Cryptojackers azen op zorginstellingen

Cryptojackers azen op zorginstellingen

DearBytesBlogMalware/ransomwareCryptojackers azen op zorginstellingen

woensdag 11 april 2018

Cybercriminelen hebben een nieuw businessmodel ontdekt: computers van slachtoffers virtuele munten laten delven. En daarbij ontzien ze niemand: ook zorginstellingen worden regelmatig getroffen door zogeheten ‘cryptojackers’. Hoe voorkom je dat je voor hun karretje wordt gespannen?

Zorginstellingen waren altijd al een aantrekkelijk doelwit voor cybercriminelen. Aanvallers proberen gevoelige data te stelen met malware of phishing, geld af te persen met ransomware of de IT-infrastructuur onderuit te halen met Distributed Denial of Service (DDoS)-aanvallen. Daar is nu een nieuwe methode bij gekomen: ze misbruiken de grote computernetwerken van ziekenhuizen voor het minen van cryptomunten.

Cryptomining

Cryptomining is in feite een heel ‘dom’ proces. Een cryptomunt bestaat uit een reeks cijfers en letters. Die reeks noemen we een hash. Maar niet alle hashes zijn correct. Cryptomining komt erop neer dat een computer simpelweg een voor een hashes test op correctheid, net zolang tot een reeks van cijfers en letters juist blijkt te zijn. Voor dit proces is veel rekenkracht en dus ook stroom nodig. Met een enkele computer schiet dat niet echt op.

Daar hebben cybercriminelen een list op verzonnen: ze zetten duizenden pc’s aan het werk. Dat kan door in websites stiekem een script te verstoppen dat de processor van de websitebezoeker aan het delven zet. Of door machines te infecteren met miningmalware.

Voor delvende cybercriminelen zijn zorginstellingen om twee redenen een aantrekkelijk doelwit. Allereerst omdat ziekenhuizen grote computernetwerken bezitten met veel rekenkracht. en wat ook meespeelt is dat de websites van zorginstanties doorgaans als betrouwbaar bekendstaan en bezoekers hier vaak langere tijd doorbrengen.

Zorginstanties gedupeerd

Een ziekenhuisnetwerk kan misbruikt worden om te minen of om miningmalware via te verspreiden. Recentelijk nog bleken duizenden websites – onder andere van gemeenten en zorginstanties – een geïnfecteerde plug-in te bevatten. Via een malafide code in BrowseAloud, een plug-in die online teksten hardop voorleest, slaagden cryptojackers erin om de processor van de bezoekers enkele uren te kapen.

De slachtoffers krijgen geen cent te zien voor hun ‘medewerking’, maar ervaren alleen de nadelen. De computer wordt trager, de energierekening hoger en mogelijk laten de aanvallers nog meer rommel dan alleen de miningmalware achter. Deze praktijken zijn bovendien schadelijk voor het imago van een organisatie. Het is geen goede reclame als de pc’s van de bezoekers van jouw website ongemerkt aan het werk worden gezet.

Redenen genoeg om alert te zijn op illegale miningactiviteiten. Het is verstandig een aantal maatregelen te treffen:

  1. Vulnerability scanning
  2. Zorg ervoor dat je het kunt detecteren als je website gebruikmaakt van kwetsbare software, zoals een plug-in waar cybercriminelen een miningcode in kunnen verstoppen. Scanning op kwetsbaarheden of veranderingen in de code van een website moet niet iets maandelijks zijn, maar een continu proces.

  3. Anti-malware en sandboxing
  4. Gebeurt het minen met malware op de computer van het slachtoffer, dan is die kwaadaardige software te detecteren met anti-malware. Nog onbekende virussen vallen door de mand door ze te analyseren in een sandbox. Dat is een grote server die dient voor automatische malware-analyse: een bestand wordt gestart in een afgeschermde, virtuele Windows-computer om te zien of het zich kwaadaardig gedraagt. Bij DearBytes vangen we in ziekenhuizen veel nieuwe cryptojackingvarianten door de anti-malwaresoftware op alle computers automatisch te koppelen met één centrale sandbox.

  5. Webscanning
  6. De computers van patiënten en bezoekers die via de gastenwifi verbinding hebben, zijn lastiger te scannen op malware, aangezien ze niet onder beheer van de IT-afdeling vallen. Een oplossing kan zijn om het webverkeer te scannen op malware en ongebruikelijke codes, zodat je ziet wat er wordt gedownload. Hiervoor is wel nadrukkelijk toestemming van de gebruiker nodig, wat bij het leggen van de verbinding met de wifi kan worden gevraagd.

  7. Controles in het netwerk
  8. Bij grote aanvallen, zoals we zagen bij WannaCry en Petya, is de malware in staat zichzelf te verspreiden binnen het netwerk. Dit gaan we ook zien bij miningmalware. Dan helpt het als het computernetwerk is opgedeeld in virtuele zones,ook wel netwerksegmentatie genoemd Door ‘virtuele branddeuren’ aan te brengen, sluit je malware als het ware op in een hoekje van het netwerk.

  9. Incident response
  10. Ondanks alle beveiligingsmaatregelen kan het toch misgaan. Dan is het belangrijk dat je bijvoorbeeld een minende plug-in snel herkent en uitschakelt. Mogelijk is het ook nodig om medewerkers en andere bezoekers van je website te informeren.

  11. Beveiligingsbewustzijn
  12. Het is eigenlijk niet te voorkomen dat medewerkers of patiënten terechtkomen op websites waar illegaal cryptomunten worden gedolven. Ze kunnen wel worden getraind om het minen te herkennen. Zo is een verhoogde processoractiviteit verdacht, of een browser die actief blijft zelfs na het sluiten van de browservensters.

    Deze beveiligingsmaatregelen zijn misschien geen silver bullets, maar ze helpen wel om uit de handen van cryptojackers te blijven.

    Auteur: Erik Remmelzwaal, DearBytes-directeur
    Bron: https://www.zorgvisie.nl/blog/blog-cryptojackers-azen-op-zorginstellingen/