“Het is vrijdagavond, einde van een werkdag en de meeste collega’s maken zich op voor het weekend. De klok heeft net negen uur geslagen wanneer we een bericht ontvangen in het Security Nieuws kanaal van de Tech-Ops, ons chatplatform voor zorgtechneuten. Hier praten de zorgtechneuten met elkaar in een veilige omgeving over bijvoorbeeld updates, vragen en adviezen. Jurgen Vrieze, systeem- en securityarchitect bij het Slingeland ziekenhuis, deelt een tweet met de community waarin Sophos aangeeft een “REvil ‘supply chain’ attack outbreak” te monitoren. Een aanval die teruggeleid wordt naar een malafide update van Kaseya…
De piketter van dienst begint direct met een onderzoek. Waarbij de belangrijkste vraag is: Wat is het risico voor de zorgsector? De informatiestroom gaat vanaf dat moment sneller en sneller. Op diverse media, sociale platformen en in communities wordt de aanval druk besproken en wordt de impact steeds duidelijker. Rond kwart over negen rapporteert het bedrijf Huntress in een post op Reddit dat alleen al onder haar partners 200 bedrijven slachtoffer zijn geworden van een ransomware aanval.
Supply Chain Attack Kaseya door de ogen van Z-CERT
De update is gepubliceerd, het meeste stof is neergedaald. Tijd om de balans op te maken van de supply chain attack op Kaseya VSA. Steven van Baardewijk, security specialist bij Z-CERT, maakte het allemaal van dichtbij mee en schreef onderstaande blog in de End of Week over het werk van Z-CERT tijdens deze aanval. Zijn blog geeft weer waar Z-CERT staat in de zorgsector, welke informatiestromen er zijn en welke afwegingen we maken ‘in the heat of the moment’ bij een dergelijk grote aanval.
Crisisteam
We besluiten om andere collega’s erbij te betrekken en op te schalen naar een crisisteam. Diverse analisten werken samen om een eerste beeld te krijgen en een advies uit te kunnen brengen. Het is meteen duidelijk dat we hiervoor een Operational Alert moeten uitsturen, dit is het ‘zwaarste’ middel van Z-CERT. Terwijl de piketter de OA schrijft, belt een andere analist met een leverancier van Kaseya software om de impact beter te kunnen bepalen en te vragen naar de acties van de leverancier.
ZorgDetectieNetwerk
We maken een event aan in het ZorgDetectieNetwerk met Indicators of Compromise. Hierdoor kunnen we snel en effectief aangesloten zorginstellingen informeren over onder andere malafide bestanden en bijbehorende hashes die zij kunnen blokken of monitoren zodat de kans op besmetting aanzienlijk wordt verkleind.
Rond 22:00 sluit de communicatieadviseur aan bij een ingelast crisisoverleg. Gezamenlijk wordt een bericht opgesteld voor de website en social media. Door onze informatie openlijk te delen hopen we sneller meer zorginstellingen te bereiken.
Politiek
Tegelijkertijd praat ik de directeur bij over de stand van zaken, mochten er vragen op strategisch of politiek niveau binnenkomen. Met een goed eerste beeld van de situatie wordt de OA, na accordering van de technisch teamlead, uitgestuurd. In de OA adviseert Z-CERT om Kaseya servers uit te zetten en roept deelnemers op om melding te maken van leveranciers die gebruik maken van Kaseya.
Het weekend, waarin Amerika op 4 juli Independence Day viert, is met een klap begonnen. Maar ook in het weekend zitten we niet stil. ‘s Ochtends ontvangen we van onze partners een lijst van Kaseya servers die ontsloten zijn aan het internet. Met de aangeleverde IP-adressen van de deelnemers controleren we of zorginstellingen op deze lijst voorkomen. Dit blijkt gelukkig niet het geval te zijn. Het Dutch Institute for Vulnerability Disclosure plaatst die zaterdag een blogpost waarin ze aangeven dat ze al enige tijd Kaseya VSA in onderzoek hadden. In de dagen erna wordt er meer duidelijk over de betrokkenheid van de DIVD. Onderzoekers van de DIVD hadden kwetsbaarheden gevonden in Kaseya VSA en deze gemeld bij Kaseya.
REvil
Terwijl Kaseya aan een detectietool en patch werkt, wordt duidelijk dat er ongeveer 1500 organisaties getroffen zijn. REvil eist de aanval publiekelijk op en vraagt 70 miljoen in Bitcoin om een universele decryptiesleutel aan te leveren. Saillant detail, aan alle individuele organisaties werden bedragen tussen de 45 duizend en 5 miljoen in de digitale munt Monero gevraagd.
Zaterdagmiddag sturen we nog een Operationeel Alert uit met handelingsadvies en een samenvatting van gebeurtenissen. Kaseya geeft aan dat er een patch gepland staat voor 11 juli. Langzamerhand keert men terug tot de orde van de dag. Er zijn geen zorginstellingen in Nederland slachtoffer geworden.
De PrintNightmare kwetsbaarheid en de onduidelijkheden daaromtrent eisen de aandacht weer op. Bij Z-CERT halen we opgelucht adem, de Nederlandse zorgsector heeft weer succesvol een mogelijke ramp ontweken. Tijd om weer op scherp te gaan staan voor de volgende…”