In september vorig jaar werd de server veroverd en ingezet als miner van cryptovaluta. Het is niet bekend of er ook gegevens van patiënten zijn gelekt. Positief hierbij is dat cryptokapende criminelen zich vaak enkel richten op het bemachtigen van resources en data negeren, zo bleek ook al bij de criminelen die Oracle-servers veroverden om Monero te minen.

Informatiebeveiligers maken zich zorgen omdat deze trend om serverkracht te veroveren eens te meer laat zien dat zelfs kritieke systemen ernstig onbeveiligd zijn. In de meeste gevallen zijn dit namelijk geen gerichte aanvallen, zoals je wel zag met de SamSam-ransomware bij ziekenhuizen twee jaar geleden, maar wordt er met grof hagel geschoten en pakken cryptokapers wat ze pakken kunnen.

Geen malware = probleem voor AV

Als criminelen zelfs in zo'n scenario blijkbaar zeer gevoelige servers te grazen kunt nemen, schort er iets ernstig aan de beveiliging van de systemen. De cryptokapers worden via een exploit geïntroduceerd, maar de kleine beetjes C-code zijn nauwelijks te detecteren door antivirussoftware, zo schreef Cisco's Talos vorige maand.

Volgens Cisco kun je technisch gezien eigenlijk niet eens spreken van malware, omdat het code is met een legitiem doel. Het is een programma is niet ontworpen om iets te stelen en dat doet wat het moet doen, maar wordt alleen ingezet op een bron waar hij niet thuishoort. Deskundigen raden beheerders aan om nog strakker te monitoren hoe de resources presteren. Een systeem dat is voorzien van een cryptokaper wordt immers zwaarder belast dan normaal.