Groeiende golf van ransomware-aanvallen treft Amerikaanse ziekenhuizen

WASHINGTON/SAN FRANCISCO (Reuters) – Oost-Europese criminelen richten zich op tientallen Amerikaanse ziekenhuizen met ransomware, en federale functionarissen riepen woensdag zorginstellingen op om de voorbereidingen snel op te voeren voor het geval ze de volgende zijn.
De FBI onderzoekt de recente aanvallen, waaronder incidenten in Oregon, Californië en New York die deze week openbaar zijn gemaakt, volgens drie cybersecurityconsultants die bekend zijn met de zaak.
Een arts in een ziekenhuis vertelde aan Reuters dat de faciliteit op papier functioneerde na een aanval en dat patiënten niet konden worden overgeplaatst omdat het dichtstbijzijnde alternatief een uur rijden was. De arts weigerde bij naam genoemd te worden omdat het personeel niet bevoegd was om met verslaggevers te spreken.
"We kunnen nog steeds vitale functies monitoren en beeldvorming laten maken, maar alle resultaten worden alleen via papier gecommuniceerd," zei de arts. Het personeel kon historische documenten zien, maar die bestanden niet bijwerken.
Deskundigen zeiden dat de waarschijnlijke groep achter de aanvallen bekend stond als Wizard Spider of UNC 1878. Zij waarschuwden dat dergelijke aanvallen de ziekenhuisactiviteiten kunnen verstoren en tot verlies van mensenlevens kunnen leiden.
De aanvallen leidden woensdag tot een telefonische conferentie onder leiding van FBI- en Homeland Security-functionarissen voor ziekenhuisbestuurders en cybersecurity-experts.
Een deelnemer vertelde aan Reuters dat overheidsfunctionarissen ziekenhuizen waarschuwden om ervoor te zorgen dat hun back-upsystemen in orde waren, systemen waar mogelijk van het internet los te koppelen en het gebruik van persoonlijke e-mailaccounts te vermijden.
De FBI reageerde niet direct op een verzoek om commentaar.
"Dit lijkt een gecoördineerde aanval te zijn geweest die specifiek ziekenhuizen in het hele land moest verstoren," zei Allan Liska, een dreigingsinformatie-analist bij het Amerikaanse cybersecuritybedrijf Recorded Future.
"Hoewel meerdere ransomware-aanvallen op zorgverleners per week heel gewoon zijn, is dit de eerste keer dat we zes ziekenhuizen op dezelfde dag door dezelfde ransomware-actor zien worden aangevallen."
In het verleden hebben ransomware-infecties in ziekenhuizen patiëntendossiers platgegooid, die kritisch actuele medische informatie opslaan, wat het vermogen van ziekenhuizen om gezondheidszorg te bieden beïnvloedt.
Ransomware-aanvallen zijn de afgelopen drie maanden met 50 procent gestegen, aldus beveiligingsbedrijf Check Point woensdag, waarbij het aandeel van de getroffen zorginstellingen in het derde kwartaal steeg naar 4 procent, van 2,3 procent in het voorgaande kwartaal.
Twee van de drie consultants die bekend zijn met de aanvallen zeiden dat de cybercriminelen vaak een type ransomware gebruikten dat bekendstaat als "Ryuk", waarbij de computer van een slachtoffer wordt vergrendeld totdat er een betaling is ontvangen.
De deelnemer aan het teleconference call zei dat overheidsfunctionarissen hadden onthuld dat de aanvallers Ryuk en een andere trojan, bekend als Trickbot, tegen de ziekenhuizen hadden gebruikt.
"UNC1878 is een van de meest brutale, harteloze en ontwrichtende dreigingsactoren die ik in mijn carrière heb waargenomen," zei Charles Carmakal, senior vice president van het Amerikaanse cyberincidentresponsbedrijf Mandiant.
"Meerdere ziekenhuizen zijn al zwaar getroffen door Ryuk-ransomware en hun netwerken zijn offline gehaald."
Experts zeggen dat de inzet van Trickbot aanzienlijk is na pogingen van Microsoft om het hacknetwerk eerder deze maand te verstoren.
Dat initiatief was bedoeld om de cybercriminelen te beperken, maar ze lijken snel te zijn hersteld, zei Stefan Tanase, een cybercrime-analist.
"Wat we hier zien is bevestiging dat de berichten over de Trickbot-uitschakeling sterk overdreven waren," zei hij.


