Hackersgroep dreigde patiëntgegevens van ChipSoft te publiceren

Een hackersgroep met de naam Embargo heeft deze week gedreigd om patiëntgegevens van zorgleverancier ChipSoft te publiceren. ChipSoft levert systemen aan onder meer huisartsen. Eerder deze maand werd bekend dat het bedrijf is gehackt. Daarbij zijn persoonlijke gegevens van een onbekend aantal patiënten gestolen, waaronder medische data.

Hackersgroep Embargo plaatste begin deze week een bericht op het darkweb, een verborgen gedeelte van het internet. In het bericht beweren de hackers dat zij 100 GB aan gegevens van ChipSoft in handen hebben. Op de site stonden twee aftelklokken die deze week zouden aflopen.

“Die klok is erop gericht om hun slachtoffers onder druk te zetten”, zegt Harm Teunis van cybersecuritybedrijf ESET. “Dat is ook het doel van zo’n site op het darkweb. Daarmee laten ze zien dat ze gegevens in handen hebben en dreigen die te publiceren.”

Het dreigement is inmiddels verwijderd van de website op het darkweb. “Vaak gebeurt dat pas als het bedrijf heeft betaald om te voorkomen dat de gegevens worden gepubliceerd”, zegt Teunis. “Maar het kan ook dat Embargo de naam heeft weggehaald omdat dat onderdeel was van de onderhandelingen.”

ChipSoft bevestigt aan de NOS dat onderhandelingen met de cybercriminelen nog lopen. Het bedrijf wil verder niet reageren. “Ter bescherming van de belangen van alle betrokkenen kunnen wij op dit moment geen verdere uitspraken doen”, laat een woordvoerder weten.

Embargo is een vrij onbekende hackersgroep. Het is niet bekend wie erachter zitten of waar ze vandaan komen. Op het darkweb omschrijft de groep zichzelf als een “internationaal team zonder politieke banden”.

Uit een lijst met recente slachtoffers blijkt dat Embargo vaker de zorgsector aanvalt. Tussen de namen staan onder meer ziekenhuizen uit de Verenigde Staten, maar ook bedrijven uit andere sectoren wereldwijd.

ESET volgt de groep sinds juni 2024. “Dat is vlak nadat we ze voor het eerst hebben gezien. Hun werkwijze is in die jaren niet veel anders geworden”, zegt Teunis. “Wat ze doen, noemen we dubbele afpersing. Daarbij worden bestanden van het bedrijf niet alleen versleuteld, maar downloaden de hackers ook gegevens om het bedrijf af te persen.”

ChipSoft maakte eerder zelf bekend dat het bedrijf slachtoffer is geworden van een ransomware-aanval. In het Nederlands wordt dat vaak gijzelsoftware genoemd. Daarbij maken criminelen bestanden ontoegankelijk door ze te versleutelen: de bestanden worden ‘gegijzeld’. Daarna vragen de hackers losgeld, in ruil voor de digitale sleutel. Daarmee kan het slachtoffer zijn bestanden weer toegankelijk maken.

Met de gestolen gegevens kunnen zij het slachtoffer ook chanteren door te dreigen om die te publiceren. “Het slachtoffer wordt dus twee keer onder druk gezet: om weer aan het werk te kunnen, en om te voorkomen dat er gegevens openbaar worden. Medische gegevens zijn extra gevoelig. De druk om te betalen kan daardoor hoger worden. Maar het kwaad is natuurlijk al geschied: de criminelen hebben de gegevens al in handen.”

De Landelijke Huisartsen Vereniging heeft alle huisartsen die getroffen zijn door de hack bij ChipSoft geadviseerd om hun patiënten daarover te informeren, maar weet niet of dat inmiddels is gebeurd. De vereniging zegt dat er mogelijk gegevens van “enkele tientallen huisartsenpraktijken” zijn gestolen, maar zegt niet te weten hoeveel het er precies zijn.

Behalve bij huisartsen zijn ook bij andere zorginstellingen patiëntgegevens gestolen. Om welke instellingen het precies gaat en om hoeveel personen, maakt ChipSoft niet bekend. Het bedrijf zegt dat mensen die vragen hebben over de hack daarmee naar hun eigen huisarts of zorgverlener moeten gaan.