Het Inc-ransomwarecollectief, dat onlangs een groot zorgnetwerk in Michigan heeft verstoord, gebruikt een encryptieprogramma dat mogelijk de sleutel vormt tot herstel van de ergste aanvallen.

Waar ransomware-groepen ooit moreel hoogtij vierden, richten ze zich steeds meer op kritieke zorginstellingen. Het laatste salvo: Inc.’s aanval op McLaren Health Careeen netwerk van ziekenhuizen, dokterspraktijken, verzekeringsplannen en meer ter waarde van miljarden dollars in en rond Michigan, Indiana en Ohio. De aanval onderbrak McLarens IT- en telefoonsystemen, waarbij ziekenhuizen en poliklinieken “downtime-procedures” activeerden. Dit hield onder andere in dat sommige niet-spoedeisende afspraken, tests en behandelingen opnieuw werden gepland en dat patiënten werden gevraagd om fysieke, geprinte kopieën van hun testresultaten, beeldvorming en andere informatie mee te nemen die cruciaal is voor hun zorg.

McLaren zei aanvankelijk niet of er patiënt- of werknemersinformatie was gecompromitteerd, maar een werknemer van een van zijn ziekenhuizen lekte een afgedrukte losgeldbrief waarin stond dat de Inc-ransomwaregroep zijn gegevens gegijzeld hield. Dark Reading heeft contact opgenomen met McLaren voor een update.

Interessant genoeg hebben slachtoffers van Inc. in de uren na een aanval wel een zekere mate van verhaal. In een onlangs gepubliceerd rapport beschrijft GuidePoint Security hoe het interpreteren van gelekte gegevens uit de encryptor van Inc om de kans op een schone, succesvolle decodering te vergroten.

Wat de Encryptor van Inc ons vertelt

Inc heeft mogelijk de bestanden van McLaren vergrendeld met behulp van een encryptieprogramma dat zichzelf voordoet als een systeembestand. Op Windows-systemen heet het programma ‘win.exe’ of ‘windows.exe’, en op Linux-systemen heet het ‘lin’.

Newly Inc-gecodeerde bestanden krijgen een 80-byte footer, die in feite veel informatie lekt over de aard van het coderingsproces, inclusief de mate en het patroon van codering. Slachtoffers kunnen deze informatie gebruiken om weloverwogen beslissingen te nemen over hoe ze met de dreigingsactor om moeten gaan.

Bijvoorbeeld, de footer lekt of het bestand “Snel”, “Gemiddeld” of “Langzaam” is gecodeerd. Als Inc snel ingaat, zal het alleen de eerste, middelste en laatste megabyte van een bestand coderen. Een langzamere codering zal daarentegen alle inhoud van een bestand coderen. Als de laatste 16 bytes van de footer aangeven dat een bestand snel is gecodeerd, kunnen slachtoffers waarschijnlijk het grootste deel van het herstel van een bestand doen, zelfs zonder de decryptor van Inc, door gewoon commerciële forensische tools te gebruiken.

Als een bestand daarentegen is gecodeerd en voorzien is van een .inc-tag, maar de 80-byte voettekst ontbreekt, is het bestand beschadigd en kan het niet worden hersteld, zelfs niet met de decryptor van Inc.

“Maak kopieën van de getroffen bestanden wanneer u een decryptor aanschaft en bekijk voordat u die decryptor uitvoert een aantal van deze voettekstwaarden, want sommige daarvan weet u misschien meteen: we kunnen dit niet meer terughalen”, adviseert Jason Baker, threat intelligence consultant voor GuidePoint Security. “Voor andere weet u misschien meteen: ik moet dit meer dan eens decoderen. Of u komt erachter dat het overgrote deel van de gegevens zelf niet volledig is gecodeerd, wat u een geweldige kans geeft op herstel, zelfs zonder decryptor.”

Wat is er veranderd in aanvallen op de gezondheidszorg?

“Vroeger werd het als taboe beschouwd voor een ransomware-organisatie om gezondheidszorgorganisaties aan te vallen en te versleutelen. Wat we het afgelopen jaar veel hebben gezien, is een geleidelijke erosie van die normen”, zegt Baker.

In het verleden beweerden groepen als LockBit en BlackCat/AlphV dat ze affiliates hadden verboden om gezondheidszorgorganisaties aan te vallen, en ze eruit hadden gegooid als ze dat wel deden. maakt geen deel meer uit van de calculusand Inc is het perfecte voorbeeld. De meest geviseerde sectoren, zegt Baker, zijn precies die welke sommige ransomware-groepen eerder vermeden: gezondheidszorg, onderwijs, non-profitorganisaties.

“De eerste reden daarvoor is dat recente verstoringen veel van de grote spelers echt boos hebben gemaakt, of het nu gaat om Operatie Cronos met LockBitof AlphV pakt de tas en rent weg met hun exit scam. Het veranderde echt hoe sommige mensen naar slachtoffers keken,” legt hij uit.

“De tweede reden die ik vaak zie genoemd worden is de Change Healthcare-aanval van eerder dit jaar”, voegt Baker toe. “Er is veel gespeculeerd over (aanvallers merken op) hoe winstgevend dat was.”