Verdacht PowerShell-commando bij zorgorganisatie: opnieuw maakt inzicht het verschil

16 januari 2026

Cyberaanvallen in de zorg beginnen zelden met iets dat direct alarmbellen doet rinkelen. Geen ransomwarepop-ups, geen zichtbare uitval van systemen. Het begint bijna altijd klein. Eén gebruiker. Eén endpoint. Eén signaal dat je gemakkelijk over het hoofd ziet.

Precies zo startte begin januari 2026 een incident bij een zorgorganisatie. Dankzij tijdige detectie en snelle opvolging bleef de impact beperkt, maar het incident laat opnieuw zien hoe belangrijk vroegtijdig zicht is en hoe aanvallers steeds vaker PowerShell en legitieme cloudinfrastructuur inzetten om onder de radar te blijven.

Het begin: verdacht PowerShell gedrag

Op 6 januari 2026 detecteerde Microsoft Defender for Endpoint een PowerShell commando dat verbinding probeerde te maken met cdn[.]jsdelivr[.]net, een legitieme dienst die regelmatig wordt misbruikt om kwaadaardige scripts te hosten. Het doel was duidelijk: externe code ophalen en uitvoeren, vermoedelijk als opstap naar verdere toegang.

Wat dit incident extra zorgelijk maakte, was dat het commando ook opdook in het RunMRU register van Windows (dit register houdt bij welke commando’s en programma’s recent zijn uitgevoerd via het Run venster, waardoor dreigingen kunnen proberen mee te liften om later opnieuw uitgevoerd te worden). Dat is typisch gedrag voor een poging tot persistentie: zorgen dat code opnieuw kan worden uitgevoerd, zelfs na een herstart of uitloggen.


Incident in het XDR systeem
Incident in het XDR systeem

Van losse signalen naar één samenhangend incident

De eerste detectie kwam om 13:10 uur binnen. Kort daarna werden meerdere signalen automatisch gecorreleerd binnen Cisco XDR Analytics, waarna een incident werd aangemaakt. Tijdens het onderzoek zagen onze analisten onder andere:

  • Een verdacht PowerShell‑commando dat niet past bij normaal gebruik.
  • Aangepaste Windows‑instellingen voor persistentie, bedoeld om opnieuw te kunnen starten na een herstart.
  • Gedrag dat overeenkomt met bekende misbruiktechnieken, zoals “Suspicious ClickFix”.
  • Een ongebruikelijke volgorde van processen, wat duidt op mogelijk misbruik van powershell.exe, userinit.exe en explorer.exe

Verschillende indicatoren die de aanval kenmerken
Verschillende indicatoren die de aanval kenmerken

Snelle respons voorkomt verdere schade

De interne IT-afdeling werd direct geïnformeerd en nam geen enkel risico. Het device is onmiddellijk in quarantaine geplaatst en volledig opgeschoond. Tijdens de gezamenlijke analyse bleek dat er geen aanwijzingen waren voor laterale beweging, er geen signalen waren van datadiefstal en er bovendien geen bevestiging is dat de payload daadwerkelijk is uitgevoerd. Dankzij de snelle detectie en adequate response is eventuele schade beperkt gebleven.

Ons SOC is direct gestart met een onderzoek naar de oorzaak van het incident: hoe deze malware bij de gebruiker terecht is gekomen.

Wat zien we hier in de praktijk?

Dit incident staat niet op zichzelf. Het past precies in de trend die we steeds vaker zien in de zorg.

PowerShell als aanvalsmiddel

PowerShell is krachtig, standaard aanwezig en lastig volledig te blokkeren zonder de bedrijfsvoering te raken. Living off the Land (LOL) technieken blijven toenemen.

Misbruik van legitieme infrastructuur

CDN’s en cloudplatformen worden gebruikt om detectie te ontwijken. Kwaadaardig verkeer ziet er daardoor vaak legitiem uit.


Gebruik van een bekende CDN om onder de radar te blijven
Gebruik van een bekende CDN om onder de radar te blijven

De gebruiker als startpunt

De aanval vereiste een actie van de gebruiker. Weer een bevestiging dat identity en endpoint onlosmakelijk met elkaar verbonden zijn en dus essentieel om continue te monitoren.

Zicht over meerdere lagen is cruciaal

Endpoint , netwerk en cloudtelemetrie samen maakten hier het verschil. Geen enkele laag had dit incident alleen volledig kunnen duiden.

Waarom dit ertoe doet

Zorgomgevingen bestaan niet alleen uit beheerde werkplekken. Er draaien ook medische systemen en andere unmanaged devices waarop geen agent kan worden geplaatst. Juist daarom is het essentieel om aanvallen niet alleen op de endpoint te willen stoppen, maar ze ook te herkennen in gedrag en verkeer.

In dit incident leverde Cisco XDR, met de gecombineerde inzichten van Microsoft Defender for Endpoint, Cisco Umbrella en Cisco NDR, precies de informatie die nodig was om snel en doelgericht te handelen.

Het incident doorliep de MITRE fases Execution, Persistence en uiteindelijk Privilege Escalation, wat duidelijk maakt dat de aanval niet alleen werd uitgevoerd, maar zich ook probeerde te verankeren en meer rechten wilde verkrijgen.


De MITRE tactics gebruikt bij de aanval
De MITRE tactics gebruikt bij de aanval

Conclusie: geen impact, maar wel een duidelijke les

Dit incident liep goed af. Niet door geluk, maar door detectie, correlatie en snelle besluitvorming. Moderne aanvallen bestaan zelden uit één duidelijk alarmsignaal.

Wie alleen naar losse meldingen kijkt, mist context. Wie lagen combineert, ziet het verhaal. En in de zorg, waar continuïteit letterlijk van levensbelang is, maakt dat het verschil.

Plan een gesprek

Incident in het kort

Sector: Zorg

Datum: 6 januari 2026

Type incident: Verdachte PowerShell-executie

Doel aanval: Downloaden en uitvoeren van externe code met persistente toegang

Detectie: Microsoft Defender for Endpoint, Cisco Umbrella, Cisco NDR

Technieken: PowerShell, registry-persistentie (MITRE T1059, T1547)

Impact: Geen — device tijdig opgeschoond

Leerpunt: Vroegtijdige detectie en correlatie over meerdere lagen voorkomen escalatie