Canadees kinderziekenhuis gebruikt decryptietool ransomwaregroep niet
Het grootste kinderziekenhuis van Canada dat vorige maand door ransomware werd getroffen en vervolgens van de verantwoordelijke ransomwaregroep een decryptietool kreeg voor het ontsleutelen van systemen heeft besloten hier geen gebruik van te maken. Ook is er geen losgeld aan de criminelen betaald. Inmiddels is tachtig procent van de systemen hersteld en is "code grijs" opgeheven.
Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het ging om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. Code grijs staat voor verlies van essentiële diensten.
Door de uitval van systemen kregen patiënten en gezinnen met vertragingen te maken in behandelingen en onderzoeken. Ook duurde het langer voordat artsen onderzoeksresultaten en röntgenfoto's konden ophalen, wat weer voor langere wachttijden voor patiënten kon zorgen. Veel van de inmiddels herstelde systemen zouden volgens het ziekenhuis hebben bijgedragen aan vertragingen bij behandelingen en onderzoeken.
Gratis decryptietool
De aanval werd opgeëist door de groep achter de LockBit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.
De groep liet via de eigen website weten dat de voor de aanval verantwoordelijke partner de "regels" heeft overtreden en uit het partnerprogramma is gezet. De groep heeft daarop een gratis decryptietool beschikbaar gemaakt. Het ziekenhuis liet vervolgens externe experts naar de decryptietool kijken, maar heeft besloten die niet te gebruiken. Een reden voor deze beslissing is niet gegeven.
Wel herhaalt het ziekenhuis dat er geen losgeld aan de groep is betaald en dat inmiddels tachtig procent van de systemen is hersteld. Daarop is besloten om "code grijs" op te heffen. Verder claimt het ziekenhuis dat de impact op de zorgverlening aan patiënten minimaal was. Het digitaal patiëntendossier van het ziekenhuis was niet getroffen, maar wel systemen die daarmee zijn geïntegreerd. Ook was het niet mogelijk om röntgenfoto's te bekijken. Hoe de ransomware-aanval mogelijk was is niet bekendgemaakt.
Vond het ergens wel vreemd dat ze de decodersleutel niet wilde gebruiken, dus even gekeken wat er precies pep0wned was, eigenlijk niets meer dan wat voip telefoonlijnen 'corporate' webpagina's en er was een storing op de rontgenfoto applicatie (die mogelijk niet eens gerelateerd was).
Hardly code grey waardig.
Ah, wat een stuurman aan de wal.
Dus, als jij ergens zit als security officer, en je krijgt een incident met ransomware op deze interne systemen - met koppelingen naar van alles , is jouw advies
"lekker doordraaien, want IK WEET HELEMAAL ZEKER dat het incident niet groter is of gaat worden dan de systemen die nu getroffen zijn" .
Sorry, ik kan je daarin echt niet serieus nemen.
Wanneer je een stevig incident hebt op een aantal systemen waarop dat niet mogelijk had moeten zijn, moet je wel *ontzettend* goed weten dat die zodanig geisoleerd zijn - en je monitoring/detectie zodanig goed zijn - dat het incident niet breder is dan je op dat moment weet om je alert niveau af te schalen .
Dat je die conclusie trekt _nadat_ je rustig en uitgebreid de getroffen systemen , en de andere systemen waarmee ze gekoppeld onderzocht hebt , prima.
Maar dat je in eerste begint met de aanname dat je (ook) niet meer kunt vertrouwen op de integriteit van de overige systemen vind ik vrij logisch . En dan moet de conclusie 'code grey' zijn.
Vond het ergens wel vreemd dat ze de decodersleutel niet wilde gebruiken, dus even gekeken wat er precies pep0wned was, eigenlijk niets meer dan wat voip telefoonlijnen 'corporate' webpagina's en er was een storing op de rontgenfoto applicatie (die mogelijk niet eens gerelateerd was).
Hardly code grey waardig.
Pas nadat je zeker weet dat het incident echt beperkt is tot die systemen is de conclusie "geen code grey" terecht.
#1 je kan niet zomaar systemen gaan uitzetten om ze te beschermen tegen een aanval.
#2 Het gaat erom dat je oproept tot iets wat geverifieerd is.
Code Grey is bedoeld voor grootschalige uitval van vitale systemen, het onnodig uitroepen is net zo schadelijk als code oranje roepen voor een regenbui met 3mm regen.
Na een volgende keer worden mensen nonchalanter...'ach, weer een code oranje, ik ga gewoon op pad hoor... heej een tornado... I can see my house from here''....
Dus ik snap dat je systemen afschaalt en uitzet, om impact te beperken, maar dat is niet gebeurd. Alle systemen zijn gewoon in de lucht gebleven tijdens de malware infest...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
