Ransomware bij Britse NHS-ziekenhuizen
In 2017 haalde ransomware de voorpagina, toen grote organisaties over de hele wereld werden getroffen door WannaCry, in een van de grootste internationale cyberaanvallen ooit. Een van de meest in het oog springende slachtoffers was de nationale gezondheidsdienst NHS in het Verenigd Koninkrijk. In dit artikel staan we stil bij de manier waarop de ransomware-aanval op de NHS in zijn werk ging, wat de gevolgen daarvan waren en welke lessen u daaruit kunt leren om het risico van ransomware-aanvallen voor uw bedrijf te verminderen.
Wanneer vond de aanval op de NHS plaats?
Op 12 mei 2017 werd de Britse NHS getroffen door een ransomwarevariant die luistert naar de naam WannaCry. Deze grote ransomware-aanval legde ziekenhuizen volledig lam doordat kritieke systemen uitvielen. Duizenden operaties moesten worden geannuleerd en het personeel had geen toegang tot patiëntendossiers en kon zelfs geen gebruik maken van de telefoonsystemen.
Volgens schattingen van NHS England werd ongeveer een derde van de 236 NHS-trusts in Engeland getroffen. Daardoor kregen personeel en patiënten te maken met privacy- en gezondheidsproblemen als gevolg van het datalek dat vervolgens ontstond.
Wat is WannaCry?
In mei 2017 groeide WannaCry uit tot 's werelds meest gevreesde vorm van ransomware, toen in één dag zo'n 230.000 computers wereldwijd werden getroffen. De WannaCry-aanval werd snel gestopt, maar varianten van de oorspronkelijke WannaCry-worm zijn nog steeds actief.
Als worm is WannaCry bijzonder moeilijk te stoppen. Dat komt doordat deze apparaten kan infecteren en zich automatisch over netwerken kan verplaatsen, waardoor één enkele infectie een risico vormt voor een groot aantal apparaten. WannaCry is slechts één van vele beruchte ransomwarevormen. Andere zijn bijvoorbeeld Sodinokibi en Ryuk.
Wat is Eternalblue?
De exploit die wordt gebruikt om te profiteren van een kwetsbaarheid in het Windows-besturingssysteem staat bekend als Eternalblue. Opvallend genoeg is deze exploit niet geschreven door hackers, maar door de Amerikaanse inlichtingendienst NSA (National Security Agency). Helaas werd Eternalblue gestolen door een hackersgroep die luistert naar de naam The Shadow Brokers en het gebruikte als uitgangspunt voor WannaCry. Al snel kwam Microsoft met een patch op de proppen, maar elke Windows-pc die sindsdien niet is bijgewerkt, blijft kwetsbaar.
Eternalblue maakt gebruik van SMBv1, een oud netwerkcommunicatieprotocol van Microsoft. Door een schadelijk pakket naar de doelserver te sturen kan de malware zich snel over het netwerk verspreiden en in een oogwenk uitgroeien tot een grote bedreiging voor de veiligheid.
Andere vormen van ransomware die een soortgelijke aanpak volgen, zijn Petya (ook gebaseerd op Eternalblue), Cerber en Locky.
Een aanval op de NHS - wat is er gebeurd?
De WannaCry-aanvallen waren niet gericht op specifieke organisaties. In plaats daarvan gingen ze opportunistisch te werk. Daarbij werd gezocht naar kansen om netwerken met bekende kwetsbaarheden te infecteren.
Hoewel WannaCry niet rechtstreeks op de NHS was gericht, werd de aanval in de hand gewerkt door de slechte beveiliging en verouderde systemen. Bij Britse ziekenhuizen stonden veel computers met ongepatchte versies van Windows 7. Daardoor waren grote delen van het netwerk kwetsbaar op ogenblik dat het ransomware-virus zich snel over de wereld verspreidde.
De WannaCry-malware infecteerde niet alleen lokale netwerken, maar kon zich ook verspreiden over het N3-netwerk, dat alle NHS-vestigingen met elkaar verbindt. Gelukkig kon de aanval zich niet via het e-mailsysteem van de NHS verspreiden. Daardoor werd voorkomen dat er nog meer gegevens voor losgeld zouden worden gegijzeld of voor phishing-doeleinden zouden worden gebruikt.
Hoe reageerde de NHS op de aanval?
Heeft de NHS het WannaCry-losgeld betaald?
Volgens NHS England en het Britse National Crime Agency heeft de NHS geen losgeld betaald. Hoewel het Britse ministerie van Volksgezondheid niet kan zeggen hoeveel de verstoring van de dienstverlening de NHS heeft gekost, lopen de schattingen op tot 92 miljoen pond (116 miljoen dollar).
De cyberaanval werd gestopt door computerbeveiligingsonderzoeker Marcus Hutchins. Hij ontdekte in de programmacode van de ransomware een ongeregistreerd domein dat automatisch werd gecontroleerd. Door het domein te registreren slaagde hij erin een “kill switch” te maken. Het Britse National Cyber Security Centre had de dagen daarna de handen vol om het domein te beschermen tegen pogingen om het neer te halen, totdat er een decryptiemethode was gevonden.
