De FBI, het Amerikaanse ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwen voor ransomware op het zorgsysteem. Ziekenhuizen en zorgverleners in de Verenigde Staten worden steeds vaker aangevallen.
Daarbij worden gegevens gestolen en interne zorgsystemen verstoord. Persbureau AP maakte onlangs bekend dat minstens vijf ziekenhuizen in de afgelopen week niet bij hun gegevens konden door een aanval met gijzelsoftware.
Trickbot en Ryuk
In de waarschuwing wordt gesproken over Trickbot-malware en Ryuk-ransomware. Trickbot wordt in omloop gebracht via e-mailbijlagen. Het betreft Microsoft Office-documenten met een kwaadaardige macro, die de Trickbot installeert. Trickbot wordt ingezet om de Ryuk-ransomware te installeren.
Anchor_DNS
Ook gaan de overheidsinstanties in op Anchor_DNS. Dit is een tool die Trickbot gebruikt om met behulp van Domain Name System (DNS)-tunneling te communiceren met geïnfecteerde machines. Op deze manier kunnen de aanvallers standaard netwerkbeveiligingsproducten omzeilen, aldus de instanties.
Indicators of Compromise
Verder worden er verschillende Indicators of Compromise (IOC’s) gegeven waarmee organisaties kunnen bepalen of een specifieke dreiging op hun systemen, of binnen hun netwerken, aanwezig zijn (geweest). Het betreft IP-adressen, bestandsnamen en commando’s die zowel door Trickbot als Ryuk worden gebruikt.
Klik hier voor de waarschuwing van CISA.