Een vernietigend rapport van de Australische Informatiecommissaris beschrijft hoe verkeerde configuraties en gemiste waarschuwingen een hacker in staat stelden Medibank te hacken en gegevens van meer dan 9 miljoen mensen te stelen.

In oktober 2022 maakte de Australische zorgverzekeraar Medibank bekend dat het slachtoffer was geworden van een cyberaanval die de bedrijfsvoering verstoorde.

Een week later bevestigde het bedrijf dat de daders alle persoonlijke gegevens van zijn klanten en een groot aantal gezondheidsclaimsgegevens hadden gestolen, wat leidde tot een datalek dat 9,7 miljoen mensen trof.

De gegevens van de aanval werden later gelekt door een ransomwarebende bekend als BlogXX, waarvan werd aangenomen dat het een aftakking was van de opgedoekte REvil ransomwarebende.

De aanval werd uiteindelijk gelinkt aan een Russische staatsburger genaamd Aleksandr Gennadievich Ermakov, die werd gesanctioneerd door Australië, het Verenigd Koninkrijk en de VS.

Bevindingen van de OAIC

In een nieuw rapport dat is uitgebracht door het Bureau van de Australische Informatiecommissaris (OAIC), heeft het onderzoek van het agentschap vastgesteld dat aanzienlijke operationele fouten de hacker in staat stelden in te breken in het netwerk van Medibank.

“De Commissaris stelt dat Medibank van maart 2021 tot oktober 2022 ernstig inbreuk heeft gemaakt op de privacy van 9,7 miljoen Australiërs door onvoldoende redelijke maatregelen te nemen om hun persoonlijke informatie te beschermen tegen misbruik en ongeoorloofde toegang of openbaarmaking in strijd met de Privacy Act 1988,” aldus een persbericht van de OAIC.

Volgens het rapport begon het allemaal met een Medibank-aannemer (IT Service Desk Operator) die zijn persoonlijke browserprofiel op zijn werkcomputer gebruikte en zijn Medibank-gegevens in de browser opsloeg.

Deze inloggegevens werden vervolgens gesynchroniseerd met zijn thuiscomputer, die besmet raakte met malware die informatie steelt, waardoor de daders alle opgeslagen wachtwoorden in zijn browser op 7 augustus 2022 konden stelen. Deze inloggegevens gaven toegang tot zowel een standaard- als een geavanceerd toegangsaccount (admin) bij Medibank.

“Gedurende de Geldige Periode had het Admin-account toegang tot de meeste (zo niet alle) systemen van Medibank, inclusief netwerkschijven, beheersconsoles en externe desktoptoegang tot jump box-servers (gebruikt om toegang te krijgen tot bepaalde Medibank-mappen en databases),” aldus het OAIC-rapport.

Het is onduidelijk of de aanvaller achter de Medibank-inbreuk de gestolen inloggegevens heeft gekocht op een online dark web cybercriminaliteitsmarkt of de malwarecampagne heeft uitgevoerd die informatie steelt.

Echter, de dader begon deze inloggegevens op 12 augustus te gebruiken om eerst in te breken op de Microsoft Exchange-server van het bedrijf en later in te loggen op Medibank’s Palo Alto Networks Global Protect Virtual Private Network (VPN)-implementatie, waardoor interne toegang tot het bedrijfsnetwerk werd verkregen.

Het rapport stelt dat Medibank er niet in slaagde gebruikersgegevens te beschermen omdat het geen multi-factor authenticatie toepaste op VPN-inloggegevens en iedereen met toegang tot de inloggegevens in staat stelde in te loggen op het apparaat.

“De dader kon authenticeren en inloggen op Medibank’s Global Protect VPN met alleen de Medibank-inloggegevens omdat toegang tot Medibank’s Global Protect VPN tijdens de Geldige Periode geen twee of meer bewijzen van identiteit of multi-factor authenticatie (MFA) vereiste. In plaats daarvan was Medibank’s Global Protect VPN zo geconfigureerd dat alleen een apparaatcertificaat of een gebruikersnaam en wachtwoord (zoals de Medibank-inloggegevens) vereist waren,” aldus het rapport.

Door deze toegang tot het interne netwerk begon de dader zich door de systemen te verspreiden en stal tussen 25 augustus en 13 oktober 2022 520 GB aan gegevens van de MARS Database en MPLFiler-systemen van het bedrijf.

Deze gegevens omvatten namen van klanten, geboortedata, adressen, telefoonnummers, e-mailadressen, Medicare-nummers, paspoortnummers, gezondheidsgerelateerde informatie en claimgegevens (zoals namen van patiënten, namen van zorgverleners, primaire/secundaire diagnose- en procedurecodes, en behandeldata).

Tot overmaat van ramp stelt het rapport dat de EDR-software van het bedrijf op 24 en 25 augustus waarschuwingen over verdacht gedrag gaf, die niet goed werden beoordeeld.

Pas medio oktober, toen Medibank een bedreigingsinformatiebedrijf inschakelde om een Microsoft Exchange ProxyNotShell-incident te onderzoeken, ontdekten ze dat er eerder gegevens waren gestolen bij de cyberaanval.

Beveiliging van inloggegevens met MFA

Met miljarden inloggegevens die zijn gestolen door malware die informatie steelt en datalekken, ontstaat er een enorm aanvalsoppervlak dat moeilijk te verdedigen is zonder aanvullende verdedigingslagen, zoals multi-factor authenticatie.

Alle organisaties moeten ervan uitgaan dat hun bedrijfsinloggegevens op de een of andere manier zijn blootgesteld, en daarom voegt het gebruik van MFA een extra beveiligingslaag toe die het voor daders veel moeilijker maakt om een netwerk te hacken.

Dit geldt vooral voor VPN-gateways, die zijn ontworpen om publiekelijk toegankelijk te zijn op het internet, zodat externe medewerkers kunnen inloggen op de bedrijfsnetwerken.

Echter, dit biedt ook een aanvalsoppervlak dat vaak wordt getarget door ransomwarebendes en andere dreigingsactoren om netwerken te hacken en daarom moet worden beschermd met aanvullende verdedigingslagen, zoals MFA.