Malware besmet ICT-systemen van zes Londense ziekenhuizen. Een waarschuwing

Trojaans paard

Op vrijdag de dertiende januari 2017 zorgde de aanwezigheid van malware ervoor dat in zes zieken huizen van de Barts Health Trust een deel van de ICT-systemen tijdelijk losgekoppeld dan wel uitgeschakeld moest worden. Eerst dacht men aan ransomware, waarbij “losgeld” betaald moet worden om bestanden weer te kunnen gebruiken. Het bleek echter malware te zijn van het type Trojaans paard. Het lukte om diezelfde dag het probleem te beheersen, de malware te verwijderen en de systemen weer allemaal te laten draaien. De malware is waarschijnlijk binnengekomen via email, want de IT-directeur liet het personeel weten uiterst zorgvuldig om te gaan met email-attachments. Uit een krantenbericht bleek dat enkele duizenden bestanden besmet waren die op computers met het door Microsoft al enige tijd uitgefaseerde operating system Windows XP stonden.

Ernst

De Barts Health Trust beslaat zes ziekenhuizen: Mile End Hospital, Newham University Hospital, The Royal London Hospital, St Bartholomew’s Hospital, The London Chest Hospital, and Whipps Cross University Hospital. De maatregelen die men nam, waren het uitzetten van diverse systemen en het verbreken van de verbindingen tussen meerdere systemen, waarna eliminatie van de boosdoener volgde. Volgens The Guardian heeft de directie kenbaar gemaakt dat voornamelijk “corporate data” gecompromitteerd waren en niet zozeer patiëntendossiers. In welke mate die dossiers aangedaan waren wilde men niet zeggen.

Trojan

Vrij snel gaf de Barts Health Trust aan dat er geen sprake was van  ransomware. Daarbij versleutelt het binnengedrongen virus bestanden, hard discs of systemen. Daarna chanteert men de data-eigenaar met de eis geld te betalen om de bestanden te doen deblokkeren. Inmiddels blijkt dat ondanks betaling, vaak geëist in bitcoins, nogal eens de blokkering niet ongedaan gemaakt. Er bleek echter sprake van malware van het type “Trojaans paard”. Daardoor wordt een computer of een heel systeem opengezet voor malafide gebruikers. Dat kan variëren van het pesten van gebruikers door de systemen anders te laten werken dan geïnstrueerd tot het gericht data onttrekken uit besmette  systemen. Qua consequenties is dat net zo ernstig als ransomware.

Kwetsbaarheid

Aangezien de directie in haar persbericht erop hamert dat niet lichtzinnig attachments aan emails geopend moeten worden zal dat de besmettingswijze waarschijnlijk zijn geweest. Zeer wel mogelijk is dat er sprake is van “spear phishing”, waarbij zeer gericht met kennis van iemands functie en/of interesse iemand in de organisatie via email benaderd is met een vertrouwenwekkende email. Zeer zorgwekkend is dat in de betreffende ziekenhuizen nog steeds computers draaien op het verouderde Windows XP als operating system, waarvoor de ondersteuning met onder andere beveiligingsupdates op 8 april 2014 stopte. Dergelijk systemen zijn extreem kwetsbaar.

Nederland

Wat in Londen gebeurde kan evengoed in Nederland ook gebeuren en heeft mogelijk al een keer hier plaatsgevonden. Er zijn diverse ziekenhuizen die al wel eens één of meerdere dagen dan wel een dagdeel geen werkend ICT-systeem gehad hebben. Eigenlijk nooit wordt de aard van de verstoring bekend gemaakt. Ook in Nederland zijn er nog deelsystemen die op Windows XP draaien. Women in CyberSecurity vroeg er in november 2016 in een artikel in het dagblad Trouw in een artikel van journaliste Kristel van Teeffelen ook aandacht voor.

Het is gewoon een kwestie van wachten tot wat in Londen vorige week gebeurde, ook in Nederland voor de buitenwacht zichtbaar gebeurt.

W.J. Jongejan