Floris Hulshoff Pol - 30 januari 2023

Z-CERT: Nederlandse ziekenhuizen doelwit van Pro-Russische aanvallers

Europese ziekenhuizen zijn doelwit van de pro-Russische hacktivistengroep Killnet. De groepering voert DDoS-aanvallen uit.

Hiervoor waarschuwt Z-CERT, het computer emergency response team voor de zorg. "Vooralsnog zijn er geen aanwijzingen dat er risico’s voor de patiëntveiligheid zijn geweest. Z-CERT onderzoekt de aanvallen nog. Nadere berichtgeving volgt zo spoedig mogelijk", meldt Z-CERT in een verklaring op zijn website.

Website UMCG slecht of niet bereikbaar

Eerder vandaag bleek dat de website van UMCG slecht of niet bereikbaar is door een DDoS-aanval. Een woordvoerder van het ziekenhuis meldde dat deze aanval in golven lijkt te komen en de intensiteit van tijd tot tijd lijkt te variëren. Zo toont de website op het moment van schrijven de boodschap door een DDoS-aanval te zijn getroffen. Op andere momenten is de site wel bereikbaar.

Een woordvoerder van Z-CERT waarschuwt tegenover NOS dat ook andere ziekenhuizen rekening moeten houden met aanvallen. "Welke dat zijn, kan ik niet zeggen, maar we hebben ze geïnformeerd zodat ze maatregelen kunnen nemen", aldus de woordvoerder.

Lijst met ziekenhuizen die doelwit zijn

Op een Telegram-groep van Killnet gaat een lijst met zowel Nederlandse als buitenlandse ziekenhuizen rond. Vooralsnog lijkt UMCG de enige instelling die ook daadwerkelijk getroffen is. Ook een dertigtal andere Nederlandse ziekenhuizen staan echter op de lijst. Dat geldt ook voor ziekenhuizen uit onder meer Duitsland, Polen, Scandinavië, het Verenigd Koninkrijk en de Verenigde Staten.

De oprichter van Killnet schrijft op Telegram dat de groep 'medische instellingen in deze landen voor ondersteuning van de nazi's in Oekraïne' gaat 'slopen'.

Update:

Sebastiaan Kors, ceo van Pinewood, meldt in een reactie: “Vanuit het Pinewood SOC hebben we de berichtgeving en ontwikkelingen m.b.t. de DDoS-dreiging richting Nederlandse ziekenhuizen uiteraard gevolgd. Op basis van publieke informatie over en communicatie vanuit de actor achter deze aanvallen – “Killnet” – wordt duidelijk dat het hier vermoedelijk gaat om een hacktivistische actor die vooral als doel heeft om de bereikbaarheid van de websites van deze organisaties te ontregelen. Helaas zien we dat deze actor hier ook deels in blijkt te slagen wat vooral resulteert in een tijdelijke slechte bereikbaarheid van de website en daarmee een onderbreking van de informatievoorziening. De impact van de aanvallen lijkt hier echter wel toe beperkt; wij hebben geen indicatie dat andere processen en diensten hiervan hinder ondervinden. Ons SOC heeft bij de aangesloten ziekenhuizen geen signalen ontvangen dat de DDoS aanvallen een onderdeel zijn van een samengestelde aanval om bijvoorbeeld door te dringen in de lokale infrastructuur of medische apparaten te ontregelen.”

“Wij hebben onze klanten aangeraden om preventief nog eens scherp te kijken naar de anti-DDoS-maatregelen en -procedures die door de organisatie zijn geïmplementeerd. Daarnaast adviseren we onze klanten om, als onderdeel daarvan, op voorhand contact op te nemen met relevante leveranciers (veelal extern gehoste websites, internetverbindingen) om te kijken of ook zij aanvullende maatregelen kunnen implementeren mocht het uiteindelijk tot een daadwerkelijke (impactvolle) DDoS-aanval komen. Deze dreiging illustreert in ieder geval dat een DDoS-aanval helaas geen probleem uit het verleden is, maar een actuele dreiging waar organisaties op voorbereid moeten zijn.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW