Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomwarecriminelen zetten toch data van medische instelling online na aanval

De criminelen achter de Maze-ransomware hebben data online gezet van een Brits onderzoeksbedrijf dat medicijnen en vaccins voor ziektes maakt. De groep beloofde eerder dat juist niet te doen.

Het gaat om criminelen achter de Maze-ransomware. Die vielen de computersystemen van het Londense Hammersmith Medicine Research-centrum aan. Dat bevestigt het bedrijf aan ComputerWeekly. Het bedrijf doet tests voor medicijnen en vaccinaties. Het 'staat klaar' om in de nabije toekomst een eventueel vaccin tegen het nieuwe coronavirus te testen.

De criminelen hebben medische dossiers van patiënten online gezet. De documenten gaan tussen de acht en twintig jaar terug in de tijd, zegt het centrum. In de dossiers staan medische vragenlijsten, en kopieën van paspoorten en rijbewijzen van zeker 2300 personen. HMR werd op 14 maart getroffen door ransomware. Het bedrijf zegt tegen ComputerWeekly dat het niet van plan is het losgeld te betalen.

De criminelen achter de Maze-ransomware vallen bedrijven aan en versleutelen hun bestanden. Sinds een jaar dreigen de criminelen ook om gestolen informatie online te publiceren als bedrijven niet betalen. Dat is regelmatig gebeurd. Opvallend is dat de criminelen uitgerekend een week geleden nog 'beloofden' geen gezondheidsorganisaties aan te vallen tijdens de coronapandemie. De criminelen wilden daarmee wachten tot 'de crisis met het coronavirus is gestabiliseerd'.

Door Tijs Hofmans

Redacteur privacy & security

24-03-2020 • 09:50

136 Linkedin

Reacties (136)

Wijzig sortering
Normaal krijg je geen overheidssteun bij een faillissement. Dat er nu regelingen zijn komt door de bijzondere tijd.
Probeer maar eens een significant bedrag te betalen zonder dat dat op de boekhouding komt; als wat groter bedrijf heb je aan het eind van het jaar echt een accountantsverklaring nodig.
Ik dacht zelf niet aan een groot bedrijf, de directie heeft dan relatief weinig te verliezen als het bedrijf omvalt. Ik dacht eerder aan directeur-eigenaren van MKB-bedrijven. Als ze niet met voorraad kunnen schuiven of een winstuitkering of lening met hun bedrijf aangaan kunnen ze het altijd nog uit privémiddelen financieren. Met zulke wetgeving kan desnoods een betalingsregeling worden afgesproken met de criminelen.

Al na de betaling van de eerste termijn kunnen de bestanden (deels) worden ontgrendeld want de directeur wil het natuurlijk graag stil houden. De ransomwarecriminelen kunnen bij wanbetaling alsnog de publiciteit zoeken en de directeur kan zijn bedrijf alsnog gedag zeggen en zal ook nog vervolgd gaan worden. Het hangt er natuurlijk ook van af of de directeur zijn werknemers die ook op de hoogte zijn kan overtuigen om het stil te houden.

Ik zou daarom geen voorstander zijn voor zo'n wet als oplossing. Wel zou je voor zover dat al niet het geval is dit soort kosten niet van de winst af mogen afschrijven. Vooral als de IT-organisatie te wensen over laat.

[Reactie gewijzigd door sampoo op 30 maart 2020 20:53]

Nee. Niet voorbeelden te over. Het zijn gelukkig uitzonderingen en dan betreft het vooral bedrijven die octrooien op bestaande medicijnen (ontwikkeld door andere bedrijven) opkopen en daarna de prijzen omhoog gooien.
Toch wel meer de standaard dan de uitzondering, en dat heeft er allemaal mee te maken dat bijna alle producenten onder dezelfde "umbrella" vallen. Shkreli met zijn epi-pen was misschien het meest publiek, maar o.a. Pfizer kiest steeds heel goed welke prijzen ze steeds gaan verhogen om zoveel mogelijk winst te maken. Mensen vergeten toch echt dat die kapitalistische bedrijven zijn, die gaan voor maximum profits.
Heb je het artikel ook gelezen? Prijsverhogingen zijn voor enkele medicijnen 5 en soms 9.5 procent. Dat is misschien aan de hoge kant, de exacte redenen staan er helaas niet bij.

Maar voor alle andere medicijnen is dit minder dan 2%. Dat is helemaal geen bijzonder percentage. Heb je de prijzen van boodschappen bij de supermarkt wel eens vergeleken met vorig jaar?

Farmaceuten zijn commerciële bedrijven, die inflatie doorvoeren in hun prijzen. Het zijn geen liefdadigheidsinstellingen, en dat pretenderen ze ook niet.

Overigens staat in het artikel dat als je kortingsafspraken meetelt, de gemiddelde prijs 5% lager is dan vorig jaar.

