveel op de antivirussoftware vertrouwd en was er geen gedocumenteerd incident response plan. De HSE zegt dat het naar aanleiding van het rapport maatregelen neemt om de veiligheid te verbeteren. In juni liet de directeur van de HSE weten dat de aanval de Ierse gezondheidszorg al 100 miljoen euro had gekost.
Deze posting is gelocked. Reageren is niet meer mogelijk.