Het gehackte laboratorium Clinical Diagnostics heeft miljoenen euro’s losgeld betaald aan cybercriminelen van Nova. Het Rijswijkse lab hoopte zo te voorkomen dat nog meer gestolen medische data op het dark web verschijnt. De hack trof 485.000 Nederlandse vrouwen die meededen aan het bevolkingsonderzoek naar baarmoederhalskanker.
Het datalek werd pas een maand na ontdekking gemeld. Bevolkingsonderzoek Nederland noemde deze gang van zaken “schokkend”. De late melding is in strijd met GDPR-wetgeving die bedrijven verplicht om binnen 24 uur te rapporteren. Ook is de kans op een geslaagde phishing-poging groter wanneer nog niet bekend is dat iemands data is gestolen vanuit een derde partij. Gerichte mails kunnen immers zich voordoen als legitiem, maar bij het melden van een datalek zijn slachtoffers mogelijk ingelicht.
Voor de 485.000 getroffen vrouwen betekent dit incident hoe dan ook een ernstige aantasting van hun privacy. De gestolen gegevens omvatten namen, adressen, burgerservicenummers en medische informatie zoals uitslagen van uitstrijkjes en zelftesten. Naast de data van 485.000 vrouwen is er ook nog allerlei andere data buitgemaakt. Het gaat om gegevens van huid-, urine- en penisonderzoek.
Nova’s werkwijze
Nova is een relatief nieuwe ransomwaregroep die sinds eind maart actief is. Het collectief heeft inmiddels 34 bedrijven of organisaties gehackt. Het bekendste slachtoffer komt uit Italië, waar ze de computers van gemeente Pisa platlegden en 100 gigabyte aan data stalen.
De groep richt zich specifiek op Clinical Diagnostics-moederbedrijf Eurofins, zoals blijkt uit hun dark web-communicatie. Zij noemen het slachtoffer daarom consequent Eurofins in plaats van Clinical Diagnostics.
Bevestiging van betaling
Ransomwaregroep Nova bevestigt tegenover RTL Nieuws dat er daadwerkelijk losgeld is ontvangen. Het exacte bedrag blijft onbekend, maar volgens bronnen eisten de cybercriminelen miljoenen euro’s. De aanvallers stelden hun eis op basis van een simpele formule: 2 procent van de jaaromzet of het vermogen. Bij Eurofins gaat het om zo’n 80 miljoen euro aan vermogen, wat het gevraagde bedrag op 1,6 miljoen euro zou brengen.
Van de totaal gestolen 300 gigabyte aan data hebben de criminelen slechts 100 megabyte op het dark web gepubliceerd. Dit kleine deel betrof de gegevens van 53.516 patiënten, waaronder ook die van een minister en Kamerlid.
Het laboratorium wil de betaling niet officieel bevestigen, maar hint er wel naar op de eigen website: “We hebben op dit moment geen indicaties dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens.”
Amateuristische aanpak
Cybersecurityexpert Rickey Gevers acht ondanks dit gedeeltelijke lek de kans “extreem groot” dat de data daadwerkelijk wordt verwijderd na betaling. “Deze criminelen hadden veel meer gegevens en hebben maar een klein deel gepubliceerd om de druk op te voeren, en met succes.”
Dit is een gebruikelijke tactiek om de ernst van een volledige openbaring van de data te laten blijken. Bevolkingsonderzoek Nederland heeft de samenwerking met Clinical Diagnostics tijdelijk opgeschort totdat er garanties komen voor veilige gegevensverwerking.