GlobalSign Blog

De meest memorabele cybersecurity-events van 2020

De meest memorabele cybersecurity-events van 2020

2020 kwam niet helemaal overeen met wat we ervan verwacht hadden. Het zou behoorlijk cool zijn, zelfs vergelijkbaar met de Jetsons

futuristic sci fi city scape

In plaats daarvan kregen we dit:

dumpster fire

Door deze vuilnisbakbrand van een jaar met Covid-19-lockdowns, quarantaines en de presidentsverkiezingen zijn de mensen moe.

Om het nog erger te maken, was 2020 ook een schijnbaar nooit eindigende cyberaanval.

Van Twitter en Zoom tot MGM en Marriott, hackers waren het afgelopen jaar druk in de weer. Erger nog, ze richtten zich rechtstreeks op de gezondheidszorg en vielen ziekenhuizen en onderzoeksinstellingen wereldwijd aan. In Duitsland zou zelfs een persoon zijn overleden als gevolg van een van deze aanvallen.

Er is hier veel te bespreken. Laten we eens kijken naar de meest memorabele cybersecurity-events van het afgelopen jaar.

In 2020 stond de gezondheidszorg centraal (in goede en slechte tijden)

Enkele van de meest zorgwekkende – en verontrustende – aanvallen vonden plaats in de gezondheidszorg en de medische sector gedurende heel 2020. Helaas neemt deze dreiging alleen maar toe. Enkele van de meest opmerkelijke gebeurtenissen van dit jaar:

  • De Wereldgezondheidsorganisatie werd in maart aangevallen door elitehackers, die een kwaadaardige site activeerden die het interne e-mailsysteem van de WHO nabootste.
  • De volgende maand ontdekte Magellan Health een massale inbreuk op zijn systemen. Maanden later zou het aantal getroffen slachtoffers ongeveer 1,7 miljoen bedragen.
  • In april meldde een senior cybersecurity-specialist bij de FBI dat buitenlandse overheidshackers hadden ingebroken in de systemen van bedrijven die onderzoek doen naar behandelingen voor COVID-19.
  • Begin september ontdekte de Duitse universiteitskliniek in Düsseldorf dat haar systemen waren verstoord. Het ziekenhuis zei dat onderzoekers hadden ontdekt dat de bron van het probleem een hackersaanval op een zwakke plek in ‘veelgebruikte commerciële add-on-software’ was. Er werd alom gemeld dat een vrouw die dringend moest worden opgenomen, overleed nadat ze voor behandeling naar een andere stad moest worden gebracht. Later werd dit echter betwist. Desalniettemin was de cyberaanval ernstig. De systemen van de kliniek zijn geleidelijk aan gecrasht en het ziekenhuis had geen toegang tot haar gegevens. Voeg daar het feit aan toe dat patiënten moesten worden weggestuurd, dan kan de conclusie alleen maar zijn dat dit echt een ernstige aanval was.
  • In september begonnen ook de computersystemen voor Universal Health Services, dat meer dan 400 locaties heeft, voornamelijk in de VS, te falen. Hierdoor moesten sommige ziekenhuizen patiëntengegevens registreren met pen en papier. De aanval op de grote ziekenhuisketen kan een van de grootste medische cyberaanvallen in de Amerikaanse geschiedenis zijn.
  • In november werden twee wereldwijde bedrijven die meewerkten aan de bestrijding van de COVID-19-pandemie geconfronteerd met cyberaanvallen. Miltenyi Biotec meldde een systeemstoring die werd veroorzaakt door een malwareaanval, terwijl de koude opslaggigant Americold, in gesprek voor de opslag van COVID-19-vaccins, te maken had met een ‘cybersecurity-incident’. Miltenyi is een wereldwijd biotechnologiebedrijf dat gevestigd is in Duitsland met kantoren in 73 landen, waaronder een aantal in de VS. Het bedrijf is verantwoordelijk voor het leveren van SARS-CoV-2-antigenen voor onderzoeksinstellingen die werken aan COVID-19-behandelingen.

