Zorginstellingen belegerd door Trinity-ransomware
De gezondheidszorgsector wordt geconfronteerd met een groeiende cyberdreiging van een nieuwe ransomwarevariant die bekendstaat als Trinity . Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft een waarschuwing afgegeven, waarmee organisaties in de gezondheidszorg en volksgezondheid worden gewaarschuwd voor de dreigende gevaren.
Table of Contents
Een toenemende dreiging van ransomware
Trinity, voor het eerst ontdekt in mei 2024, is een relatief nieuwe ransomware-stam. Het versleutelt bestanden en voegt een '.trinitylock'-extensie toe. Volgens HHS vertoont het overeenkomsten met andere ransomware-families zoals 2023Lock en Venus. Deze groepen richten zich vaak op kritieke infrastructuur, en Trinity is daarop geen uitzondering.
Net als andere ransomware gebruikt Trinity een leksite om zijn slachtoffers op te sommen en met organisaties te onderhandelen over het decoderen van bestanden. De operators van de ransomware exfiltreren gegevens voordat ze systemen vergrendelen om ze te gijzelen voor verdere afpersing.
Eenmaal binnen gebruikt Trinity phishing-e-mails, kwetsbare software en kwaadaardige websites om toegang te krijgen. Vervolgens voert het netwerkverkenning uit, scant systemen en beweegt lateraal om privileges te verhogen. Een geavanceerde tactiek die Trinity gebruikt, is het imiteren van het token van legitieme processen om zijn bereik binnen het netwerk van het slachtoffer uit te breiden.
Versleutelings- en afpersingsmethoden
Nadat volledige toegang is verkregen, versleutelt Trinity bestanden met behulp van een robuust versleutelingsalgoritme. Bestanden worden onbruikbaar tenzij het slachtoffer de juiste decryptiesleutel bezit. Elk getroffen bestand krijgt een '.trinitylock'-extensie, waarmee de versleutelde gegevens duidelijk worden geïdentificeerd.
Na het encryptieproces worden slachtoffers geconfronteerd met losgeldnotities in tekst- en .hta-formaten, samen met aangepaste bureaubladachtergronden die de aanval weergeven. De losgeldnotitie bevat doorgaans een onion-URL voor toegang tot de site van de aanvaller en instructies voor communicatie.
Links naar andere ransomwarefamilies
HHS wijst erop dat Trinity opvallend veel lijkt op de ransomwarefamilies 2023Lock en Venus. Ze delen het ChaCha20-encryptiealgoritme en hun losgeldnotities, mutexnamen en registerwaarden zijn vrijwel identiek. Deze diepe connecties suggereren dat Trinity een directe opvolger van 2023Lock zou kunnen zijn, waardoor het een evoluerende bedreiging wordt.
Impact op zorginstellingen
De sectoren gezondheidszorg en volksgezondheid zijn bijzonder kwetsbaar. Eén Amerikaanse zorginstelling is al slachtoffer geworden van deze groep, en op dit moment vermeldt Trinity's leksite vijf slachtoffers. Hieronder valt Rocky Mountain Gastroenterology, waarvan de aanvallers beweren 330 gigabyte aan data te hebben gestolen.
Momenteel zijn er geen decryptietools beschikbaar voor Trinity ransomware, waardoor slachtoffers weinig opties hebben. Hoewel sommigen gedeeltelijk succes hebben gehad met het gebruik van data recovery tools, is de behoefte aan deskundig advies van cybersecurity professionals hoog.
Voorbereiden op de volgende aanval
Het risico dat Trinity en andere ransomwarefamilies vormen voor zorgsystemen is duidelijk. Welke stappen moet uw organisatie nemen om een aanval te voorkomen? Zijn uw huidige verdedigingen voldoende om een inbreuk te weerstaan? Doordachte, proactieve beveiligingsmaatregelen kunnen het verschil maken tussen slachtoffer worden of veilig blijven.
