Ziekenhuizen aanvallen in coronatijd? De criminelen achter de beruchte gijzelsoftware Ryuk hebben daar geen enkele moeite mee. Zelfs voor ransomwarebegrippen is Ryuk zeer gevaarlijk en nietsontziend. Hoe gaat de bende achter Ryuk te werk? En wat kunt u doen om uw organisatie hiertegen te beschermen?
Door de COVID-19-pandemie is het belangrijker dan ooit dat ziekenhuizen operationeel blijven. Een besmetting met ransomware kan een ziekenhuis flink ontregelen en zo in één klap vele levens in gevaar brengen. Daarom nam BleepingComputer in maart van dit jaar contact op met verschillende ransomwarebendes. In een e-mail vroeg de website aan verschillende groepen of ze de gezondheidszorg blijven aanvallen in coronatijd.
Geen vijand van de mensheid
Verrassend genoeg kwamen daar hoopgevende reacties op. Zo antwoordden de criminelen achter de ransomware DoppelPaymer dat zorginstellingen geen doelwit zijn, en dat ze in het geval van een onbedoelde besmetting de bestanden gratis zullen ontsleutelen. Vergelijkbare beloftes kwamen uit de hoek van Maze, Nefilim en Netwalker. Vaak werd zelfs aangegeven dat het afpersen van ziekenhuizen en andere zorginstanties sowieso nooit de bedoeling is.
Ook de bende achter Clop, de ransomware die eind vorig jaar de Universiteit Maastricht op de knieën dwong, liet zich even van zijn goede kant zien. “Wij hebben nog nooit ziekenhuizen, weeshuizen, verpleeghuizen en liefdadigheidsinstellingen aangevallen, en dat zullen we ook nu niet gaan doen”, aldus een verklaring via e-mail. “Wij zijn geen vijanden van de mensheid. Geld is ons doel, niet mensen schade berokkenen.”
Ryuk valt uit de toon
“Hartverwarmend wil ik het niet noemen, want ook deze criminelen hebben de afgelopen jaren al vele slachtoffers gemaakt en miljoenen aan losgeld binnen geharkt”, zegt Sander Peters, Head of Security Research bij KPN Security. “Maar je ziet wel dat er bij deze groepen in ieder geval nog een greintje medemenselijkheid te bespeuren is. Dat kunnen we helaas niet zeggen van de criminelen achter de Ryuk-ransomware. Vanuit hun kant bleef het stil.”
Inmiddels is duidelijk waarom. Eind september werd bekend dat ziekenhuizen van UHS in meerdere Amerikaanse staten getroffen zijn door de Ryuk-ransomware. “Internet en telefonie lagen plat en cruciale IT-systemen waren niet beschikbaar”, vertelt Peters. Daardoor moesten deze ziekenhuizen operaties verplaatsen naar andere ziekenhuizen en ambulances omleiden. Volgens medewerkers hadden de versleutelde bestanden de extensie .ryk, wat op Ryuk duidt.”
Een hoge prijs
Het Head of Security Research benadrukt dat zo’n incident enorme gevolgen kan hebben. “Enkele weken geleden overleed een vrouw nadat het universiteitsziekenhuis van Düsseldorf door een ransomware-aanval geen nieuwe patiënten kon aannemen op de spoedeisende hulp. Ze werd naar een ander ziekenhuis gestuurd en daar kwam de medische hulp te laat. Hier was weliswaar geen sprake van een besmetting met Ryuk-ransomware, en de aanval was gericht op de universiteit waar het ziekenhuis mee samenwerkt.”
Er is nog een belangrijke reden waarom Ryuk gevreesd moet worden: de hoogte van het losgeld. “Ryuk is een schoolvoorbeeld van wat in de securitywereld ‘big game hunting’ wordt genoemd”, legt Peters uit. “De doelwitten zijn grotere, kapitaalkrachtige organisaties. Het losgeld is bij Ryuk gemiddeld tien keer zo hoog als bij andere ransomware. Vaak gaat het om een gefaseerde aanval waarbij de criminelen zich steeds dieper in het netwerk nestelen.”
