Deze week waarschuwde de cyberveiligheidstak HC3, van het Amerikaanse ministerie van Volksgezondheid, voor de ransomware groepering Hive. De cybercriminelen hebben sinds juni 2021 al honderden organisaties aangevallen. Hive richt zich ook op organisaties in de zorgsector. Het hackerscollectief wordt omschreven als een uitzonderlijk agressieve en financieel gemotiveerde ransomware groepering met geavanceerde capaciteiten.
Het is niet voor het eerst dat een Amerikaans overheidsorgaan aandacht besteedt aan Hive. Afgelopen september waarschuwde de FBI al voor dit hackerscollectief. HC3 laat weten: "Bij de verdediging tegen Hive, of elke andere ransomware variant, zijn er standaardprocedures die moeten worden gevolgd. Preventie is altijd de optimale aanpak." Volgens de HC3 analisten gebruiken de hackers een grote verscheidenheid aan unieke tactieken, technieken en procedures, ten opzichte van andere cybercriminelen. Hive zoekt in de zorgsystemen naar applicaties en processen die back-ups maken van gevoelige data. Vervolgens verwijderen de hackers de schaduwkopieën, back-upbestanden en systeemsnaphots van het slachtoffer.
Ransomware-aanval Hive
De HC3 (Health Sector Cybersecurity Coordination Center) beschrijft in een analistennota de operationele kenmerken van Hive. Het gaat onder meer om dubbele afpersing, oftewel gegevensdiefstal vóór encryptie. De hackers versleutelen de gestolen data, gekenmerkt doordat de bestanden eindigen op een .hive, .key.hive of .key extensie. Hive gebruikt de programmeertaal Go (Golang) om malware en ransomware te ontwikkelen.
Net als andere hackers werken ze samen met tussenpartijen, die de ransomware tegen betaling mogen gebruiken, om zelf hackaanvallen uit te voeren bij zorgorganisaties. De hackers maken vervolgens een kopie van de buitgemaakte data en laten op het systeem een link achter. Deze link verwijst naar een website, waar de hackers communiceren met de slachtoffers van de hackaanval. Speciale teams van onderhandelaars bedreigen de slachtoffers met het openbaar maken van de data, tenzij losgeld wordt betaald. Sommige ransomware groeperingen hanteren een drievoudige afpersingstechniek. Mochten de onderhandelingen mislukken, dan dreigen ze met een DDoS-aanval op de infrastructuur of het netwerk van de organisatie.
Maatregelen zorgsector
Veiligheidsexperts raden af om losgeld te betalen aan groeperingen als Hive, hoewel ze zich wel bewust zijn van de dilemma’s bij zorgorganisaties. Die werken met systemen waar patiënten afhankelijk van zijn. Een hackaanval kan mogelijk levens kosten. Daarnaast hebben ziekenhuizen privacygevoelige data die absoluut niet mag uitlekken.
HC3 adviseert zorgorganisaties om gebruik te maken van twee-factor authenticatie, voldoende gegevensback-ups, sterke wachtwoorden, voortdurende monitoring van de beveiligingssystemen, het gebruik van vulnerability management software en enpoint beveiliging. Ook raden ze aan om de 3-2-1-regel voor de gegevensback-up te hanteren. Dit houdt in dat een zorgorganisatie op drie verschillende locaties back-ups heeft opgeslagen van de gevoelige data. Een van de locaties is offline en de overige twee op een beveiligd online platform. Tot slot is het verstandig om een hackaanval na te bootsen en te weten waar de zwakke plekken van de organisatie liggen.
Slachtoffers Hive
Het aantal slachtoffers, waarvan de data is gelekt op het darkweb, steeg in 2021 wereldwijd met 85 procent (2566 organisaties). Gemiddeld wordt er 300.000 dollar aan losgeld betaald door een getroffen organisatie. Het merendeel van de slachtoffers komt uit Noord-Amerika. Zo’n drie op de tien organisaties bevindt zich in Europa.
Inmiddels staat Hive bekend als één van de grootste ransomware bedreigingen voor de gezondheidszorg. Vorig jaar augustus voerden ze een aanval uit op het Memorial Health System in de Amerikaanse staat Illinois. Het resulteerde in grootschalige datadiefstal en trof zo’n 215.000 patiënten. In september volgde een cyberaanval op het Missouri Delta Medical Center.
Vorige maand eiste Hive de verantwoordelijkheid op voor het stelen van 850.000 online dossiers van de zorgorganisatie Partnership HealthPlan of California. De dossiers bevatten ook persoonlijke identificeerbare informatie van de patiënten, zoals namen, adressen, geboortedata en sofinummers. Vorige week onthulde Hive een deel van deze informatie, op een speciaal aangemaakte website op het darkweb.
Plaats een Reactie
Meepraten?Draag gerust bij!