Opkomst van de Nieuwe Versie van Knight Ransomware in Ziekenhuizen

Image in image block

De wereld is opgeschrikt door een reeks ransomware-aanvallen uitgevoerd door Ransomhub. Alleen al in april waren er 26 meldingen van aanvallen op ziekenhuizen en andere organisaties zoals veilinghuis Christie’s. Londense ziekenhuizen moesten bloedtransfusies en operaties stopzetten door deze aanvallen.

Wat is Ransomhub? Het is een vernieuwde versie van het ransomwareprogramma Knight. Begin 2024 werd de broncode van Knight te koop aangeboden op het dark web. De nieuwe eigenaar (of mogelijk dezelfde eigenaar) heeft het programma verbeterd en biedt het nu aan als Ransomware-as-a-Service (RaaS). Deze dienst trekt actief affiliates aan. Veel voormalige gebruikers van Lockbit stappen over naar Ransomhub, omdat Lockbit’s operatie recent zwaar is getroffen door politie en justitie. De man achter Lockbit blijft nog steeds op vrije voeten en actief.

Zorgsector onder vuur

In het verleden gaven diverse RaaS-operaties aan dat aanvallen op de zorgsector niet acceptabel waren, met name tijdens corona. De laatste tijd echter slaat Ransomhub toe bij zorginstellingen en hun leveranciers.

Double Extortion: Naast het traditionele ransomware verdienmodel, waarbij losgeld wordt geëist voor het herstellen van toegang tot versleutelde gegevens, gebruiken criminelen nu ook de “double extortion” methode. Hierbij stelen ze eerst data en dreigen vervolgens met het verkopen of openbaar maken van deze data.

Sneller dan voorheen De snelle groei en ontwikkeling van deze nieuwe RaaS-dienst suggereert dat Ransomhub een grote rol gaat spelen in de cybercriminele wereld. Dit is zorgwekkend, omdat de tijd tussen initiële toegang en het inzetten van ransomware steeds korter wordt.

Uit onderzoek blijkt dat sinds 2023 ransomware al in meer dan de helft van de gevallen binnen een week wordt ingezet. In een derde van de gevallen gebeurt dit zelfs binnen 48 uur. Het merendeel van de ransomware wordt buiten werktijd geactiveerd, vaak vroeg in de ochtend.

Gebruikte methodes

Zoals gebruikelijk bij ransomware-aanvallen, vindt initiële toegang vaak plaats via gegevens die zijn verkregen via phishing of spearphishing. Daarom is het essentieel dat uw organisatie permanent aandacht besteedt aan cybersecurity awareness van uw medewerkers, bijvoorbeeld met het SAFE-programma.

De hackers installeren malware en steeds vaker ook remote access software. Denk daarbij aan programma’s zoals teamviewer, VNC, Atera en Splashtop. Daarnaast maken ze regelmatig gebruik van de aanwezigheid van bekende kwetsbaarheden in het interne netwerk.

Welke bekende kwetsbaarheden?

We kunnen nooit exact weten wat de ransomware affiliates uitproberen. Maar op basis van eigen onderzoek kunnen we wel aangeven wat regelmatig mis gaat qua cybersecurity in de zorg. Ook geven de aanvallers zelf soms advies, zie de afbeelding hieronder.

Image in image block

Voorbeeld van een bericht van de aanvallers

Veelal krijgen de hackers eerst toegang tot een enkel systeem of een enkel account in het interne netwerk. Vervolgens komen de indringers op andere systemen en accounts in het netwerk door bijvoorbeeld misbruik te maken van:

  • Zwakke wachtwoorden en een gebrek aan multi-factor authenticatie
  • Zogeheten “Null-sessions” die soms worden toegestaan door systemen in het netwerk. Daarmee kan een aanvaller zonder inloggegevens beperkte toegang krijgen tot de inhoud van het systeem.
  • Een zogeheten “NTLM relay” aanval waarmee legitieme inlogpogingen door een aanvaller misbruikt kunnen worden om toegang te krijgen tot andere systemen.
  • Netwerkpoorten en diensten die alleen voor beheerders nodig zijn, zijn regelmatig ook beschikbaar of te gebruiken door medewerkers die geen beheerder zijn.
  • Systemen in het interne netwerk die niet up to date zijn bevatten bekende kritieke kwetsbaarheden waar misbruik van gemaakt kan worden, zoals bijvoorbeeld zerologon.

Volgende stap: de hoogste rechten

Wanneer de toegang tot het netwerk wat verbreed is, is het vervolgens regelmatig mogelijk om vergaande of zelfs de hoogste rechten binnen de omgeving te verkrijgen door aanvallen zoals:

  • Een misconfiguratie misbruiken in de Active directory (de zogenaamde ADCS-sjablonen die standaard aanwezig zijn in een AD omgeving) waardoor de aanvaller direct de hoogste rechten in de omgeving kan krijgen.
  • Accounts met hoge rechten verkrijgen door middel van zogenaamde “kerberoasting attacks”, waardoor de aanvaller het wachtwoord van het betreffende account met hoge rechten kan achterhalen.
  • Het met administratieve rechten op een systeem uit het werkgeheugen van de computer uitlezen van wachtwoorden of wiskundige waarden van wachtwoorden van recent ingelogde gebruikers. Bij server systemen, levert dit veelal accounts van beheerders met hoge rechten op, omdat dat de enige accounts zijn die op dergelijke systemen inloggen.

We raden dan ook organisaties in de zorg aan om met name de bovenstaande zaken nog wat extra aandacht te geven om de kwaadwillenden op korte termijn buiten de deur te houden.

Hoe kan Secura helpen?

Secura hanteert een risico-gebaseerde methode om te beoordelen hoe kwetsbaar uw organisatie is voor ransomware-aanvallen: het Ransomware Resilience Assessment. Op basis van de geidentificeerde en geclassificeerde risico’s geven wij u actiegericht advies om uw cyberweerbaarheid te vergroten.

Lees hier meer over ons Ransomware Resilience Assessment

OOK INTERESSANT VOOR U

Dark web monitoring

Article image

Detecteren van gestolen inloggegevens, die allebei initieel toegang tot het netwerk van de betrokken organisatie kunnen verlenen.

Awareness/phishing programma’s

Article image

Trainen van medewerkers door middel van een wetenschappelijk bewezen methode, waarbij het doel niet alleen is om mensen “bewust” te maken, maar om gedragsverandering teweeg te brengen.

Interne penetratietest

Article image

Als iemand toch binnenkomt, wat is er dan mogelijk en waar zitten de zwakheden? Dit onderzoek test onder meer de kritieke bevindingen uit dit artikel.

Meer informatie

Wilt u meer informatie over het verhogen van de weerbaarheid tegen ransomware? Vul het formulier in en we nemen binnen één werkdag contact met u op.

USP

OVER SECURA

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.