Belangrijke lessen na de ransomware-aanval op de Ierse gezondheidszorg

In mei 2021 werd het hele gezondheidszorgsysteem in Ierland getroffen door een ongekende ransomware-aanval. HEAnet, het SURF van Ierland, volgde deze aanval en trok er een aantal belangrijke lessen uit. Die lees je in dit artikel van Louise O’Sullivan van HEAnet.

Onderzoekers bij VUmc aan het werk in lokaal met ICT

Conti-ransomware

Bij de aanval in mei 2021 waren de systemen van de HSE (Health Service Executive) het doelwit van Conti-ransomware, waardoor veel van de systemen van de HSE werden versleuteld. Dit type ransomware is ontworpen om door een aanvaller te worden uitgevoerd, in plaats van via een geautomatiseerd proces. Vermoedelijk was de aanval afkomstig van een phishing-e-mail.

Grote verstoringen

Deze aanval veroorzaakte aanzienlijke verstoringen voor de HSE, waardoor veel ziekenhuizen moesten terugvallen op pen en papier en de meeste afspraken werden geannuleerd. Er werd gemeld dat mogelijk patiënt-, personeels of andere gegevens waren buitgemaakt. Er is geen losgeld betaald en een week na de eerste aanval is de decryptiesleutel verstrekt. Omdat de aanval zo omvangrijk was, waren het NCSC van Ierland, de politie en het leger betrokken bij het oplossen van het incident.

Meer interesse voor cybersecurity

Aangezien deze aanval zoveel mensen in Ierland trof, kreeg cyberbeveiliging ineens veel belangstelling, des te meer omdat deze aanval plaatsvond tijdens de covid-19-pandemie. Bij HEAnet nam de vraag van hun klanten naar bewustmakingstrainingen over ransomware drastisch toe.

Lessen over bewustwording van ransomware

Na deze aanval heeft de ICT-beveiligingsdienst van HEAnet de volgende belangrijke lessen opgesteld:

  • Real-life voorbeelden: mensen worden zicht echt bewust van de gevaren van ransomware als je ze in trainingen concrete voorbeelden laat zien die relevant zijn voor hun eigen werkgebied. En train de mensen continu!
  • Phishing-e-mails: een phishing-e-mail is een van de meest voorkomende manieren om ransomware in een organisatie te verspreiden. Daarom is het heel belangrijk om mensen te leren wat phishing-e-mails zijn en hoe je ze herkent.
  • Ransomwaredraaiboek: het is belangrijk om een incident-responsplan te implementeren, inclusief een ransomwaredraaiboek. Dit draaiboek is een waardevol hulpmiddel omdat het beschrijfthoe je een door ransomware getroffen systeem kunt herstellen.
  • Inzicht in ransomware: het is ook heel belangrijk dat iedereen in de organisatie begrijpt hoe ransomware een netwerk kan binnendringen. Hieronder volgt een overzicht van de algemene aanpak van een ransomware-aanval.

Aanpak ransomware-aanval

  • Distributiecampagne: aanvallers gebruiken technieken zoals phishing-e-mails en speciale websites om gebruikers te misleiden of te dwingen een 'dropper' te downloaden die het begin van de infectie vormt. Een dropper is een stukje software dat de eigenlijke ransomware downloadt en installeert.
  • Infectie met kwaadaardige code: de dropper maakt contact met de site van de aanvaller en downloadt een uitvoerbaar bestand dat de ransomware zelf installeert.
  • Installeren van de ransomware: de ransomware installeert zichzelf, door zich in het systeem te nestelen.
  • Scannen: de ransomware zoekt naar inhoud om te versleutelen, zowel op de lokale computer als op alle toegankelijke netwerkbronnen.
  • Encryptie: bestanden worden versleuteld; de ransomware valt meestal back-upbestanden en -mappen aan zodat deze niet kunnen worden gebruikt om de gegevens te herstellen.
  • Betaaldag: er wordt een losgeldbrief gegenereerd. Het slachtoffer ontvangt instructies over hoe het losgeld te betalen (meestal in bitcoin). Slachtoffers krijgen meestal een paar dagen de tijd om het losgeld te betalen, waarna de prijs zal stijgen.

(bron: Exabeam Threat Research Report (pdf))

Op basis van deze bevindingen heeft HEAnet nu meer informatie over ransomware en de preventie ervan opgenomen in de Security Awareness Training. Ook organiseert HEAnet een aantal workshops over ransomware vanuit een technisch perspectief.

Meer proactief handelen

Conclusie: na de ransomware-aanval op de gezondheidszorg in Ierland is de belangstelling voor cybersecurity sterk toegenomen. Niet alleen bij de overheid, maar ook bij bedrijven, onderwijs en andere organisaties in Ierland. Het laat ook zien dat we moeten proberen om proactiever te werken in plaats van alleen reactief te handelen als het gaat om cyberbeveiliging en de bedreigingen.

Meer informatie

Dit is een bewerking van een artikel van GÉANT dat werd gepubliceerd in het kader van de CyberSecurityMonth 2021.