De oorlog tussen Rusland en Oekraïne en de impact op de Nederlandse zorgsector

Update 26 april 2022

De situatie is vergeleken met onze vorige update (8 april) onveranderd. Er zijn geen aanvallen waargenomen op Nederlandse zorginstellingen en ook internationaal zijn deze gevallen niet gemeld. Echter de situatie kan snel veranderen op het moment dat het conflict escaleert. Ook binnen het huidige dreigingsbeeld is alertheid noodzakelijk. Z-CERT acht het aannemelijk dat dit conflict een stimulerende werking zal hebben op cybercrime en verwacht op de langere termijn een toename van ransomware-aanvallen. Ook is collateral damage (nevenschade) door bijvoorbeeld DDoS-aanvallen een reëel scenario.

Hacktivisme

Een actor die steeds meer van zich laat horen is de hacktivisme groep “killnet”. De groep claimt verschillende aanvallen te hebben uitgevoerd op diverse organisaties. Er zijn bijvoorbeeld diverse DDoS-aanvallen uitgevoerd op websites van Tsjechische luchthavens, een spoorwegorganisatie en overheid [1,2]. Ook zijn er aanvallen geweest op een Amerikaanse luchthaven [3]. Killnet claimt nog veel meer aanvallen, onder meer op organisaties in Duitsland en Polen. Het gaat waarschijnlijk om wraakacties voor het leveren van wapens of goederen aan het Oekraïense leger. Het is niet altijd aantoonbaar dat Killnet inderdaad de actor achter deze aanvallen is.
Is deze groep een risico voor de Nederlandse zorgsector? Vooralsnog lijken de aanvallen vooral gericht te zijn op overheid, defensie (b.v. de NAVO), logistiek (luchthavens, spoorwegen) en blijft de zorg buiten schot. Er is natuurlijk altijd het risico op collateral damage indien Nederlandse organisaties worden aangevallen. Ook kunnen websites van buitenlandse doelwitten in Nederland gehost worden, omdat Nederland een populair land is voor het leveren van hostingdiensten.

Wij houden de ontwikkelingen nauwlettend in de gaten.

[1] https://twitter.com/NUKIB_CZ/status/1516865189244809223
[2] https://www.expats.cz/czech-news/article/pro-russian-hackers-target-czech-websites-in-a-series-of-attacks
[3] https://www.cisa.gov/uscert/ncas/alerts/aa22-110a

8 april – update

Op dit moment is het dreigingsbeeld weinig veranderd in vergelijking met 22 maart, toen we onze laatste update plaatsten. Z-CERT ziet geen aanvallen op Nederlandse zorginstellingen die toe te schrijven zijn aan het conflict tussen Rusland en Oekraïne. Wel hebben we frauduleuze donatieverzoeken gezien vanuit de cybercrime hoek. Een voorbeeld was dat het Rode Kruis van een Oekraïense stad nagebootst werd en dat meerdere Nederlandse zorginstellingen gevraagd werd geld over te maken. De verzoeken zagen er legitiem uit. Doordat veel werknemers in de zorg een ‘hulpverlenersmindset’ hebben, zijn ze extra gevoelig voor dit soort scams. In het kader van security awareness is het goed om daar als zorginstelling aandacht aan te besteden. Ook vanuit internationale bronnen wordt veel melding gemaakt van zowel statelijke actoren als cybercrime groepen die de oorlog in Oekraïne als thema gebruiken in phishingcampagnes [1].

Zorgen op langere termijn
Op het moment dat de sancties langere tijd gaan duren kan dat impact hebben op het dreigingsbeeld. Een groeiende werkloosheid door de sancties en een krimpende economie in Rusland kan ervoor zorgen dat er meer mensen kiezen voor cybercrime. Daarnaast is het mogelijk dat de motivatie van de Russische overheid om acties te ondernemen tegen cybercrime kleiner wordt, daar waar er afgelopen jaar juist een aantal hoopvolle signalen waren [2].
Ook zal voor de Russische overheid de verleiding om gelden te verdienen via cybercrime groter worden. We hebben hier voorbeelden van gezien bij andere landen aan wie sancties zijn opgelegd. Statelijke actoren die gelieerd zijn aan Noord-Korea zijn er actief op uit om financiële middelen te verkrijgen door bijvoorbeeld ransomware aanvallen uit te voeren [3] of cryptovaluta te stelen [4].

