image

BlackCat: 35TB aan data van medische groothandel Henry Schein gestolen

maandag 6 november 2023, 15:43 door Redactie, 7 reacties

De ransomwaregroepering BlackCat (ALPHV) claimt verantwoordelijk te zijn voor een recente cyberaanval op de medische groothandel Henry Schein. De aanvallers beweren terabytes (TB) aan data te hebben buitgemaakt, waaronder salarisinformatie en gegevens gerelateerd aan aandeelhouders.

Henry Schein maakte medio oktober al bekend getroffen te zijn door een cyberaanval. Het bedrijf is naar eigen zeggen de grootste groothandel gericht op gezondheidszorg wereldwijd. Het levert producten variërend van medische instrumenten en geneesmiddelen tot verzorgingsproducten en diervoeders.

Bedrijfsvoering verstoord

Nadat de aanval werd ontdekt zijn uit voorzorg diverse systemen door Henry Schein offline gehaald. Dit leidde ook tot een verstoring van de bedrijfsvoering van de groothandel. De problemen hielden langere tijd aan; een week na de aanval riep Henry Schein klanten op via een vertegenwoordiger of telefoon bestellingen te plaatsen.

Nu is Henry Schein toegevoegd aan de website van BlackCat op het darkweb, meldt Bleeping Computer. De ransomwaregroepering stelt in totaal 35 terabyte aan data van Henry Schein in handen te hebben. Ook claimt de groepering met Henry Schein te hebben onderhandeld, maar dat deze onderhandelingen zijn vastgelopen. BlackCat stelt de systemen van Henry Schein daarom opnieuw te hebben versleuteld toen het herstel van deze systemen bijna was afgerond.

Reacties (7)
06-11-2023, 16:06 door Anoniem
Zo zie je maar gooi je analoge standalone fax niet weg als huisarts, appotheek en groothandel. Dan heb je een snelle backup.
06-11-2023, 16:45 door Anoniem
Door Anoniem: Zo zie je maar gooi je analoge standalone fax niet weg als huisarts, appotheek en groothandel. Dan heb je een snelle backup.
Welnee joh. Weg met die meuk! Digitaal, in een centraal databeest. Dat is de toekomst. Althans... Volgens onze overheid dan he. Want overheid en IT. What could possibly go wrong?
06-11-2023, 19:17 door Anoniem
Dat zijn wel veel bytes voor enkel personeel en aandeelhouders. Zeker weten dat er geen gegevens van patiënten en/of artsen bij zaten?
06-11-2023, 22:39 door Anoniem
Door Anoniem: Dat zijn wel veel bytes voor enkel personeel en aandeelhouders. Zeker weten dat er geen gegevens van patiënten en/of artsen bij zaten?
Waarom zou een groothandel patiëntengegevens moeten hebben?
07-11-2023, 09:05 door Anoniem
> BlackCat stelt de systemen van Henry Schein daarom opnieuw te hebben versleuteld toen het herstel van deze systemen bijna was afgerond.

Hoe dan? Ik mag hopen dat restore niet online gebeurd. En anders dat de key uit memory wordt uitgelezen. En liefst een image van de belangrijke schijven hebt. Dan kun je het daarna los decrypten.
Zou wel een manier zijn om niet te betalen al zal de ransomware groep dan als wraak wel je data online slingeren. Inkoop/verkoop prijs etc kan wel pijnlijk zijn als dat op straat ligt maar dan heb je in ieder geval niet betaald.
07-11-2023, 09:06 door Anoniem
Door Anoniem: Dat zijn wel veel bytes voor enkel personeel en aandeelhouders. Zeker weten dat er geen gegevens van patiënten en/of artsen bij zaten?
Het toverwoord in het artikel is "waaronder". Er staat niet "uitsluitend". Wat er dan nog meer is buitgemaakt kan van alles zijn: de voorraadadministratie, PDFs met specificaties en gebruiksaanwijzingen van producten, marketingmaterialen, interne documenten en presentaties, backups, het kan van alles zijn. Dat kan heel makkelijk veel omvangrijker zijn dan alleen de genoemde gegevens. Bij een groothandel voor fysieke artikelen verwacht ik geen patiëntgegevens en gegevens van artsen hooguit in de hoedanigheid van klanten die die artikelen kopen.

Sinds vier, vijf jaar leveren ze via een joint venture en een overname (respectievelijk met en van softwarebedrijven) ook cloud-gebaseerde praktijksoftware ("Henry Schein One"). Daar zullen gevoelige arts- en patiëntgegevens in zitten, maar het ligt niet voor de hand om die systemen te integreren met systemen waarin het eigen personeel en aandeelhouders van de groothandel worden bijgehouden. Een joint venture is een aparte organisatie met een eigen administratie, en de cloudsystemen voor klanten in de medische wereld zijn weer gescheiden daarvan als ze geen totaal onlogische dingen doen. Als daar het lek in had gezeten hadden we een ander nieuwsbericht gehad.
07-11-2023, 10:53 door Anoniem
Door Anoniem: > BlackCat stelt de systemen van Henry Schein daarom opnieuw te hebben versleuteld toen het herstel van deze systemen bijna was afgerond.

Hoe dan? Ik mag hopen dat restore niet online gebeurd. En anders dat de key uit memory wordt uitgelezen. En liefst een image van de belangrijke schijven hebt. Dan kun je het daarna los decrypten.
Er hoeft maar ergens in dat reusachtige geheel van alle betrokken systemen en data iets achter te zijn gebleven dat de besmetting opnieuw kan introduceren of activeren en daar ga je. Wie weet is er ergens een afbeelding die via een onbekende en dus ongepatchte buffer overflow in een grafische library code van de aanvaller kan uitvoeren. Wie weet is er ergens een router met gecompromitteerde firmware actief gebleven. Wie weet is er nog ergens een besmetting op een laptop van een werknemer achtergebleven. Of alleen maar ergens op een USB-stick.

Degenen die de systemen herstellen moeten zien te zorgen dat er in een enorme hooiberg geen enkele speld achterblijft, terwijl onbekend is waaraan je die spelden kan herkennen. De aanvaller kan genoeg hebben aan een enkele achtergebleven speld om de ellende opnieuw te laten beginnen. Het is veel makkelijker om een heel scala aan verschillende soorten spelden achter te laten dan om ze allemaal op te sporen. Petje af voor degenen die er wel in slagen na een ransomware-aanval de systemen weer helemaal schoon te krijgen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.