Natuurlijk begonnen wereldwijde leiders van burgers en bedrijfswereld op te roepen om een einde te maken aan de aanvallen.

In oktober waarschuwde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat ziekenhuizen en zorginstellingen al hun systemen nauwlettend moeten controleren.

tweet from CISA regarding trickbot and ryuk malware.png

HIMSS, dat algemeen als een topaanbieder van medische informatie en vakbeurzen wordt beschouwd, maakte onlangs de resultaten van zijn cybersecurity-onderzoek van 2020 bekend. Het is niet verrassend dat hieruit bleek dat inbreuken, ransomware en andere beveiligingsincidenten steeds groter en ontwrichtender worden bij zorgorganisaties en dat oplichters, cybercriminelen en zelfs natiestaten steeds schaamtelozer en hardnekkiger te werk gaan. De studie toonde ook aan dat phishing de meest voorkomende kwetsbaarheid blijft, waardoor slechte actoren een toegangspunt hebben van waaruit ze de IT-systemen van ziekenhuizen kunnen exploiteren.

Dit jaar was geen enkele sector veilig voor cyberaanvallen

Helaas kennen cyberaanvallen geen grenzen. En dat feit bleek vooral dit jaar waar te zijn.

MGM

In februari bevestigde MGM Resorts International dat het bedrijf was gehackt nadat er een rapport werd vrijgegeven met informatie over een enorm verlies van klantengegevens: meer dan 10 miljoen voormalige hotelgasten.

Kort daarna bracht ZDNet een rapport uit dat onthulde dat 10.683.188 gasten werden getroffen nadat de cloudserver van MGM was gehackt.

Maanden later werd er door ZDNet een nieuwe ontdekking gedaan van meer dan 142 miljoen gastengegevens op het dark web. De nieuwe bevinding kwam aan het licht nadat een hacker de gegevens van het hotel te koop had aangeboden in een advertentie die werd gepubliceerd op een marktplaats voor cybercriminelen op het dark web. Volgens de advertentie verkocht de hacker de gegevens van 142.479.937 MGM-hotelgasten voor een prijs van iets meer dan 2.900 dollar. Die enorme hoeveelheid informatie onthulde bovendien dat de data-inbreuk niet alleen informatie van Grand MGM omvatte, maar ook een overvloed aan gegevens van MGM Resorts. MGM had al eerder contact opgenomen met gasten die door het datalek werden getroffen, maar deze nieuwe cijfers gaven aan dat er mogelijk meer dan tien keer zoveel gasten zijn die niet benaderd zijn en die niet weten dat hun persoonlijke gegevens gecompromitteerd zijn.

De oorspronkelijke MGM-inbreuk vond plaats in de zomer van 2019 toen een hacker toegang kreeg tot een van de cloudservers van het hotel. De rest is, zoals ze zeggen, geschiedenis.

Data-inbreuk bij het Marriott

In maart kondigde Marriott International aan dat het een aantal van zijn gasten zou informeren dat er in februari een onverwachte hoeveelheid gastengegevens werd gestolen met behulp van de inloggegevens van twee werknemers van een franchiseonderneming. De activiteit begon medio januari 2020. Na de ontdekking slaagde Marriott erin om de inloggegevens uit te schakelen, werd onmiddellijk een onderzoek gestart en de controle verscherpt, en werden er middelen ingezet om gasten te informeren en te helpen. Op dat moment zei het bedrijf dat het dacht dat de gegevens van ongeveer 5,2 miljoen gasten gecompromitteerd waren.

Het ging om een enorme hoeveelheid gegevens, waaronder contactgegevens (bv. naam, postadres, e-mailadres en telefoonnummer), informatie over loyaliteitsaccounts (bv. accountnummer en puntensaldo, maar geen wachtwoorden), aanvullende persoonlijke gegevens (bv. bedrijf, geslacht en verjaardag), partnerschappen en samenwerkingsverbanden (bv. gekoppelde loyaliteitsprogramma's en -nummers van luchtvaartmaatschappijen), voorkeuren (bv. verblijf-/kamervoorkeuren en taalvoorkeur).

