Ransomware infecteert Braziliaans ziekenhuis via RDP

Een Braziliaans ziekenhuis is getroffen door ransomware. Allerlei data van het ziekenhuis is versleuteld door de kwaadaardige software. Beveiligingsbedrijf Kaspersky Lab is erin geslaagd de versleutelde data weer toegankelijk te maken. Opvallend is dat de cybercriminelen achter de ransomware misbruik hebben gemaakt van het remote desktop protocol (RDP) van Windows om de systemen te infecteren.

Dit meldt Kaspersky Lab. Het beveiligingsbedrijf laat de naam van het getroffen ziekenhuis in het midden. Wel is duidelijk dat het ziekenhuis is getroffen door de ransomware TeamXRat. Waar veel andere ransomware via e-mails wordt verstuurd naar medewerkers van een organisatie of wordt verstopt in een bestand dat kan worden gedownload, maakt TeamXRat gebruik van een andere methode. De kwaadaardige software blijkt te zijn verspreid via het RDP van Windows.

Remote desktop protocol

RDP is een protocol dat het voor IT-beheerders mogelijk maakt computers op afstand te beheren. Via een brute force aanval wisten de aanvallers echter de inloggegevens die hiervoor worden gebruikt te kraken. Hierdoor wisten zij via RDP toegang te krijgen tot de computers van het ziekenhuis en konden zij hierop de ransomware installeren. Bij een brute force aanval wordt geautomatiseerd geprobeerd met een groot aantal inloggegevens in te loggen op een systeem.

De cybercriminelen achter TeamXRat hebben het getroffen ziekenhuis geprobeerd te chanteren. Het ziekenhuis kreeg de mogelijkheid geboden voor een bedrag van 1 bitcoin, omgerekend zo’n 540 euro, toegang te kopen tot haar eigen data. Dit heeft het ziekenhuis overigens niet gedaan. Kaspersky Lab is erin geslaagd de versleuteling die door TeamXRat is toegepast te kraken en alle gegijzelde data weer toegankelijk te maken.