De ransomware die de systemen van het Duitse ziekenhuis in Dusseldorf vorige week trof, kon binnenkomen via het Citrix-lek dat eind vorig jaar ontdekt werd. Het ziekenhuis stelt de patch op de dag van de publicatie, in januari, doorgevoerd te hebben.
Volgens het Bundesamt für Sicherheit in der Informationstechnik, of BSI, zijn er meer incidenten waarbij Citrix-systemen al voor de installatie van de beveiligingsupdates in januari 2020 werden gecompromitteerd. De dienst van het Duitse ministerie van Binnenlandse Zaken zegt het niet met zoveel woorden, maar insinueert dat dit aan de hand was bij het Universitair Ziekenhuis Düsseldorf, dat vorige week getroffen werd door ransomware. Als gevolg daarvan moest een in levensgevaar verkerende patiënte uitwijken naar een ander ziekenhuis, waar ze overleed. De Duitse politie onderzoekt de zaak en de invloed van de vertraging van de behandeling.
Het ziekenhuis stelt in december vorig jaar, toen het Citrix-lek aan het licht kwam, de aanwijzingen van de BSI opgevolgd te hebben en de patch op de dag van verschijning geïnstalleerd te hebben. Volgens de BSI kan het dus zijn dat voor die tijd de besmetting plaats vond. Als gevolg daarvan konden aanvallers nog steeds toegang krijgen tot het systeem en de netwerken, zelfs nadat het beveiligingsprobleem verholpen was. "Deze mogelijkheid wordt momenteel in toenemende mate benut om aanvallen op getroffen organisaties te lanceren", aldus de veiligheidsdienst.
De BSI adviseert gebruikers van Citrix Gateway, voorheen NetScalerGateway, en Citrix Application Delivery Controller om hun netwerkinfrastructuur en systemen te controleren op mogelijke afwijkingen en hun beveiligingsmaatregelen daarop af te stemmen. Het ziekenhuis in Dusseldorf meldt dat het afgelopen jaar twee gespecialiseerde bedrijven opdracht had gegeven om het systeem te controleren, maar dat dit geen risico's aan het licht bracht. In de zomer van 2020 was bovendien een externe penetratietest gehouden, waar ook niets uit naar voren kwam. Het lijkt er op dat de criminelen achter de ransomware het op de Heinrich Heine Universiteit in Düsseldorf en niet op het ziekenhuis gemunt hadden.