Volgens het Marriott hadden hackers de inloggegevens van hun werknemers mogelijk verkregen door credential stuffing of phishing. Eerder kondigde de hotelgigant eind 2018 een data-inbreuk aan waarbij tot 500 miljoen gasten werden getroffen.

Zoom

De populariteit van online communicatietools schoot niet lang nadat de pandemie zijn lelijke kop opstak omhoog. Overweldigd door nieuw websiteverkeer – lees: nietsvermoedende consumenten – is het geen wonder dat hackers hun zinnen hebben gezet op Zoom.

In april werd bekend dat er 500.000 gestolen Zoom-wachtwoorden te koop werden aangeboden. Dat omvatte accountgegevens, gebruikersnamen en wachtwoorden, die allemaal werden aangeboden op een forum op het dark web. Volgens Forbes werden sommige gegevens gratis weggegeven, terwijl andere voor slechts een paar cent per stuk werden verkocht.

Op dat moment bracht Zoom een verklaring uit dat het bedrijf “al meerdere inlichtingenbedrijven had ingehuurd om deze wachtwoorddumps en de tools die werden gebruikt om ze te maken te vinden, evenals een bedrijf dat duizenden websites heeft gesloten die gebruikers probeerden te misleiden om malware te downloaden of hun gebruikersgegevens op te geven. We blijven onderzoek doen, sluiten gecompromitteerde accounts, vragen gebruikers om hun wachtwoorden te wijzigen in een veiliger wachtwoord, en bekijken de implementatie van aanvullende technologische oplossingen om onze inspanningen te ondersteunen.”

Hun beveiligingsprotocollen werden inderdaad bijgewerkt. Maar hoe hebben de hackers eigenlijk zoveel persoonlijke informatie kunnen bemachtigen? Inlichtingendienst IntSights heeft de zaak opgelost.

Het was een proces bestaande uit vier stappen:

  • Het verzamelen van databases van verschillende online misdaadforums en supermarkten op het dark web die gebruikersnamen en wachtwoorden bevatten die gecompromitteerd werden tijdens verschillende hack-aanvallen die teruggaan tot 2013.
  • Het schrijven van een configuratiebestand voor een programma voor het testen van de belasting van een toepassing, dat vervolgens aan Zoom werd gekoppeld.
  • Het uitvoeren van een credential stuffing-aanval om te voorkomen dat hetzelfde IP-adres wordt gesignaleerd op meerdere Zoom-accounts. Er werden ook vertragingen tussen de pogingen ingevoerd.
  • En tot slot, het verzamelen van alle geldige gebruikersgegevens, waardoor een nieuwe database voor verkoop wordt gecreëerd.

EasyJet

In mei kondigde de Europese budgetmaatschappij easyJet aan dat getroffen was door een grote cyberaanval van wat het omschreef als een ‘zeer geavanceerde’ bron. Als onderdeel van de bekendmaking onthulde het bedrijf dat de onbevoegde toegang tot haar systemen was afgesloten. Het bedrijf was echter al sinds januari op de hoogte van de hack.

Uit een onderzoek van de luchtvaartmaatschappij bleek dat de e-mailadressen en reisgegevens van ongeveer negen miljoen klanten werden buitgemaakt, terwijl de creditcardgegevens van 2.208 klanten openbaar werden gemaakt.

De aanval werd naar verluidt uitgevoerd door dezelfde groep Chinese hackers die verantwoordelijk waren voor andere aanvallen op andere luchtvaartmaatschappijen.

In een verklaring zei de CEO van easyJet, Johan Lundgren, dat het bedrijf de cybersecurity van zijn systemen ernstig neemt, “maar dit is een evoluerende dreiging omdat cyberaanvallers steeds geavanceerder te werk gaan.” Hij voegde eraan toe dat het bedrijf zal blijven investeren in de bescherming van zijn klanten, systemen en gegevens en dat “we onze excuses willen aanbieden aan de klanten die door dit incident zijn getroffen”.

