Beveiligingsexperts waarschuwen dat slachtoffers van Ransomware-aanvallen ALLE wachtwoorden moeten wijzigen

Wanneer een organisatie wordt getroffen door ransomware, denken veel mensen dat het enige waar ze zich zorgen over moeten maken, het herstellen van de gegevens zo snel mogelijk is. Eerder deze week vertelde cybersecurityverslaggever Brian Krebs het verhaal van een ransomware-aanval op een IT-serviceprovider met de naam Virtual Care Provider Inc. (VCPI), en in het proces liet hij ons zien hoeveel andere factoren er zijn speel wanneer de hackers de gegevens van anderen gegijzeld houden.

We moeten waarschijnlijk beginnen met het feit dat VCPI diensten verleent aan meer dan 100 verpleeghuizen en zorginstellingen in 45 staten. Het zou niet te moeilijk moeten zijn om te zien dat het verstoren van de IT-infrastructuur van een dergelijk bedrijf behoorlijk verwoestend kan zijn, maar de echte omvang van het gevaar wordt pas duidelijk als je kijkt hoe de aanval zich heeft voltrokken.

Het werd voor het eerst opgemerkt in de vroege uren van de ochtend van 17 november toen de aanvallers de Ryuk-ransomware op het netwerk van VCPI loslieten. Kort daarna werden alle gegevens gehost door de cloudserviceprovider gecodeerd en kreeg VCPI te horen dat het de sleutel kan hebben die de bestanden ontgrendelt als het maar liefst $ 14 miljoen aan bitcoin uitbetaalt. Het is een behoorlijk groot losgeld, maar nogmaals, ook de hoeveelheid gegevens die gegijzeld werd.

De aanval had een vreselijke impact op VCPI en zijn klanten

Klanten van VCPI verloren toegang tot alles, van e-mail, via telefoon- en factureringssystemen tot loonlijstactiviteiten. Patiëntendossiers waren ontoegankelijk en sommige artsen konden geen bestellingen plaatsen voor vitale medicijnen vanwege de aanval, wat betekende dat voor sommige patiënten de ransomware-infectie fatale gevolgen kon hebben. Een paar dagen na het incident vertelde Karen Christianson, CEO van VCPI, aan Brian Krebs dat haar bedrijf niet over de middelen beschikt om het losgeld te betalen en dat de aanval heel goed het einde kan betekenen voor de datahosting.

De eerste voorspellingen kwamen echter niet uit. Hoewel de klanten van VCPI na de aanval aanzienlijke problemen ondervonden, slaagde de hostingprovider erin de gegevens te herstellen. Waarschijnlijk in een poging om de hoeveelheid PR-schade die VCPI leed te beperken, vroeg Karen Christianson Brian Krebs om een vervolgverslag te schrijven over hoe het bedrijf herstelde. Krebs stemde ermee in om een interview te plannen, maar kort nadat de datum en tijd waren overeengekomen, ontving hij een e-mail die onmiddellijk zijn aandacht trok.

De omvang van de infiltratie wordt duidelijk

Het bericht zou afkomstig zijn van een lid van de hackgroep die VCPI aanviel, wat voor Brian Krebs althans niet zo ongewoon is. Het verzoek van de e-mail was echter nogal vreemd. De boef vroeg Krebs om de CEO van VCPI eraan te herinneren dat het kortingsaanbod op het losgeld af zou lopen.

De vermeende ransomware-operator was op de een of andere manier op de hoogte van het geplande interview en Krebs betwijfelde of deze kennis gebaseerd was op giswerk. De cybersecurity-reporter dacht dat de hackers naast de ransomware andere tools hadden gebruikt die hen toegang hadden gegeven tot de interne systemen en communicatie van VCPI. Krebs belde experts van Hold Security en vroeg hen hem te helpen een beter inzicht te krijgen in de reikwijdte van het compromis.

Snel genoeg leverde het onderzoek bewijs op dat de infrastructuur van VCPI voor het eerst werd geïnfiltreerd lang geleden in september 2018, waarschijnlijk met het gebruik van een kwaadaardig Word-document met macro-instructies. Het Word-document heeft Emotet gedownload, een malwarefamilie die bekend staat om zijn wormachtige functies waarmee het zijwaarts binnen een netwerk kan bewegen.

De hackers gingen op wachtwoordstelen voordat ze de Ryuk-ransomware implementeerden

Na het gebruik van Emotet om vaste voet aan de grond te krijgen in het netwerk van VCPI, zetten de boeven Trickbot in - een banktrojan die werd geprezen om zijn veelzijdigheid en krachtige mogelijkheden voor het stelen van inloggegevens. De experts van Hold Security zijn er zelfs in geslaagd enige communicatie tussen boeven te onderscheppen, wat suggereert dat tijdens de VCPI-aanval gebruikersnamen en wachtwoorden voor maar liefst 300 websites en online serviceproviders werden aangetast. Deze omvatten wachtwoordbeheerplatforms, bank-, facturerings- en loonportaalportals, receptbeheer en medische hulpmiddelen, verzend- en portrekeningen, enz. Brian Krebs bracht het bewijsmateriaal naar voren tijdens het interview met Karen Christianson, en hoewel VCPI dit niet heeft toegegeven officieel, het feit dat het interview kort daarna abrupt eindigde, suggereert dat de CEO absoluut geen idee had van de diefstal.

Ransomware-operators zijn nu al een tijdje gericht op organisaties in plaats van op eindgebruikers. We hebben het niet langer over script-kiddies die wat chaos willen aanrichten en snel geld willen verdienen. Meer recente aanvallen worden uitgevoerd door geavanceerde hackers die over heel wat tools en middelen beschikken en soms is het inzetten van de ransomware slechts een klein deel van de hele operatie. Organisaties zoals VCPI moeten leren dat hackers op veel verschillende fronten kunnen toeslaan en dat inloggegevens vaak de spreekwoordelijke laaghangende vrucht zijn. Dat is waarom, zoals Brian Krebs in zijn rapport concludeerde, het wijzigen van wachtwoorden hoog op de prioriteitenlijst moet staan voor elk bedrijf dat een cyberaanval heeft ondergaan, ongeacht of het incident ransomware betrof.