[Reactie gewijzigd door Sietse Vliegen op 28 maart 2020 17:31]

Het bedrijf doet tests voor medicijnen en vaccinaties. Het 'staat klaar' om in de nabije toekomst een eventueel vaccin tegen het nieuwe coronavirus te testen.
Oftewel ja, dit bedrijf heeft grote financiele baten bij onderzoeken...
Die reputatie gaat vooral om het gedeelte of je na betaling nog bij je gegevens kan. Je neemt daarbij niet in overweging of die reputatie misschien gaat of de criminelen daad bij het woord voegen in het algemeen.

De organisatie die er last van heeft zou niet betaald hebben. Onder welke bedreiging er een betaling werd geëist staat niet in de media. Maar dat kan even goed zijn dat niet betalen zou leiden tot publiek maken. En als dat laatste een dreiging was dan hebben de criminelen nog steeds een duidelijke reputatie.

En zelfs als een crimineel betrouwbaar is dat die je gegevens na betaling wel zou ontsleutelen? Of je gegevens ondertussen al gestolen zijn en op ondergrondse handelsplaatsen ruilmiddel of verkoopwaar zijn geworden valt waarschijnlijk nauwelijks te controleren. Dat zal dan ook nauwelijks van invloed zijn op de betrouwbaarheid. Of zat er een disclaimer bij dat de criminelen die gegevens niet voor andere doelen zou gebruiken als je wel een betaling doet?
Het kan ook een opt-out strategie zijn. Ander voorbeeld van een opt-out strategie is scenario van Shadowbrokers.
Ze weigerde te betalen en toen hebben ze alles online gezet, jij zegt het alsof het losgeld is betaald en dat ze alsnog alles online hebben gezet, dat is niet wat in het artikel staat.
Dat waren anderen die dat hadden beloofd.
Zou me niks verbazen als het de Russen zijn.

Want waarom zou je als "Westers" crimineel zoiets willen doen?
"Nee hoor, U kunt gerust uw deur open laten staan hoor, wij komen echt niet bij u inbreken hoor."

Misschien is het zelfs opzet om ze minder waakzaam te maken. Oh, neuh, nu even niet... En dan straks effe een flinke klapper maken door tientallen tegelijk te grazen te nemen omdat niemand zat op te letten, wach ach, ze hadden het toch beloofd he.

Let wel, dit zijn gewoon criminelen die het echt geen bal interesseert wie de klos is, als ze maar lakker makkelijk geld kunnen harken over andermans rug.
Medische informatie van de gewone burger die dankzij dit soort taferelen het vertrouwen in de pharma's verliezen en zich daardoor mogelijk niet als proefkonijn voor nieuwe medicijnen aanmelden uit angst voor dit soort taferelen.

En vervolgens geen diezelfde jankerds achter de Maze-ransomware janken als familie komen te overlijden door een virus/ziekte die diezelfde pharma-industrie had kunnen bestrijden 8)7
Mja, het kan op allerlei manieren verwoord en verdraaid worden, maar feit blijft dat dit crimineel is en geen eerbare actie was.

Het is dat ze waarschijnlijk weinig naar buiten gaan, maar je zou toch haast hopen dat ze zélf eens goed ziek worden...
Wel degelijk.

Een ziekenhuis verzorgt mensen uit de maatschappij. Een aanval op een ziekenhuis is dus indirect een aanval op alle burgers die daar verzorgd worden. En een aanval op een groep nietsvermoedende mensen is in mijn belevingswereld wel degelijk terrorisme

Ik denk dat je dit wel hard kunt maken voor de rechter.
Helemaal met het argument dat de ziekenhuizen nu een extra cruciale rol vervullen. En dat je weet dat er doden vallen als de apparatuur in het ziekenhuis door jouw hacker capriolen onklaar wordt gemaakt.

Keihard aanpakken die gasten.
Al had je je gevoelens opzij gezet en je was wat wetenschappelijke literatuur gaan lezen dan had je kunnen leren dat zwaarder straffen niet helpt om criminaliteit te verminderen.
Hier hoort een nogal belangrijke nuance bij: bovenstaande stelling klopt alleen als de pakkans nihiel is.
Ik krijg plaatsvervangende schaamte van jou opmerking om Ransomware attackers goed te keuren met als onderbouwing dat het de fout is van het Bedrijf zelf welke is aangevallen.
Niet dat ik de acties van de randsomware teams goedkeur, maar laten we toch voorzichtig zijn met wat we nog meer als terrorisme gaan beschouwen. Onder het mom vn terrorisme is al (veel te) veel door onze strot geduwd.
Waar lees je dit? Er wordt niks goedgekeurd, ook wordt er niet gezegd dat het hun eigen schuld is. Er staat alleen wordt gezegd dat ze deels verantwoordelijk zijn. Als ik een fiets van jou leen en hem vervolgens niet op slot zet en hij wordt gejat zal je ook boos zijn vermoed ik? De realiteit is dat security belangrijk is, voor je fietsen, autos en ook patientgegevens.
Maze maakt gebruik van Zero Day's Je kunt je beveiliging nog zo goed op orde hebben, dan nog kan Maze je netwerk platleggen.
Een zero day helpt je ergens naar binnen omdat een zero day het mogelijk maakt om een enkele laag van beveiliging te doorbreken. Het is daarna aan andere beveiligingslagen om dat te compenseren.