Wat waren de gevolgen van de ransomware-aanval op de NHS?
Ten minste 80 van de 236 NHS-trusts in het Verenigd Koninkrijk werden door het virus getroffen, naast 603 organisaties voor eerstelijnszorg en andere NHS-organisaties en 595 huisartsenpraktijken.
De cyberaanval werd gestopt door computerbeveiligingsonderzoeker Marcus Hutchins. Hij ontdekte in de programmacode van de ransomware een ongeregistreerd domein dat automatisch werd gecontroleerd. Door het domein te registreren slaagde hij erin een “kill switch” te maken. Het Britse National Cyber Security Centre had de dagen daarna de handen vol om het domein te beschermen tegen pogingen om het neer te halen, totdat er een decryptiemethode was gevonden.
Andere voorbeelden van ransomware-aanvallen bij grote ziekenhuizen
De aanval met ransomware op de NHS is niet het enige spraakmakende incident waarbij medische instellingen betrokken waren. In juli 2019 werd Springhill Medical Center in Alabama getroffen door een ransomware-aanval. Dit leidde tot een netwerkstoring waardoor monitoringsystemen op de kraamafdeling uitvielen. Daarop spande een van de moeders, Teiranni Kidd, een rechtszaak aan. Haar kind was namelijk als gevolg van de aanval geboren met hersenletsel waarna het overleed. Hierdoor veranderde de manier waarop de gezondheid van patiënten werd opgevolgd. Dit was waarschijnlijk de eerste dode als gevolg van ransomware.
Een andere zeer schadelijke ransomware-aanval van de afgelopen jaren was die op United Health Services in september 2020. Het IT-netwerk lag dagenlang plat als gevolg van Ryuk-ransomware, wat ertoe leidde dat afspraken niet doorgingen, patiënten naar andere faciliteiten moesten worden overgebracht en men ineens weer afhankelijk werd van papieren dossiers. Het duurde bijna een maand om alles te herstellen en de kosten werden geraamd op 67 miljoen dollar.
Jammer genoeg komen ransomware-aanvallen op ziekenhuizen steeds vaker voor. Uit een rapport blijkt dat in 2021 45 miljoen mensen getroffen werden door aanvallen op de gezondheidszorg, een dramatische stijging ten opzichte van de 34 miljoen in 2020. Uit een ander onderzoek komt naar voren dat in 2021 maar liefst 81% van de organisaties in de Britse gezondheidszorg het slachtoffer was van ransomware-aanvallen.
Wat kunnen eigenaren van bedrijven hieruit leren?
Het Britse ministerie van Volksgezondheid werd een jaar voor de WannaCry-aanval gewaarschuwd voor de risico's van cyberaanvallen op de NHS, en hoewel er werd gewerkt aan veranderingen, was het te laat. Destijds werd het ministerie ook bekritiseerd omdat het het gebruik van Windows-systemen zo oud als Windows XP toestond, een besturingssysteem dat Microsoft al sinds 2014 niet meer ondersteunt.
De belangrijkste les die we uit deze geruchtmakende aanval kunnen trekken, is dat prioriteit moet worden gegeven aan beste praktijken op het gebied van cyberveiligheid en patchbeheer. Hoewel dit moeilijk kan zijn in een veeleisende omgeving, is het van essentieel belang om kwetsbaarheden te voorkomen die door hackers kunnen worden uitgebuit om in te breken op uw bedrijfsnetwerk en server.
Daarnaast moeten beste praktijken op het gebied van cyberveiligheid worden toegepast, waaronder:
- Het opstellen van een IT-plan voor noodherstel
- Het invoeren van ransomwarebeschermingstools
- Het opleiden van personeel om phishing- en social-engineeringaanvallen te voorkomen
- Het maken van veilige gegevensback-ups zodat belangrijke documenten kunnen worden hersteld
Door deze elementen te combineren kunt u het risico van een aanval beperken en zo de tijd die gemoeid is met uitval en herstel tot een minimum terugbrengen. Als uw bedrijf dan toch het slachtoffer wordt van een aanval, weet dan dat veel veiligheids- en overheidsinstanties decryptiehulpmiddelen hebben ontwikkeld om gegevens te herstellen die met bepaalde bekende ransomwaretypen zijn gestolen.
Lees voor meer informatie over grote ransomware-aanvallen onze casestudy’s over de aanvallen op de Amerikaanse steden Atlanta en Baltimore.
Laat Avast uw bedrijf beschermen tegen ransomware-aanvallen
Back-ups en doeltreffende beveiligingsmaatregelen zijn van essentieel belang om uw bedrijf tegen ransomware-aanvallen te beschermen. Met de cyberbeveiligingsoplossingen van Avast voor kleine bedrijven kunt u het beschermingsniveau kiezen dat het beste past bij de omvang en de vereisten van uw bedrijf. Op die manier kunt u apparaten beschermen tegen ransomware en andere soorten cyberaanvallen.