De georganiseerde cybercriminaliteit blijft zich dit jaar richten op de gezondheidszorg. Aan aanvallen met ransomware gaat steeds vaker exfiltratie van data vooraf. Door gestolen data te lekken, zetten criminelen hun slachtoffers onder druk om over te gaan tot het betalen van losgeld.
Dit blijkt uit het ‘Global Threat Report’ van CrowdStrike. Het Amerikaans cyberbeveiligingstechnologiebedrijf verwacht dat de veranderde tactiek zich de komende tijd voortzet. Het blijft niet meer bij versleuteling van data en het eisen van losgeld. Afpersing door daadwerkelijk data te lekken, verhoogt de pressie.
Grote geld
Vorig jaar wisten achttien verschillende groepen criminelen meer dan honderd organisaties in de zorgsector met ransomware te besmetten. CrowdStrike spreekt van ‘big game hunters’, goed georganiseerde groepen die met geavanceerde methoden op het grote geld uit zijn. Behalve ziekenhuizen zijn ook farmaceutische en biomedische bedrijven slachtoffer. De aanvallen concentreren zich op instellingen in de Verenigde Staten. Achter de aanvallen zitten vooral hackers uit Noord-Korea, Iran, Vietnam, China en Rusland. De informatie waar ze naar zoeken, omvat een breed terrein. Alles wat met Covid-19 te maken heeft, is een doelwit. Met name informatie over vaccins zijn populair.
Zo ondernam Noord-Korea een poging de servers van geneesmiddelenfabrikant Pfizer te hacken. Ook andere Amerikaanse fabrikanten en farmaceutische bedrijven in het Verenigd Koninkrijk en Zuid-Korea werden belaagd. Volgens CrowdStrike beschikt Noord-Korea over een bestaande infrastructuur voor de productie van biologische en chemische wapens, die voor medische doeleinden is te gebruiken. De ontwikkeling van een eigen vaccin is daarbij het doel. Noord-Korea doet niet alleen aan industriële spionage, maar probeert ook via hackersgroepen de hand te leggen op buitenlandse valuta en cryptomunten.
CrowdStrike heeft ook de eCrime Index (ECX) gelanceerd, een soort beurskoers die realtime-inzicht verschaft in de trends op de cybercriminele markt. Daaruit blijkt dat cybercriminelen in 2020 gemiddeld twee keer zo snel opereerden als in 2019. De gemiddelde breakout time (de tijd die een aanvaller nodig heeft om na zijn eerste binnenkomst over te gaan op toegang tot meerdere systemen) bedroeg in 2020 vier uur en 28 minuten. In 2019 was dit ongeveer negen uur. Hackers gaan bovendien doordachter en brutaler te werk.
Vanaf eind 2018 heeft de organisatie achter Snatch ransomware de methode gebruikt van data stelen, data bij het slachtoffer versleutelen en dan deze dubbel chanteren door het dreigen met het publiceren van gegevens. Wellicht waren zij de eersten, al betwijfel ik dat, omdat data versleutelen en dreigen met publiceren van gegevens al veel eerder voorkwam. Intussen zijn er enkele tientallen groepen en hun opvolgers geweest die dit als de standaardprocedure zijn gaan zien. Vanuit deze standaard zullen nog wel nieuwe varianten ontstaan, omdat de criminelen / strijders geen morele grenzen kennen.
Ik vraag me af hoeveel van deze groepen dezelfde HQ’s delen en belasting en winst afdragen aan regimes. Volgens sommige landen is er dan sprake van een casus belli door non-kinetic military actions en niet alleen van criminaliteit. Dus don’t push your luck.
Voor potentiële slachtoffers wordt het nadenken over spreiding van kwetsbaarheden steeds belangrijker. Alle gevoelige data bij elkaar zetten, maakt het werken zo veel gemakkelijk. Maar het creëert ook een jackpot voor de chanteurs.