Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update

Door , 332 reacties, submitter: mr_verkerk

De Spaanse telecom- en internetprovider Telefˇnica en meerdere Engelse ziekenhuizen zijn tegelijkertijd schijnbaar door dezelfde ransomware getroffen. De ziekenhuizen hebben tijdelijk bijna hun gehele digitale infrastructuur stilgelegd en alleen spoedgevallen worden nog behandeld.

De ransomware-infectie begon op vrijdag rond de klok van half twee 's middags, zo melden Britse media waaronder The Register. Ook de aanval op Telefónica vond vermoedelijk rond die tijd plaats. Het zou gaan om de Wana Decrypt0r 2.0-ransomware. Het adres waar het Bitcoin-losgeld naar gestuurd moet worden, zou volgens The Register in ieder geval hetzelfde zijn, wat verder doet vermoeden dat dezelfde daders achter beide aanvallen zitten.

Andere Spaanse organisaties en bedrijven zouden ook doelwit zijn geworden van deze cyberaanval, maar op dit moment heeft alleen Telefónica dat nog bevestigd. Voor zover bekend is de dienstverlening van Telefónica wel ongehinderd en is de infectie beperkt tot het hoofdkwartier in Madrid.

De ransomware heeft de bestanden op de getroffen pc's versleuteld en de decryptiesleutel wordt alleen afgegeven wanneer er 300 dollar aan Bitcoin per getroffen pc overgemaakt wordt naar het vermelde adres. Dat is momenteel 0,17 Bitcoin of 275 euro. Als dat bedrag niet voldaan wordt binnen drie dagen, wordt het losgeld verdubbeld en na een week wordt de decryptiesleutel niet meer afgegeven. Foto's van de ransomware worden gedeeld op Twitter. Aan de beelden te zien, draait in ieder geval een deel van de pc's op Windows 7.

Hoeveel ziekenhuizen precies getroffen zijn, is niet duidelijk, maar The Guardian spreekt van 'veel'. Door het stilleggen van de systemen werken telefoons, e-mailadressen, netwerken, en uitschrijfsystemen voor medicijnrecepten niet meer. Het landelijke alarmnummer werkt nog wel zoals gewoonlijk en het ziet er op dit moment naar uit dat medische noodgevallen nog wel afgehandeld kunnen worden.

De Britse National Crime Agency werkt samen met de National Health Service om te achterhalen waar ze precies mee te maken hebben en wie er achter de aanval zit. Op het moment vermoeden ze dat het gaat om criminele activiteiten die niet gesponsord zijn door de regering van een ander land. Verder stellen ze dat er op dit moment geen bewijsmateriaal is verzameld dat erop zou duiden dat patiëntengegevens ingezien zijn door de aanvallers.

In januari van dit jaar werd een handvol ziekenhuizen ook al getroffen door malware. Vorig jaar betaalde een Amerikaanse ziekenhuis nog 15.000 euro aan losgeld om van een ransomware-infectie af te komen.

Update, 20:30: volgens een analyse van Kaspersky Lab maakt de ransomware gebruik van een 'EternalBlue'-kwetsbaarheid die blootgelegd is in de Shadowbrokers-datadump van vorige maand. Microsoft heeft de kwetsbaarheden al gerepareerd, maar het is aan gebruikers zelf om hun systemen ook up-to-date te houden. De bewuste update is MS17-010.
 
De aanval zou niet beperkt zijn tot Spanje en Engeland. Kaspersky krijgt meldingen van zijn securitysoftware die aantonen dat het zwaartepunt van de in totaal 45.000 gemeten aanvallen in Rusland zou liggen. In totaal zouden 74 landen betrokken zijn bij de aanval, waaronder de VS, China, Oekraïne, India en Taiwan.
 
Hoewel op het moment geen teken lijkt te zijn van een besmetting in Nederland, raadt het Nederlandse Nationaal Cyber Security Centrum wel aan om extra oplettend te zijn als het gaat om vreemde e-mailbijlages. De NOS schrijft dat deze waarschuwing ook specifiek naar gas-, water- en elektriciteitsbedrijven is gestuurd. De ransomware heeft zijn losgeldbrief in vele verschillende talen klaarstaan, waaronder Nederlands.
 
