Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update

De Spaanse telecom- en internetprovider Telefónica en meerdere Engelse ziekenhuizen zijn tegelijkertijd schijnbaar door dezelfde ransomware getroffen. De ziekenhuizen hebben tijdelijk bijna hun gehele digitale infrastructuur stilgelegd en alleen spoedgevallen worden nog behandeld.

De ransomware-infectie begon op vrijdag rond de klok van half twee 's middags, zo melden Britse media waaronder The Register. Ook de aanval op Telefónica vond vermoedelijk rond die tijd plaats. Het zou gaan om de Wana Decrypt0r 2.0-ransomware. Het adres waar het Bitcoin-losgeld naar gestuurd moet worden, zou volgens The Register in ieder geval hetzelfde zijn, wat verder doet vermoeden dat dezelfde daders achter beide aanvallen zitten.

Andere Spaanse organisaties en bedrijven zouden ook doelwit zijn geworden van deze cyberaanval, maar op dit moment heeft alleen Telefónica dat nog bevestigd. Voor zover bekend is de dienstverlening van Telefónica wel ongehinderd en is de infectie beperkt tot het hoofdkwartier in Madrid.

De ransomware heeft de bestanden op de getroffen pc's versleuteld en de decryptiesleutel wordt alleen afgegeven wanneer er 300 dollar aan Bitcoin per getroffen pc overgemaakt wordt naar het vermelde adres. Dat is momenteel 0,17 Bitcoin of 275 euro. Als dat bedrag niet voldaan wordt binnen drie dagen, wordt het losgeld verdubbeld en na een week wordt de decryptiesleutel niet meer afgegeven. Foto's van de ransomware worden gedeeld op Twitter. Aan de beelden te zien, draait in ieder geval een deel van de pc's op Windows 7.

Hoeveel ziekenhuizen precies getroffen zijn, is niet duidelijk, maar The Guardian spreekt van 'veel'. Door het stilleggen van de systemen werken telefoons, e-mailadressen, netwerken, en uitschrijfsystemen voor medicijnrecepten niet meer. Het landelijke alarmnummer werkt nog wel zoals gewoonlijk en het ziet er op dit moment naar uit dat medische noodgevallen nog wel afgehandeld kunnen worden.

De Britse National Crime Agency werkt samen met de National Health Service om te achterhalen waar ze precies mee te maken hebben en wie er achter de aanval zit. Op het moment vermoeden ze dat het gaat om criminele activiteiten die niet gesponsord zijn door de regering van een ander land. Verder stellen ze dat er op dit moment geen bewijsmateriaal is verzameld dat erop zou duiden dat patiëntengegevens ingezien zijn door de aanvallers.

In januari van dit jaar werd een handvol ziekenhuizen ook al getroffen door malware. Vorig jaar betaalde een Amerikaanse ziekenhuis nog 15.000 euro aan losgeld om van een ransomware-infectie af te komen.

Update, 20:30: volgens een analyse van Kaspersky Lab maakt de ransomware gebruik van een 'EternalBlue'-kwetsbaarheid die blootgelegd is in de Shadowbrokers-datadump van vorige maand. Microsoft heeft de kwetsbaarheden al gerepareerd, maar het is aan gebruikers zelf om hun systemen ook up-to-date te houden. De bewuste update is MS17-010.
De aanval zou niet beperkt zijn tot Spanje en Engeland. Kaspersky krijgt meldingen van zijn securitysoftware die aantonen dat het zwaartepunt van de in totaal 45.000 gemeten aanvallen in Rusland zou liggen. In totaal zouden 74 landen betrokken zijn bij de aanval, waaronder de VS, China, Oekraïne, India en Taiwan.
Hoewel op het moment geen teken lijkt te zijn van een besmetting in Nederland, raadt het Nederlandse Nationaal Cyber Security Centrum wel aan om extra oplettend te zijn als het gaat om vreemde e-mailbijlages. De NOS schrijft dat deze waarschuwing ook specifiek naar gas-, water- en elektriciteitsbedrijven is gestuurd. De ransomware heeft zijn losgeldbrief in vele verschillende talen klaarstaan, waaronder Nederlands.
Her en der wordt ook melding gedaan van betalingen naar Bitcoin-wallets die geassocieerd zouden zijn met de ransomware.

Door Mark Hendrikman

Nieuwsposter

12-05-2017 • 18:58

332 Linkedin Google+

Submitter: mr_verkerk

Lees meer

Reacties (332)

Wijzig sortering
Dat is zuur. Zeker in het geval van een ziekenhuis is dit wel één van de ergste 'nachtmerries'. En als ze enkel nog spoedgevallen kunnen behandelen, of andere ziekenhuizen dat over nemen zou het ook mensen levens kunnen kosten. Een paar jaar geleden was er in België een ziekenhuis getroffen door een virus en ze moesten daar ook de spoeddienst sluiten voor gebruik omdat de systemen down waren.