Binnen een maand sloten 10.000 mensen zich aan bij een groepsrechtszaak. De aanklacht werd ingediend door het advocatenkantoor PGMBM, die deze verklaring uitbracht: “Dit is een monumentale data-inbreuk en een vreselijke tekortkoming in verantwoordelijkheid die een ernstige impact heeft op de klanten van easyJet, die met duizenden naar voren komen”, aldus Tom Goodhead, managing partner van PGMBM, in een verklaring. “Dit zijn persoonlijke gegevens die we aan bedrijven toevertrouwen, en klanten mogen verwachten dat alles in het werk wordt gesteld om hun privacy te beschermen.”

Wat brengt 2020? Het is onwaarschijnlijk dat de aanvallen op korte termijn aanzienlijk zullen afnemen, tenzij hackers plotseling een geweten krijgen. Het positieve is dat overheden, bedrijven en burgers zich nu meer dan ooit bewust zijn van de dreiging van aanvallen, valse apps en sites. Mensen nemen cybersecurity eindelijk serieuzer. Wetende dat iedereen samen strijdt tegen hacken, kan ons (hopelijk) wat beter doen slapen.

Aanval op Garmin

Garmin werd in de zomer het slachtoffer van een grote ransomwareaanval die werd beschreven als verwoestend en afschuwelijk.

garmin outage screenshot.png

De website werd platgelegd en de klantenservice werd verstoord. De aanval veroorzaakte een onderbreking van vijf dagen voor het bedrijf, waarbij gebruikers vreesden dat hackers ook hun persoonlijke gegevens en geolocatiegeschiedenis van de servers van Garmin hadden gestolen. Gelukkig lijkt het erop dat de gebruikersgegevens van Garmin veilig zijn.

Garmin is het meest bekend om zijn fitnesstrackingmogelijkheden in de vorm van gps-wearables, maar het bedrijf is ook actief in de luchtvaart. Bijgevolg werden sommige vliegtuigen waarvan de luchtvaartinfrastructuur afhankelijk is van Garmin-technologie ook getroffen door de hack.

De apps flyGarmin en Garmin Pilot hebben allebei dagenlang te lijden gehad onder onderbrekingen, waardoor sommige Garmin-hardware die in vliegtuigen wordt gebruikt, zoals mechanismen voor vluchtplanning en de mogelijkheid om verplichte FAA-luchtvaartdatabases bij te werken, werd verstoord. De maritieme app ActiveCaptain heeft mogelijk ook last gehad van storingen.

Hackers implementeerden de ransomware-tool WastedLocker, die belangrijke gegevens op de digitale infrastructuur van een bedrijf codeert. De websitefuncties, klantenondersteuning en gebruikersapplicaties van Garmin werden allemaal getroffen. WastedLocker maakt programma's nutteloos tot ze gedecodeerd zijn en vervolgens eisen de aanvallers een vergoeding voor de decoderingssleutel. Men denkt dat Garmin maar liefst 10 miljoen dollar losgeld heeft betaald.

Klaar of niet, de toekomst is er al

Wat staat ons volgend jaar te wachten? Het is onwaarschijnlijk dat de aanvallen op korte termijn aanzienlijk zullen afnemen. Maar als er iets positiefs is, dan is het wel dat al deze gebeurtenissen een wake-upcall zijn, waardoor de vele bedreigingen die cyberaanvallen met zich meebrengen en cybersecurity eindelijk serieuzer worden genomen. Wetende dat iedereen samen strijdt tegen hacken, kan ons (hopelijk) wat beter doen slapen. En hoewel 2021 zeker zijn eigen uitdagingen met zich meebrengt, zullen we ongetwijfeld samen stappen zetten naar een veiligere online wereld.

Share this Post

Recent Blogs