Her en der wordt ook melding gedaan van betalingen naar Bitcoin-wallets die geassocieerd zouden zijn met de ransomware.
 

Door Mark Hendrikman

Freelancer

12-05-2017 • 18:58

332 Linkedin Google+

Submitter: mr_verkerk

Lees meer

Reacties (332)

Wijzig sortering
Dat is een kromme vergelijking die nergens op slaat. Het thema waar het hier om gaat is "anoniem". Voor bitcoin had je ook wel ransomware en die werkte met creditcard betalingen als ik het me goed herinner. Dat soort betalingsverkeer is echter te traceren (en paysafe kaarten die ergens naartoe gestuurd worden ook), bitcoin nauwelijks. Alleen wanneer je gedurende een lange periode bitcoin gebruikt, loop je meer risico (zie Silk Road e.d.).

Anonimiteit verlaagd de pakkans en dat is een factor die criminelen meenemen in hun afweging. Kun je nog zoveel drogredenen tegenaan gooien, maar dat is gewoon zo. Je zult ook best wel goede dingen met BitCoin kunnen doen, maar dat het criminaliteit stimuleert is niet te ontkennen. Net als bij anonieme Zwitserse bankrekeningen.
Ik heb dan geen medelijden met de tandarts. Het is niet slecht betaald, en je mag verwachten van iemand met een dergelijke opleiding dat iemand genoeg zelfkennis heeft dat hij of zij dat niet kan.
Als beheerder heb je gewoon gruwelijk hard gefaald als het netwerk dat je beheerd getroffen is door wannacry! Daar is gewoon geen excuus voor.

Ondersteunde versies van Windows waren, mits up-to-date, al maanden lang gepatched. De meeste antivirus pakketten beveiligde ook al sinds maart tegen deze bedreiging.

Het is zorgwekkend dat er ziekenhuizen zijn die beveiliging zo onserieus genomen hebben en de reden waarom dat niet zou mogen kunnen is nu pijnlijk duidelijk lijkt mij!
Oooooh trust me dat dat soort zaken gebeuren. Pure ontwetendheid... Wat dacht je bijvoorbeeld van tandartspraktijken die meerdere lokaties hebben, maar wel op alle lokaties bij hun patientendatabase willen kunnen, wat overigens heel vaak een simpel Microsoft Access *.mdb bestand is wat door dergelijke programmatuur wordt gebruikt. Dan gebeurd het maar vaak genoeg dat gewoon de SMB poortjes worden opengezet op de routertjes hoor! En bij de tandartspraktijk is er dan een hosanna stemming "ja, het werkt!". Dit soort situaties gebeuren echt zo veel vaker dan je denkt.

Ach, wat er nu gebeurd is wederom een typisch geval waarom een EPD een zeer slecht idee is.
Euhm, gewoon even wat poortjes openzetten is toch echt niet genoeg. Als ze slim genoeg zijn om ook nog eens om o.a. de dynamische IP adressen en alles met rechten heen te dansen dan hoop ik ook dat ze slim genoeg zijn om in te zien dat smb zomaar benaderbaar te maken via het internet gewoon oerdom is. En als ze toch zo dom zijn, dan zouden ze net wel automatische updates moeten hebben aanstaan en waren ze hier ook weer niet kwetsbaar geweest.

Daarnaast heeft dit helemaal niets met een EPD project te maken. Niemand werkt vandaag nog met dossiers op papier. Maakt niet uit of de opslag gecentraliseerd is of niet. Je gaat voor je administratie gewoon met de tijd mee.
Als je met de tijd mee wilt gaan dan zou je juist dergelijke administratie op een airgapped pc moeten doen. Alles wat aan een extern netwerk als het internet hangt is simpelweg kwetsbaar. Ook fully updated computers. Zero days doe je simpelweg niets aan en (bijvoorbeeld) medische data is te waardevol om risico's mee te willen lopen.
Alleen werken we vandaag niet meer op 1 locatie maar moeten we ook op andere locaties aan onze data kunnen. Een air gapped netwerk is dan helemaal niet praktisch meer. Beveiliging staat haaks op functionaliteit. En dat is de grootste uitdaging: een goede balans vinden tussen die twee.
Ik denk dat de beslissing voornamelijk gebaseerd moet zijn op hoe waardevol de informatie is waar je mee werkt. Van mij mag medische informatie best een restrictie krijgen tot airgapped PC's. Zoals in mijn geval, een tandartspraktijk waarvan de server de klos is. Alle patientendossiers, foetsie. Geen backup.