Kan me voorstellen dat als het meerdere ziekenhuizen betreft dat hun landelijke cybercrime unit / MI5 betrokken word. Dit om te zien of er een ander land of regering achter kan zitten.
Is deze versie niet te decrypten? Als ik snel zoek zou het eventueel kunnen maar geen 100% garantie om alles terug te hebben. Maar beter dat dan zwichten. En hopen dat je backups niet ook gevangen zijn.

Edit,
Volgens the telegraph zijn er meerdere infecties buiten de twee genoemde. http://www.telegraph.co.u...y/0/ransomware-does-work/

Ook de BBC vertellen dat het meerdere landen zijn "UK, US, China, Russia, Spain, Italy, Vietnam, Taiwan and others."
http://www.bbc.com/news/technology-39901382

[Reactie gewijzigd door Daniel_Elessar op 12 mei 2017 19:35]

Een spoeddienst is in principe getraind / berekend op een stroomuitval, waarbij er ook geen computers meer zijn voor de "administratie". Echter is 95% van wat op de spoed binnenkomt geen echte spoed of alleszins niets waarbij het echt op 10 minuten aankomt. Dan kan je inderdaad beter doorverwijzen naar het ziekenhuis 5km verderop :)
Klopt wel, maar stel goed is dat niet. Je zit tegenwoordig toch met patientendossiers op computers. Als we zien hoe het ziekenhuis steeds meer digitaliseert is dit meteen een tik op de neus want het kan mis gaan. Natuurlijk kan een arts prima zijn scalpel vasthouden zonder internet. Maar als jij bijvoorbeeld in Spanje bewusteloos in een ziekenhuis terecht komt terwijl je een latex allergie hebt. Niemand er is die dat zou kunnen vertellen en ze kunnen niet in je patientendossier. Dat is niet al te best laten we zeggen. Die patiënten worden altijd vroeg in de ochtend geholpen in operaties omdat anders de kamer niet meer 'schoon' is.

Inderdaad is gelukkig het meeste niet echt spoed spoed, maar net die paar wél. Daarom willen ze in Nederland ook dat je eerst naar de huisarts gaat en dat die je door stuurt. Tenzij ernstig letsel natuurlijk.

Wat te denken aan alle lab info die nu vaststaat, ja je kunt er wel even op wachten maar dat is niet wenselijk.

[Reactie gewijzigd door Daniel_Elessar op 12 mei 2017 19:35]

Maar als jij bijvoorbeeld in Spanje bewusteloos in een ziekenhuis terecht komt terwijl je een latex allergie hebt. Niemand er is die dat zou kunnen vertellen en ze kunnen niet in je patientendossier.
En toch was dat tot aan 2002 niet echt een enorm probleem. Pas sinds het dossier er is en we het zouden kunnen vermijden (vergeet maar dat dat over de grens werkt btw) lijkt dit een item voor sommige mensen.

Het is een complicatie, maar op een EH zijn ze gewend om met dit soort dingen om te gaan.
Maar als jij bijvoorbeeld in Spanje bewusteloos in een ziekenhuis terecht komt terwijl je een latex allergie hebt. Niemand er is die dat zou kunnen vertellen en ze kunnen niet in je patientendossier.
Stel je bent dodelijk allergisch, maar het staat niet in je dossier want het is nog helemaal niet bekend ? Allemaal paniekzaaierij.

Misschien ben ik wel allergisch voor ziekenhuiseten...
Telegraag maakt het natuurlijk nog mooier:

http://www.telegraaf.nl/b...dwijde_cyberaanval__.html

Inhoudelijk klopt het natuurlijk wel maar het komt zo anders over dan de kop hier op Tweakers.

In ieder geval geeft het Nationaal Cyber Security Centrum aan dat "we" extra alert moeten zijn bij het openen van links in email. Dit suggereert toch wel dat het via phishing is veroorzaakt?

Blijkbaar komt er steeds meer info en ik ga ervan uit dat dit bericht bijgewerkt zal gaan worden.
Haha telegraaf ja |:(
Dat was te verwachten, dan is de NOS nog netjes met hun berichtgeving tot oplettendheid.

Het zal inderdaad gewoon emails zijn maar wél met de "Wcry SMB worm" Welke gepatched is.

