Z-CERT, het Computer Emergency Response Team voor de zorgsector, is bezorgd om de opmars van malafide Javascript-files bij zorg- en zorggerelateerde instellingen. De afgelopen zes maanden zijn er minstens 12 van dergelijke incidenten gemeld zij Z-CERT.
Z-CERT maakt zich vooral zorgen om malafide Javascript-bestanden die binnen Windows kunnen worden opgestart met een dubbelklik, niet om Javascript als onderdeel van een website. “Er is momenteel een aantal campagnes actief waar de aanvallers gebruik maken van malafide Javascripts. De criminelen gebruiken deze files om zich toegang te verschaffen tot systemen en in een later stadium bijvoorbeeld ransomware uit te rollen.”
Deze methode wordt ook gebruikt door ransomware-groepen die het gemunt hebben op de (Nederlandse) zorgsector, waarschuwt de organisatie.
Conti en Avaddon
De Javascript methode is afgelopen half jaar gebruikt door verschillende cybercrime groepen. Voorbeelden hiervan zijn de ransomware-varianten Conti en Avaddon. De cybercrimegroep die gebruik maakt van Conti (Wizard spider) zat ook achter de grote hack op de Ierse gezondheidssector waarbij 2000 patiëntsystemen offline werden gehaald.
In april rapporteerde Microsoft over een campagne waarbij malafide Javascripts aangeboden werden die de malware IcedID downloadt. IcedID wordt door verschillende ransomware-groepen gebruikt, zoals Egregor en REvil. Beide hebben het gemunt op de zorgsector.
Tips
Om te voorkomen dat zorginstellingen slachtoffer worden van malafide Javascript-files, adviseert Z-CERT om .js- en .jse-bestanden niet standaard via een dubbelklik te laten opstarten. “Zorg dat dit een andere applicatie is, b.v. notepad.exe. Dit kan gedaan worden door de .js en .jse extensies te associëren met notepad.exe in plaats van de Windows Scripting Host.”
Verder kan ook het implementeren van applicatie-whitelisting helpen tegen dit soort aanvallen.
foto: Pixabay