Z-CERT: ransomware grootste in dreigingsbeeld zorgsector

Door · 21/02/2022

crisisgame

De grootste digitale dreiging in de zorgsector is ransomware. Dat blijkt uit het Dreigingsbeeld voor de Zorg van de analisten van de Stichting Z-CERT. Z-CERT is het expertisecentrum voor cybersecurity in de zorg. Het is de tweede keer dat de instelling een dergelijk dreigingsbeeld opstelt.

Het afgelopen jaar steeg de hoeveelheid ransomware-incidenten zowel in Nederland als Europa aanzienlijk. Verbeteren van de cyberweerbaarheid tegen dit soort aanvallen en groepen is daarom voor zowel grote als kleine organisaties belangrijk.

De meeste ransomware-aanvallen vonden volgens het dreigingsbeeld plaats in het derde kwartaal vorig jaar. Dat gebeurde vooral veel bij organisaties tussen de 11 en 1.000 werknemers. Zij incasseerden toen 78,3 procent van de ransomware-incidenten.

Een groot deel van die aanvallen is niet doelgericht. Dit heeft als voordeel dat de initiële aanvalsmethoden vaak te voorspellen zijn. Z-CERT constateert dat bij veel van de ransomware-incidenten drie methoden het meest voorkomen.

  1. Verleiden van gebruikers om kwaadaardige software (malware) op
    te starten
  2. Inloggen op RDP (mogelijkheid binnen Windows om op afstand
    computer over te nemen) met gestolen of geraden inloggegevens
  3. Aantasten van systemen door misbruik te maken van kwetsbaarheden
    in de software

Het is niet ongebruikelijk dat een middelgrote zorginstelling tussen de 75 en 200 besmette mails per maand ontvangt. Niet altijd wordt de malware gedetecteerd door de mailgateway, web proxy of virusscanner. Bij uitvraag bij 92 deelnemers werden 37 malware besmettingen gemeld verdeeld over zestien instellingen.

Een deel van deze malware komt van ransomware-groepen. Zorginstellingen nemen daarom vaak aanvullende maatregelen om de uitvoering van malware te voorkomen. Om vast te stellen hoever we in de zorg op dit gebied zijn, hebben we een enquête gehouden.

Van de ondervraagde zorginstellingen, heeft …
  1. 64 procent applicatie-whitelisting/allow-listing toegepast
    op gebruikerscomputers
  2. 59 procent het gebruik van Office-macro’s gereguleerd
  3. 47 procent een Endpoint Detection and Response (EDR)
    oplossing draaien

Dit zijn positieve cijfers voor de zorg, maar er is meer winst te behalen. Alleen vertrouwen op de spamfilter, web proxy, sandboxing of virusscanner blijkt gezien de hoeveelheid incidenten lang niet altijd voldoende. Het hebben van een Endpoint Detection and Response oplossing helpt om een hacker te detecteren die niet wordt gezien door de antivirusoplossing.
EDR helpt ook om snel maatregelen te treffen in geval van infectie.

Systeembeheerders gebruiken vaak een oplossing om op afstand beheeractiviteiten uit te voeren, RDP genoemd. Helaas hebben kwaadwillenden dit door en proberen ze op deze systemen op grote schaal gebruikersnamen en wachtwoorden uit. Als een systeembeheerder een eenvoudig te raden wachtwoord gebruikt, wordt de server gecompromitteerd. Z-CERT zag dat in 2021 RDP-inloggegevens van zorginstellingen werden verhandeld op het dark web.
Van de ransomware-incidenten in 2021 had 40 procent voorkomen
kunnen worden als de RDP niet was ontsloten via internet.

voor ransomware-groepen vanuit opsporings- en inlichtingendiensten
komende jaren verder toeneemt. Maar zolang je veel geld kunt verdienen aan cybercrime, verwacht Z-CERT niet dat de dreiging afneemt. Naar aanleiding van de acties van onder meer de Amerikaanse regering beloofden sommige ransomwaregroepen geen zorginstellingen meer aan te vallen. Dat zijn mooie
voornemens, waardoor Z-CERT alleen niet wordt gerustgesteld. De goudkoorts
onder ransomware-groepen is namelijk zo hevig dat de zorg
nog altijd prominent in de ransomware-statistieken terugkomt [6] [7].

Maatregelen

in dit dreigingsbeeld staat een top 10 met maatregelen die in de praktijk de meeste aanvallen door ransomware-groepen tegenhouden en de netwerkinfiltratie bemoeilijken. Daarnaast is het goed om over de hele breedte te kijken welke maatregelen er nodig zijn. Er zijn verschillende whitepapers
beschikbaar die u hiermee verder kunnen helpen.

Wat verder opvalt in 2021 is dat ransomware-groepen steeds sneller tot hun doel komen als ze eenmaal binnen een netwerk zijn. Het is daarom belangrijk om met de technische staf na te gaan of een netwerk makkelijk te infiltreren is. Controleer ook of het voor hackers eenvoudig is om wachtwoorden en andere
authenticatieobjecten of rechten te stelen en te misbruiken. De
maatregelen die u vervolgens neemt, zijn vaak kosteloos.

Wel vergt het nemen van de juiste maatregelen kennis en begrip
van de methoden die hackers gebruiken. Als u dat duidelijk heeft,
kunt u de aanvallers raken waar het hen het meest pijn doet. Zo vergroot u de kans dat de aanvaller afhaakt of wordt gedetecteerd.

Voorbeelden van praktische gidsen die u helpen netwerkinfiltratie
te bemoeilijken
  • Windows Credential Theft Mitigation Guide Abstract
  • Ransomware Protection and Containment Strategies
  • Restricting SMB-based lateral movement in a Windows
    environment
Lees ook:

Tags:

Gerelateerde berichten...

Volg ons:

Uitgelicht

Van datastrategie naar succesvolle AI-toepassing: de ervaringen van Schiphol

 Wat is er nodig om de mogelijkheden van Artificial Intelligence (AI) daadwerkelijk in de praktijk te benutten? Maarten van den ...

RGF Staffing voert succesvolle ‘openhartoperatie’ uit op haar applicatielandschap

Een complex applicatielandschap met veel maatwerk vereenvoudigen en migreren naar standaardapplicaties. Het is de wens van veel bedrijven, maar bijna ...

Congresaanbod Heliview 2024

Heliview organiseert ook in 2024 weer verschillende congressen met als doel duurzame contacten tot stand te brengen en kennis te ...

Tim Verbrugge (L) en Mike Bergman (R)

Haal meer uit Teams

Sinds we in 2020 wereldwijd tot online communicatie werden gedwongen, zijn oplossingen als Teams uitgegroeid tot de nieuwe overlegstandaard. Toch ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

» Meer bedrijfsnieuws