En daar sta je dan. Met een gebroken tandwortel (kind klapt vol tegen m'n gezicht aan) en een verzekerings maatschappij die de patientenkaart tot 3 jaar terug en een rontgen foto van voor het ongeval en na het ongeval wil zien. Opnieuw een foto maken van een gebroken tandwortel is het probleem niet, maar de foto's van daarvoor en de historie van mij als patient is simpelweg in het land der lost bits en bytes. Ik vermoed dat de verzekeringsmaatschappij besluit dat ik de kosten niet kan declareren omdat ze zonder de gevraagde gegevens geen correcte beoordeling kunnen doen, en dat de tandarts het gooit op overmacht.

Had allemaal voorkomen kunnen worden, en ja wellicht ook wel met een gedegen backup-stragie en het up to date houden van computers, maar ook up to date computers blijven kwetsbaar in gevallen van zero-day exploits etc. Ik vind simpelweg dat sommige gegevens niet op computers thuishoren die aangesloten zijn op externe (lees onvertrouwde) netwerken.
Deze exploits, kunnen die niet geblokkeerd worden door de betere routers o.i.d.? Ik ben hier niet in thuis, maar ben wel nieuwsgierig naar een antwoord.
Poorten 445/139 en 3389 dichtzetten kan helpen. Of zie hier, 7 tips onderaan de pagina.

[Reactie gewijzigd door ongekend41 op 13 mei 2017 11:19]

Dan moet je wel smb1 op de fileserver uitschakelen. Default doet Windows een fallback, daarom staat op alle systemen ook smb1 aan... voor het geval er nog een verloren XP machine (of nog ouder) aan klopt...
Nee. Infectie van een pc vereist SMBv1, maar bestanden versleutelen kan het ding ongeacht van de versie wel (op dezelfde manier dat jij er met Windows verkenner ook wel bij kan).
Donkerbruin vermoeden dat ergens nog computers met windows XP worden gebruikt.

http://www.zdnet.com/arti...antique-operating-system/
Deels heb je uiteraard gelijk, patches worden niet dag 1 uitgerold. Daar zit een duidelijke test cycle aan vast in de meeste gevallen. Echter 2 maand is gewoon te lang, voor welke test cycle dan ook, dat valt niet imho niet meer te verdedigen, in ieder geval niet voor machines die internet toegang hebben, of machines die via het netwerk kunnen communiceren met machines die internet toegang hebben.

Voor mission critical machines in een afgesloten vlan of afgesloten fysiek netwerk die op geen enkele wijze direct of indirect kunnen verbinden met internet of ander machines met internet kan de cycle wat langer zijn. No Internet VLAN zijn leuk, maar eigenlijk moeten de No Internet VLANs ook niet kunnen communiceren met machines op internet VLANs, tenzij zeer goed gefirewalled naar de specifieke machines waarmee ze moeten kunnen communiceren en dan ook nog eens alleen op de poorten waarmee deze communicatie gedaan wordt.