Actiepunten
Wat kunnen wij doen als zorgsector? De verwachting is dat de ransomware dreiging ook het komende jaar blijft groeien en dat de oorlog tussen Oekraïne en Rusland deze dreiging alleen maar doet toenemen. Komende jaren wordt een goede invulling van de basishygiënemaatregelen nog belangrijker. De manieren waarop ransomware groepen zich toegang verschaffen tot netwerken zijn voorspelbaar. Zij vormen een richtpunt om de security te verbeteren.
De meest gebruikte technieken door ransomware groepen om binnen te dringen:
– Phishingmail met kwaadaardige software (malware).
– Het stelen van wachtwoorden middels frauduleuze loginformulieren (credential phishing) of middels malware.
– RDP (Remote Desktop Protocol) ontsloten aan het internet.
– Misbruiken van kwetsbaarheden in software.

Gouden 10
Onze gouden top 10 maatregelen tegen ransomware zullen u verder op weg helpen [5].

[1] https://blog.google/threat-analysis-group/tracking-cyber-activity-eastern-europe/
[2] https://www.bbc.com/news/technology-59998925
[3] https://www.bleepingcomputer.com/news/security/north-korean-hackers-created-vhd-ransomware-for-enterprise-attacks/
[4] https://www.bbc.com/news/business-59990477
[5] h/wp-content/uploads/2021/02/Z-CERT_FactsheetRansomware_2560x1920px_04-1.pdf

22 maart – update
Het artikel hieronder is nu een kleine maand oud. Ondertussen is het dreigingsbeeld voor de Nederlandse zorg nauwelijks veranderd. Nederlandse zorginstellingen zijn wel meer betrokken geraakt bij het conflict dan een maand geleden. Zo vangen een heel aantal zorginstellingen in Nederland Oekraïense patiënten op, anderen sturen medische hulpgoederen naar het oorlogsgebied. Zij communiceren daar vaak publiekelijk over. Brengt dit risico’s met zich mee?
Z-CERT acht het op dit moment niet waarschijnlijk dat Rusland gerichte wraakacties uitvoert op Nederlandse zorginstellingen door gebruik te maken van cyberwapens. Het huidige dreigingsbeeld toont geen cyberincidenten in de Nederlandse en de internationale zorgsector die gerelateerd zijn aan dit conflict.

Rusland, cyberwapens en de Nederlandse zorgsector
Z-CERT houdt hier natuurlijk de vinger aan de pols. Wel zien we dat Rusland op andere plekken in de hulpverleningsketen op cybergebied activiteiten heeft ontplooid. Rusland heeft bijvoorbeeld een hulpverleningsorganisatie in Oekraïne , die betrokken was bij de distributie van medische hulpmiddelen, aangevallen met destructieve malware [1]. Ook heeft een statelijke actor die gelieerd is aan Rusland phishingmail gestuurd naar medewerkers van de overheden van NAVO landen, die betrokken zijn met logistieke processen rondom vluchtelingen uit Oekraïne [2]. De hulpverlening aan Oekraïne is dus aanleiding geweest tot activiteiten op cybergebied door Rusland, echter tot nu heeft dit niet geleid tot offensieve acties richting zorginstellingen.

Collateral damage
Kunnen we nu dus opgelucht adem halen? Nee. Er zijn een aantal cyberincidenten bekend waarbij inderdaad collateral damage (nevenschade) is opgetreden. Deze nevenschade trad echter niet op in de zorgsector maar geeft wel aan dat de dreiging reëel is. Er werd bijvoorbeeld een internet provider geraakt die internetverbindingen levert via de satelliet [3]. Dit had impact op veel gebruikers en infrastructuur in onder meer landen als Duitsland en Frankrijk [4].