Toch is het zorgelijk dat het wereldwijd zo veel problemen geeft in zoveel verschillende sectoren.
iemand heeft toch een verkeerde link geopend lijkt me, en juist om dit te voorkomen moeten we van totale internet verbindingen af....loskoppelen die handel...
Infrastructuur en allerlei andere nutsvoorzieningen zijn zo kwetsbaar...
Oke. Maar wat is de bron van het virus dan? Een attachment?.docx ? .zip ? Of toch naar een URL? Heeft iemand daar info over? Ik weet dat ons bedrijf tegenwoordig geen .ZIP bestanden meer aanneemt via email. Sindsdien geen ransomware meer. Maar foute URL's komen ook nog wel eens voor.
Er zijn idd ook varianten van randomware (iig ken ik er enkele uit de Cryptolocker/Locky-familie) die je op kunt lopen door het bezoeken van een 'foute' website.

Dat kan dus ook via banners op legitieme sites gebeuren (is immers al vaker op die manier malware (niet alleen ransomware) verspreid).

Maar het kan ook gebeuren via gestolen credentials via applicaties als teamviewer of protocollen als RDP, ook dat is al eens gebeurd. Zie bijvoorbeeld http://www.pcworld.com/ar...-desktop-credentials.html

Het gebeurd dus lang niet altijd meer via het klikken op attachments, hoewel dat natuurlijk wel nog de meest eenvoudige en meest voorkomende methode zal zijn.
Als je getroffen wordt en je hebt een image van je hdd of ssd, kan je dan de hdd of ssd simpelweg formateren en dan opnieuw erop zetten, of gaat die ransomware ook in de bios etc zitten?
Ransomware gaat niet in je BIOS zitten, dus het terugzetten van een image is idd voldoende om ervan af te zijn.

Uiteraard kunnen netwerk-shares ook onderhanden genomen zijn door de ransomware, daar helpt het terugzetten van een image natuurlijk niet tegen. Dan moet je die bestanden herstellen uit je backup.
En als je nu geen bitcoins hebt?
Iedereen kan ze kopen
Vandaag 3 klanten aan de lijn gehad die besmet waren, allemaal windows 7 computers trouwens dus ook in Nederland lijkt er wel wat aan de hand te zijn.
Vandaag ook iemand gesproken, binnengekomen via een 100% correct Nederlandstalige email van een transportbedrijf. Moest een word documentje naar de planning gemaild worden voor aflevering van een order. Tja als mensen dan de inhoud inschakelen aanklikken ben je de sjaak :X Ik vind hem wel goed verzonnen aangezien dit erg dicht tegen de werkelijkheid aanligt bij sommige van dit soort bedrijven.

- alles werd daar gelockt met .serp, waarvan volgens het internet schijnbaar in april een nieuwe hedendaagse versie uitgebracht is.

[Reactie gewijzigd door thefox154 op 12 mei 2017 21:19]

.Serp is volgens mij de Serpent locker. Dat is andere malware dan waar dit artikel over gaat. Als ik het goed heb heeft TrendMicro (o.a.) daar een decryptor voor.
Werkt deze exploit ook op Linux (Samba) of zit deze exploit daar niet in? Moet je samba met iets patchen?
Zelf heb ik de indruk gezien hoe het ontleed is en de bestanden die erbij betrokken zijn, is dat je kwetsbaar kan zijn voor de infectie (aangezien SMB ook op Samba mee gewerkt kan worden), maar de uitvoerende bestanden, tenzij ik me heel erg sterk vergis, zijn puur Windows-gericht en zullen normaal gesproken geen schade doen aan Linux-systemen tenzij er een verborgen compartiment met Linux-adaptility is.
Zeker maar als de exploit op-zich ook in Linux werkt met een Linux share bak (zoals veruit de meeste Nas oplossingen?) ga je evengoed een patch willen hebben me dunkt. Dat de huidige vorm van malware niet werkt sluit niet uit dat deze kwetsbaarheid nu danwel in de toekomst elders misbruikt wordt.
Ik vind dat gat in SMB op-zich dus veel boeiender dan de software er nu doorheen gedrukt wordt, die crypto rommel op zich is oud nieuws.

[Reactie gewijzigd door Koffiebarbaar op 13 mei 2017 17:24]

Hierdoor maak ik dagelijks backups en die worden gemaakt bij een router die niet direct in verbinding staat met mijn systeem.
Werk wel met macOS dus kans is kleiner, maar je weet echt maar nooit.
Ik heb dan ook een virusscanner (malwarebytes) draaien om zoveel mogelijk virussen en dat soort onzin te voorkomen.
Niet alleen in britse ziekenhuizen zo te zien, maar worldwide.. eng.
http://nos.nl/artikel/217...-britse-ziekenhuizen.html

[Reactie gewijzigd door Ambition88 op 12 mei 2017 19:47]

Het NCSC begint ook te alarmeren. Dat doen ze niet zomaar.
http://nos.nl/artikel/217...-britse-ziekenhuizen.html

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True