Gevraagde bedragen Ryuk-ransomware. (bron: https://www.coveware.com/ryuk-ransomware)
Besmetting via Emotet
Ryuk verloopt de initiële besmetting en verspreiding meestal via malware die al op de computers is geïnstalleerd. Over het algemeen is dat via TrickBot, wat op zijn beurt vaak geïnstalleerd wordt bij slachtoffers van Emotet. De makers van Emotet bieden botnets met geïnfecteerde systemen aan. Vervolgens kunnen andere criminelen zoals de Trickbot- en Ryuk-bendes tegen betaling toegang krijgen tot die systemen. Dit verdienmodel heet Malware-as-a-Service.
Emotet speelt dus een sleutelrol. Deze malware werkt primair als een ‘downloader’. Emotet komt meestal via een malafide link in een phishingmail of een Word-document met macro’s de organisatie binnen. Vervolgens kunnen de criminelen andere malware downloaden op het systeem. “Emotet verspreidt zich snel, weet zich goed te verbergen en gebruikt geanvanceerde technieken om systemen telkens opnieuw te besmetten”, aldus Peters. “Dit maakt het bijzonder lastig om een Emotet-besmetting volledig uit te doven.” Het is dan ook cruciaal om deze initiële besmetting tegen te houden of zo snel mogelijk te detecteren om erger te voorkomen.
Statistieken samples malwarefamilies wereldwijd 1-08-2020 – 01-10-2020, met dank aan ESET NL.
Statistieken samples malwarefamilies Nederland 1-08-2020 – 01-10-2020, met dank aan ESET NL.
Wat kunt u doen?
Voorkomen is dus beter dan genezen. Toch is er volgens Peters geen simpel trucje om Emotet, TrickBot en Ryuk buiten de deur te houden. “Deze malwarefamilies evolueren continu en de makers zoeken voortdurend naar nieuwe manieren om de beveiliging te omzeilen. We mogen niet onderschatten hoe professioneel deze criminelen te werk gaan. Ze hebben securitykennis en financiële middelen waar de meeste bedrijven alleen maar van kunnen dromen.”
Het Head of Security Research adviseert organisaties om in ieder geval de basis op orde te brengen. “Denk hierbij aan een moderne antimalware-oplossing die malware blokkeert, e-mailbeveiliging tegen phishing en awarenesstrainingen voor het personeel. Ook een strikt patchbeleid is belangrijk, zodat kwetsbaarheden in software tijdig worden gedicht. En zorg ervoor dat u meerdere back-ups heeft van bedrijfskritische data, zowel online als offline.”
Goede back-ups zijn helaas niet zaligmakend. “Een relatief nieuwe trend is dat cybercriminelen de gegijzelde data openbaar dreigen te maken als het losgeld niet wordt betaald. Daarmee hebben ze een stok achter de deur. Recent zagen we dit bijvoorbeeld bij de universiteit van Utah in de Verenigde Staten. Deze universiteit had wel degelijk back-ups, maar betaalde toch tonnen aan losgeld om te voorkomen dat studentgegevens op straat zouden belanden.”
Snel reageren is cruciaal
Wat Peters betreft behoren ook monitoring- en detectiesystemen tot de basisbeveiliging. “Hoe sneller u weet dat er systemen besmet zijn met Emotet, TrickBot of Ryuk, hoe groter de kans dat er nog iets tegen te doen valt. Maak een plan voor zo’n incident. Welke mitigerende maatregelen treft u, bijvoorbeeld om de geïnfecteerde systemen te isoleren? Hoe ziet de taakverdeling eruit? En hoe beperkt u de impact op de dagelijkse werkzaamheden?”
En wat nu als Ryuk gewonnen heeft? “Wij raden organisaties af om het losgeld te betalen, omdat ze daarmee de kas van de criminelen spekken. Bovendien gaat de decryptie bij Ryuk nog weleens fout. Maar in de praktijk is deze afweging toch minder zwartwit. Wat nu als de aanvallers zeer gevoelige gegevens openbaar dreigen te maken, of de zorg aan kwetsbare patiënten volledig tot stilstand komt? Dat is een duivels dilemma.”