Phishing
Ook zien we een toename van phishingactiviteiten van cybercriminelen in de zorgsector. Dit hoeft niet gerelateerd te zijn aan het conflict, want cybercriminelen maken altijd gebruik van crisissen omdat zij graag inspelen op de actualiteit. Ook kan het dreigingsbeeld veranderen op het moment dat het conflict escaleert en kan dit van invloed zijn op de strategie van de Russische overheid. De Amerikaanse overheid waarschuwde 21 maart dat Rusland zich oriënteert op cyberaanvallen op hun infrastructuur [5]. Ons advies is daarom: zorg dat uw cyberdefense maatregelen op orde zijn.

[1] https://www.aboutamazon.com/news/community/amazons-assistance-in-ukraine
[2] https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails
[3] https://www.spiegel.de/netzwelt/web/viasat-satellitennetzwerk-offenbar-gezielt-in-osteuropa-gehackt-a-afd98117-5c32-4946-ab8a-619f1e7af024
[4] https://www.connexionfrance.com/article/French-news/Thousands-in-France-lose-internet-in-suspected-Russian-cyberattack
[5] https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/statement-by-president-biden-on-our-nations-cybersecurity/

2 Maart:

Z-CERT heeft op dit moment geen aanwijzingen dat er digitale aanvallen plaatsvinden op Nederlandse zorginstellingen die voortkomen uit de oorlog tussen Rusland en Oekraïne. Z-CERT volgt in dit kader o.a. de berichtgeving van het NCSC [1].

Z-CERT schat de kans dat Rusland direct Nederlandse zorginstellingen aanvalt als laag in. Wel schat Z-CERT de kans op incidenten in de Nederlandse zorgsector waarbij zorginstellingen onbedoeld toch geraakt worden (collateral damage), in als “mogelijk”. Recente voorbeelden daarvan zijn de aanvallen met de NotPetya malware die ook ziekenhuizen raakten in de USA [2] en de Solarwinds hack die onbedoeld impact had op verschillende Nederlandse zorginstellingen [3].

De hierboven beschreven collateral damage kan ook optreden bij leveranciers. Dit kan impact hebben op zorginstellingen die klant zijn bij deze leveranciers. Daarnaast is er nog het scenario dat bij verdere escalatie van het conflict leveranciers van zorginstellingen gericht worden aangevallen. Bijvoorbeeld DDoS aanvallen op Internet Service Providers [3].

Zorginstellingen die relaties onderhouden met Oekraïense of Russische zorginstellingen adviseren wij extra alert zijn. Recente incidenten bij Oekraïense organisaties zouden in geval van “Business Email Compromise” ertoe kunnen leiden dat Nederlandse zorgorganisaties per mail malware binnenkrijgen [4]. Andere aanvalspaden zijn ook denkbaar.
Een ander risico komt van cybercrime groepen die zich recent aan het bemoeien zijn met het conflict. De cybercrime groep achter “Conti Ransomware” gaf aan Rusland te verdedigen [5]. Dit is significant omdat deze groep het afgelopen jaar incidenten heeft veroorzaakt in de Europese zorgsector [6].

Het blijft dus zaak voor de Nederlandse zorgsector alert te zijn. Onze “10 gouden tips tegen ransomware” kunnen het risico op een succesvolle aanval drastisch verlagen [7]. In ons dreigingsbeeld geven we een aantal tips wat te doen tegen DDOS aanvallen [3].
Voor verdere adviezen en informatie over recente ontwikkelingen m.b.t. dit conflict, verwijst Z-CERT naar de website van het NCSC [1].

[1] https://www.ncsc.nl/onderwerpen/oekraine
[2] https://www.aha.org/advisory/2022-02-23-us-declares-start-russias-invasion-ukraine-introduces-sanctions-cyber-shields
[3] /wp-content/uploads/2022/02/Z-CERT_RapportDreigingsbeeld_2021.pdf
[4] https://thehackernews.com/2022/02/russia-ukraine-war-phishing-malware-and.html
[5] https://www.bleepingcomputer.com/news/security/ransomware-gangs-hackers-pick-sides-over-russia-invading-ukraine/
[6] https://cit.cyberpeaceinstitute.org/explore
[7] h/wp-content/uploads/2021/02/Z-CERT_FactsheetRansomware_2560x1920px_04-1.pdf