Print 🖨 PDF 📄 eBook 📱

Conti-ransomware zorgt voor ernstige disruptie van Ierse zorg-ICT  

Conti-ransomwareOp diverse media verscheen afgelopen vrijdag 14 mei 2021 het bericht dat hackers de Ierse Health Service Executive(HSE) aangevallen hadden. De HSE is de publiek gefinancierde, nationale, gezondheidszorgorganisatie aldaar.  Als gevolg daarvan ondervinden patiënten in heel Ierland forse hinder daarvan. Deze varieert van het niet kunnen ondergaan van bestralingstherapie, het beperkt zijn van radiologie-onderzoek en het afzeggen van polikliniek-afspraken. Zowel centraal als decentraal heeft men systemen afgesloten. De ransomware die het veroorzaakt blijkt volgens berichtgeving van het Conti-type te zijn. De hackersgroep die hiermee aanvallen uitvoert heet de Wizard Spider group. Deze in Rusland gevestigde eCrime-groep begon in 2016 met het inzetten van het Trickbot-virus om financiële instellingen aan te vallen. Later kregen ze de beschikking over een krachtiger en gevarieerde arsenaal aan virussen, waaronder Ryuk, BazarLoader en nu dus Conti.

Mate van disruptie

De verstoring van de activiteiten bij de HSE centraal, maar zeker decentraal is aanzienlijk. Op deze link is voor verschillende activiteiten, maar ook per aangesloten ziekenhuis te zien welke diensten wel of niet uitvielen. Voor bestraling van patiënten verwijst de HSE nu patiënten naar private zorgvoorzieningen. De HSE heeft er nog geen zicht op wanneer ze de ICT-voorzieningen integraal hersteld heeft. Een geluk bij een ongeluk is dat de software voor de COVID-testen, -vaccinaties etc. op een heel ander systeem draait. Dat is nu niet aangedaan

Wizard Spider group

Waar andere hackergroepen ransomware toepassen, data versleutelen en op losgeld wachten, blijkt de Wizard Spider group daarnaast gekaapte bestanden te publiceren. In The Irish Times zegt de Minister of State for Communications Ossian Smyth heden(17 mei) dat publicatie door de hackers van patiëntbestanden heel wel mogelijk is. Blijkbaar betreft de hack dus ook zorgdata van patiënten. De minister haast zich evenwel te zeggen dat de HSE centraal niet veel zorgdata vastlegt, maar wel de administratieve gegevens over patiënten. Heel erg geruststellend klinkt dat niet.

Conti-ransomware

De malware van dit type is al bekend maar kent verschillende vormen. Het cybersecurity bedrijf VMware beschreef het in juli 2020 als een nieuwe familie van ransomware. In deze publicatie beschrijft de auteur de modus operandi van de malware. Op andere sites is ook informatie te vinden hoe de aanvallers te werk gaan met Conti-ransomware. Zeer problematisch is dat de software encryptie van gekaapte bestanden razendsnel uitvoert. Het gebruikt namelijk een groot aantal onafhankelijke “treads” om versleuteling uit te voeren. Daardoor kunnen tot 32 gelijktijdige encryptie-pogingen tegelijk uitgevoerd worden. Veel sneller dan andere ransomware. Hoe een Conti-ransomware aanval eruit ziet en kunt u hier lezen. Het berust op een casus waarin Britse bedrijf Sophos kon namelijk een aanval onschadelijk maken.

APT

Heel vaak, en ook nu in Ierland is er sprake van een aanval die al veel eerder is ingezet. Daarbij zorgen de hackers ervoor dat zij backup-bestanden gedurende meerdere maanden aantasten. Evenals de mogelijkheden om die back-ups terug te zetten. In dergelijke gevallen spreek men van een Advanced Persistent Thread, een APT. Ik schreef over zo’n APT bij een hack van zorgdata uit Singapore in 2019 op deze website. Een traag herstel van de activiteiten bij HSE in Ierland wijst trouwens ook in de richting van een APT.

Waarschuwing

De laatste maanden wordt steeds duidelijker dat hackers geen enkele remming hebben om zorginstellingen aan te vallen. Over de hele wereld zijn inmiddels voorbeelden overvloedig voorhanden. Nederlandse zorgICT vormt geen uitzondering als het gaat om potentiële doelwitten.

Het blijft daarom van groot belang ziekenhuisbesturen, maar ook de mensen op de werkvloer doordrongen zijn van de juiste cyber-hygiëne.

Het is niet de vraag òf maar wanneer een uitgebreide malware-aanval op een ziekenhuis of een zorgICT-infrastructuur plaats vindt.

W.J. Jongejan, 18 mei 2021

Afbeelding van Mohamed Hassan via Pixabay