Zo zie je maar gooi je analoge standalone fax niet weg als huisarts, appotheek en groothandel. Dan heb je een snelle backup.

Welnee joh. Weg met die meuk! Digitaal, in een centraal databeest. Dat is de toekomst. Althans... Volgens onze overheid dan he. Want overheid en IT. What could possibly go wrong?

Dat zijn wel veel bytes voor enkel personeel en aandeelhouders. Zeker weten dat er geen gegevens van patiënten en/of artsen bij zaten?

Waarom zou een groothandel patiëntengegevens moeten hebben?

> BlackCat stelt de systemen van Henry Schein daarom opnieuw te hebben versleuteld toen het herstel van deze systemen bijna was afgerond.

Hoe dan? Ik mag hopen dat restore niet online gebeurd. En anders dat de key uit memory wordt uitgelezen. En liefst een image van de belangrijke schijven hebt. Dan kun je het daarna los decrypten.
Zou wel een manier zijn om niet te betalen al zal de ransomware groep dan als wraak wel je data online slingeren. Inkoop/verkoop prijs etc kan wel pijnlijk zijn als dat op straat ligt maar dan heb je in ieder geval niet betaald.

Het toverwoord in het artikel is "waaronder". Er staat niet "uitsluitend". Wat er dan nog meer is buitgemaakt kan van alles zijn: de voorraadadministratie, PDFs met specificaties en gebruiksaanwijzingen van producten, marketingmaterialen, interne documenten en presentaties, backups, het kan van alles zijn. Dat kan heel makkelijk veel omvangrijker zijn dan alleen de genoemde gegevens. Bij een groothandel voor fysieke artikelen verwacht ik geen patiëntgegevens en gegevens van artsen hooguit in de hoedanigheid van klanten die die artikelen kopen.

Sinds vier, vijf jaar leveren ze via een joint venture en een overname (respectievelijk met en van softwarebedrijven) ook cloud-gebaseerde praktijksoftware ("Henry Schein One"). Daar zullen gevoelige arts- en patiëntgegevens in zitten, maar het ligt niet voor de hand om die systemen te integreren met systemen waarin het eigen personeel en aandeelhouders van de groothandel worden bijgehouden. Een joint venture is een aparte organisatie met een eigen administratie, en de cloudsystemen voor klanten in de medische wereld zijn weer gescheiden daarvan als ze geen totaal onlogische dingen doen. Als daar het lek in had gezeten hadden we een ander nieuwsbericht gehad.

Er hoeft maar ergens in dat reusachtige geheel van alle betrokken systemen en data iets achter te zijn gebleven dat de besmetting opnieuw kan introduceren of activeren en daar ga je. Wie weet is er ergens een afbeelding die via een onbekende en dus ongepatchte buffer overflow in een grafische library code van de aanvaller kan uitvoeren. Wie weet is er ergens een router met gecompromitteerde firmware actief gebleven. Wie weet is er nog ergens een besmetting op een laptop van een werknemer achtergebleven. Of alleen maar ergens op een USB-stick.

Degenen die de systemen herstellen moeten zien te zorgen dat er in een enorme hooiberg geen enkele speld achterblijft, terwijl onbekend is waaraan je die spelden kan herkennen. De aanvaller kan genoeg hebben aan een enkele achtergebleven speld om de ellende opnieuw te laten beginnen. Het is veel makkelijker om een heel scala aan verschillende soorten spelden achter te laten dan om ze allemaal op te sporen. Petje af voor degenen die er wel in slagen na een ransomware-aanval de systemen weer helemaal schoon te krijgen.