Maar je moet als beheerder imho ook proactief zijn en als MS dan komt met een bulletin waarin duidelijk wordt dat die "shadow broker" exploits gereleased zijn met links naar alle patches moet ik imho als IT afdeling op een moment als dat direct actie ondernemen, gericht gaat testen en de patches z.s.m. implementeren. Daar deze patches vanaf het moment dat de exploits "in the open" waren toch wel erg kritiek zijn geworden.
Zelfs offline backups kunnen getroffen zijn. Aangezien je tienduizenden computers hebt die op heel korte tijd meldingen zijn beginnen vertonen kan het goed zijn dat deze malware al enkele weken of maanden actief is op deze systemen en al die tijd rustig heeft afgewacht tot de juiste tijd er is. Dan kunnen je backups evengoed besmet zijn.
wel grappig dat het "ziekenhuis" screenshotje met de nhs nummers eronder een windows 7 machine is.
Het is het beste om niet toe te geven, niemand zegt dat dat de makkelijke oplossing is. Wel de enige juiste.
Met snel betalen houd je twee culturen in stand: Die van te weinig investeren in IT (prioritering) en de criminele cultuur (criminalisering).
Op de lange termijn doen die beiden alleen maar meer pijn
Niet makkelijk inderdaad.
Maar zachte heelmeesters maken stinkende wonden!
Het kan... als je de schaal hebt. Als bv de NHS ziekenhuizen samen de krachten bundelen voor een programma, vermoedt ik dat ze prima een custom-made programma kunnen laten maken en updaten door IT'ers die in dienst zijn.

Enige is natuurlijk de initiele kosten die niet prettig zullen zijn tijdens de ontwikkeling, maar het is te halen zolang er wat meer geld naar de NHS gaat en het niet naar de managers en salaris van de specialisten gaat maar naar fatsoenlijke applicatieontwikkeling.
Zou je wel denken/hopen he? Gebeurd echter met grote regelmaat dat er helemaal geen backup-strategie is. Neem kleinere organisaties zoals bijvoorbeeld een tandartspraktijk. De praktijk van mijn tandarts (meerdere tandartsen in 1 praktijk) is getroffen en nee hoor.. die hebben geen backups. Dag patientengegevens van jaaaaaren. 8)7
The three bitcoin wallets tied to #WannaCry ransomware have received 171 payments totaling 27.96968763 BTC ($47,510.71 USD).

https://twitter.com/actual_ransom
Ik neem aan dat het installeren van de meest recente aangeboden monthly rollup ook goed is?
Dat klopt, die Monthly Rollups zijn cumulatief, dus het installeren van de laatste versie (van deze maand dus), patched ook meteen dit lek.
Als ik de upate KB4012215 probeer te installeren op mijn Windows 7 professional 64 bit pc, dan geeft hij aan▒ ´´update niet geldig voor deze computer´´. 8)7
spam-filter is niet zaligmakend en houdt zeker geen gerichte aanvallen tegen.
Klopt, maar het kan wel deel van een oplossing zijn. Het was als reactie op "Veel meer valt er helaas niet te verzinnen. "

Kan trouwens gerichte aanvallen tegenhouden, bijvoorbeeld doordat de aanvaller (domein/ip/land/provider) al vaker actie heeft ondernomen en verdacht is.
Bijna iedereen gebruikt een spam filter, als je die niet hebt, loopt je mailbox direct vol, vergeet niet dat 70 % van alle mails spam gerelateerd is. Maar een spamfilter houd helaas niet alles tegen.
Het is gewoon een kwestie van nadenken voordat je een attachment opent. Want ook al lijkten somige maltjes soms heel falide. bij de meeste mailtjes is het gewoon duidelijk dat er iets niet klopt. je gebruikers informeren met voorbeeldn van mailtjes helpt ook. zo worden ze er van bewust dat ze niet alles klakeloos moeten aannemen wat met de mail binnen komt.
"ook al lijkten somige maltjes soms heel falide."
Ja, ik trap er gewoon met mijn grote voeten in, als de teamleider klantenservice van Telfort met zo'n spelfouten aan mij vraagt om de PIN-code van mijn telefoon te geven. :)
Tenzij er dus exploits gebruikt worden die het wel mogelijk maken. Er duiken altijd wel lekken op in software die privilige escalation mogelijk maken of de malware in staat stellen uit een sandbox uit te breken. Ook hier is weer zulke bug gebruikt. Tijdig patchen en goede backups blijft de enige echte oplossing, maar dan zit je weer met het probleem dat IT in vele bedrijven een ondergeschoven kindje is. Niet belangrijk. Personeelstekorten worden niet aangepakt, budgetten moeten zo klein mogelijk en het liefst van al plaatst men ze nog in de kelder om ze uit het zicht te hebben.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*