Geen enkele ransomwareaanval is ooit uitgevoerd door meesterhackers op de strengst beveiligde netwerken. Vaak zitten er zwakheden in de infrastructuur waar men misbruik van maakt zodra men binnen is. Bijvoorbeeld: waarom moet elke client computer (de grootste bronnen van digitale infecties) ten alle tijden elke server in het serverpark kunnen bereiken? Waarom kan een file server ook een databaseserver bereiken, ondanks dat die daar niets heeft te zoeken? Goede segmentering is vaak ver te zoeken.

[Reactie gewijzigd door The Zep Man op 24 maart 2020 10:56]

Het begint met
[...]
gevolgt door een stuk tekst dat deze eerste regel nul and void maakt.
[...]
Juist, sterk argument. Het is niet mogelijk om randsomeware af te keuren maar ook bedrijven verantwoordelijk te houden voor gebrekkige beveiliging in jouw ogen?
Deze vergelijking klopt niet. Je zet je fiets op slot. Dikke ketting eraan en als je terug komt is die weg. Zelf met goede security ben je een doelwit. Maze maakt gebruik van Zero Day's Je kunt je beveiliging nog zo goed op orde hebben, dan nog kan Maze je netwerk platleggen. Het enige wat goede security en een Higher level IT kan doen is de (colateral) damage beperken. Hoe snel je weer hersteld. Het verlies van Data beperken.
Je weet niet of er geen slot, een lullig strotouwtje of een dikke ketting gebruikt is. Als ik terugkom met een dik doorgeknipt slot ben je waarschijnlijk niet boos, als ik geen slot gebruik wel. Indien de beveiliging niet op orde is dan is het wel degelijk de verantwoordelijkheid van het getroffen bedrijf. Het verhaal van @Yalopa heeft misschien niet die nuance, maar dat zal iedereen logisch vinden.
Mwah medische instellingen aanvallen gedurende een pandemie met alle chaos die erbij komt?
Dat komt aardig dicht in de buurt van de definitie van terrorisme hoor.

[Reactie gewijzigd door hackerhater op 24 maart 2020 13:09]

Lees wat ik schrijf... Ik keur niets goed:
  • Niet de aanval zelf
  • Niet het gebrek aan maatregelen genomen (of de slechte coördinatie van het nemen van de maatregelen) door organisaties
  • Niet het catalogeren als terrorisme.
Ik heb als meermaals een randsomware aanval van dichtbij gezien, zowel in een hospitaal, een reseller als in manufacturing, dus ik denk te mogen zeggen dat ik weet waarvan ik spreek waneer ik voorzichtig een deel van de verantwoordelijkheid bij ICT of beleid leg.

Een laatste bemerking:
ICT is een ondersteunende dienst, geen core business voor zorg instellingen. Waneer een randsomware aanval (of in general het wegvallen van ICT) levens in gevaar brengt in de zorg dan zit je daar met een zwaar probleem. Dan moet je zorgen dat er een plan is om dat op te vangen buiten ICT zodat de tijd dat ICT er even niet is je kan verder werken. Op afdelingen intensieve zorgen en spoed die ik ken heb ik al prima voorbeelden gezien daarvan...
Ik lees dat @Yalopa schrijft dat de getroffen organisaties deels zelf verantwoordelijk zijn. Dat is niet het zelfde als stellen dat je dus de daden van ransomware criminelen goedkeuring geeft. Als iemand jou ergens deels de schuld van zou geven wil dat immers ook niet zeggen dat een ander ook niet deels schuld heeft. Er kunnen meerdere partijen schuld hebben. En zelfs dat zegt niets of een ander meer of minder schuld heeft.

Het argument dat je als slachtoffer veel door je strot geduwd krijgt is bij heel veel misdrijven het geval en dus niet een heel sterk argument. Het gaat vooral om het motief en de gevolgen. Het valt daarbij moeilijk te ontkennen dat bewijzen niet altijd makkelijk is en er toch ook wel een verschil zit tussen een pc van een medewerker die schade heeft of het hele netwerken inclusief backups.
Bij de eerste 2 en misschien ook de 3e gaat je verzekering geen thuis geven en zullen mensen zeggen dat je dom bezig bent geweest.
Dat is te vergelijken met bedrijven die geen patches hebben geïnstalleerd voor maanden oude bugs ed.

Erna: Als ze binnen willen komen komen ze binnen. Je kan het hooguit minder aantrekkelijk maken.
Voor erna: zorg voor segmentering en een goede backup strategie. Meer dan dat kan je niet doen en hoeft ook niet verwacht te worden.

[Reactie gewijzigd door hackerhater op 24 maart 2020 13:13]

Jouw oneigenlijk gebruik van definities zal je als je programmeert nog flink gaan opbreken.
Als die 'ransomware' echt zo erg is maak je dat op gepaste wijze strafbaar. Als je de anti-terrorisme wetgeving hiervoor wilt misbruiken betekent dat dat je hogere straffen wilt toepassen dan gerechtvaardigd is.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True