FBI "Groot aantal ziekenhuizen wereldwijd besmet met malware"

Gepubliceerd op 1 april 2020 om 10:30

FBI "Groot aantal ziekenhuizen wereldwijd besmet met malware"

Een groot aantal ziekenhuizen wereldwijd is met malware besmet geraakt, zo stelt de FBI.

De Amerikaanse opsporingsdienst verstuurde een "Private Industry Notification" waarin het zorgaanbieders en andere organisaties waarschuwt voor aanvallen met de 'Kwampirs-malware'.

Remote Access Trojan

Kwampirs is een Remote Access Trojan (RAT) waarmee aanvallers op afstand volledige controle over het systeem hebben. Met name de aanvallen tegen zorginstellingen zouden zeer succesvol zijn geweest, aldus de FBI.

Gezondheidszorg

Het gaat dan zowel om grote transnationale gezondheidszorgbedrijven als lokale ziekenhuizen. Volgens de opsporingsdienst hebben de aanvallers via software supply chains en hardwareproducten toegang tot "een groot aantal ziekenhuizen wereldwijd" gekregen.

Het gaat onder andere om gecompromitteerde softwareleveranciers die producten leveren voor het beheren van industriële controlesystemen (ICS) in ziekenhuizen.

Specifieke namen worden niet door de FBI genoemd. Wel geeft de opsporingsdienst verschillende kenmerken van getroffen leveranciers. Het gaat onder andere om aanbieders van ICS-beheeroplossingen, Enterprise Resource Planning (ERP), scansystemen en software in het algemeen.

Omgeving van het ziekenhuis infecteren

Aanvallers kunnen via de softwareleverancier de omgeving van het ziekenhuis infecteren, bijvoorbeeld wanneer er een besmet apparaat wordt geïnstalleerd. Tijdens fusies en overnames kunnen de aanvallers via een infectie bij het ene bedrijf het andere netwerk binnendringen zodra dat is gekoppeld.

Ook waarschuwt de FBI voor softwareontwikkelaars die middelen delen, waardoor de malware zich kan verspreiden.

De FBI stelt verder dat aanbieders van netwerkscanners en -kopieerapparaten, met domeintoegang tot klantennetwerken, zijn aangevallen. De aanvallers proberen bij deze partijen binnen te dringen en daarvandaan toegang tot de netwerken van klanten te krijgen, waaronder gebruikte cloudoplossingen. Zodra de aanvallers toegang tot een netwerk hebben wordt er aanvullende malware geïnstalleerd.

Aanbevelingen

De FBI doet ook verschillende aanbevelingen in het geval er een infectie is vastgesteld

  • Sla het netwerkverkeer op
  • Stel vast wie 'patient zero' is
  • Onderzoek verschillende logbestanden
  • Maak volledige images van getroffen systemen

Naast de aanbevelingen heeft de FBI ook indicators of compromise (IOCs) en YARA-regels vrijgegeven waarmee organisaties de malware in hun omgeving kunnen opsporen, zo meldt het Internet Storm Center.

Kwampirs PIN 20200330 001
PDF – 1,2 MB 322 downloads
FLASH CP 000118 MW Downgraded Version
PDF – 1,0 MB 328 downloads

Bron: FBI, Security

Meer info over ‘malware’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Malware gerelateerde berichten

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

«   »