LabCorp Datalek Angsten waren ongegrond. Het was een Ransomware-aanval.

LabCorp Ransomware Attack

Laboratory Corporation of America Holdings of LabCorp heeft wereldwijd 60 duizend werknemers, helpt bij klinische proeven in bijna 100 landen en verwerkt elke week ongeveer 2,5 miljoen laboratoriumtests. Dit betekent dat LabCorp mogelijk zeer gevoelige gegevens met betrekking tot de gezondheid van miljoenen mensen verwerkt en opslaat. Zoals u zich kunt voorstellen, toen het bedrijf aankondigde dat het 'verdachte activiteit' op zijn IT-netwerk had gedetecteerd, waren de reacties niet bepaald positief. Mensen waren echt bang voor hun gezondheidsinformatie. Het bleek dat ze zich niet veel zorgen hoefden te maken.

Het nieuws brak op maandag toen het bedrijf een 8-K-aanvraag indiende bij de Securities and Exchange Commission. Het document zei niet veel, afgezien van het feit dat sommige computers en servers van LabCorp tijdens het weekend op een ongebruikelijke manier werkten. Hoewel de indiening suggereert dat het IT-team van het bedrijf op dat moment geen idee had waar ze mee te maken hadden, werden veel van de systemen afgesloten om echte schade te voorkomen.

Gisteren rapporteerde CSO meer details over de aanval. Blijkbaar begonnen hackers om middernacht op 13 juli hun pogingen om het netwerk van LabCorp te infiltreren door de inloggegevens voor Remote Desktop Protocol (RDP) bruut te forceren. Tegen 18.00 uur op 14 juli waren ze binnen en lieten ze hun lading vallen - een soort ransomware bekend als SamSam.

Het goede nieuws

Het is duidelijk dat een cyberaanval nooit goed nieuws kan zijn, vooral niet voor de organisatie die het doelwit is, maar in dit geval zijn we er vrij zeker van dat zowel LabCorp-medewerkers als patiënten een collectieve zucht van verlichting haalden toen ze hoorden dat het laboratoriumnetwerk was getroffen door ransomware.

Het alternatief was een stukje malware dat gegevens van patiënten steelt en blootlegt die verwoestende gevolgen kunnen hebben gehad. Na zorgvuldig onderzoek van het bewijsmateriaal verklaart LabCorp vol vertrouwen dat er geen informatie is gelekt. Je kunt dus zeker zeggen dat het veel erger had kunnen zijn.

Bij het vernemen van de aanval begon het IT-team van LabCorp onmiddellijk met het offline nemen van systemen in een poging de schade te beperken. Binnen vijftig minuten was de infectie ingeperkt, maar tegen die tijd was SamSam er al in geslaagd om de gegevens op 7.000 systemen en 1.900 servers te coderen.

Ondanks de aanzienlijke schade die ze veroorzaakten, gingen de hackers met lege handen weg. Volgens officiële aankondigingen werd de ransomware " verwijderd ", wat suggereert dat LabCorp back-ups had vanwaar ze de gecodeerde informatie herstelden. Het bedrijf zegt dat de meeste testactiviteiten zijn hervat en dat alles binnen een paar dagen weer normaal is.

Al met al verdient de reactie van LabCorp op de aanval een zekere mate van lof. Het bedrijf reageerde snel en de ransomware was aanwezig voordat het de infrastructuur van het laboratoriumnetwerk volledig kon verbreken. Daarna zorgde hun verantwoordelijke beheer van gevoelige gegevens ervoor dat er geen informatie verloren ging.

Het niet-zo-goede nieuws

LabCorp moet de exacte soort ransomware nog identificeren, maar CSO en hun bronnen lijken vrij zeker te zijn dat het SamSam is, omdat deze familie het afgelopen jaar meer dan een paar organisaties in de gezondheidszorg heeft getroffen. Wat meer is, hoewel het niet hun enige infectievector is, vallen de SamSam-bende vaak slachtoffers aan door brute-dwingende RDP-referenties.

Nogmaals, de details zijn nog steeds onduidelijk, maar er zijn aanwijzingen dat LabCorp geen tweefactorauthenticatie had die hun RDP-accounts beschermde. Met andere woorden, er was bewijs dat LabCorp een potentieel doelwit is, en toch, hoewel het goed op de aanval reageerde, had het niet de enige stap gezet die het had kunnen stoppen.

Experts zeggen vaak dat een hacker slechts eenmaal hoeft te slagen om een succesvolle aanval uit te voeren. De gebruikers en de organisaties die aan de andere kant, moeten echter de hele tijd te slagen als ze om een veiligheidsincident te voorkomen. De ransomware-aanval op LabCorp bewijst hoe correct deze verklaring is.

February 12, 2020

Laat een antwoord achter