TridentLocker Ransomware onthult datalek WTC Health Program

Sommige datalekken onthullen creditcardnummers. Andere onthullen e-mailadressen. Dit datalek onthulde de medische dossiers, burgerservicenummers en ingevulde gezondheidsprogrammaformulieren van mensen die deelnemen aan het World Trade Center Health Program—een federaal programma dat is opgezet om te zorgen voor de mannen en vrouwen die reageerden op de aanslagen van 11 september, de giftige stofwolken overleefden, of woonden en werkten in het rampgebied.

Belangrijkste inzichten

1. Een ransomware-aanval onthulde uiterst gevoelige WTC Health Program-gegevens. Op 4 december 2025 ontdekte Managed Care Advisors/Sedgwick Government Solutions (MCA/SGS)—een federale aannemer die werknemerscompensatie en managed care beheert voor Amerikaanse overheidsinstanties—dat een zakelijke Secure File Transfer Protocol (SFTP)-server was gecompromitteerd. De inbraak dateerde van 16 november 2025, toen een ongeautoriseerde derde partij toegang kreeg tot de server en bestanden versleutelde. De gecompromitteerde server bevatte bestanden van de vorige Nationwide Provider Network-aannemer voor het World Trade Center Health Program, een federaal gefinancierd initiatief dat gratis medische monitoring en behandeling biedt aan 9/11-hulpverleners en overlevenden.
2. De blootgestelde gegevens zijn omvangrijk—en uniek schadelijk. Dit was geen datalek van e-mailadressen en wachtwoorden. De blootgestelde informatie omvat voor- en achternamen, woonadressen, burgerservicenummers, geboortedata, afbeeldingen van medische dossiers en ingevulde WTC Health Program-formulieren met beschermde gezondheidsinformatie. Voor personen die deelnemen aan het WTC Health Program—veelal hulpverleners, herstelwerkers en overlevenden die al kampen met chronische gezondheidsproblemen door giftige blootstelling op 9/11—betekenen deze gegevens de meest intieme details van hun medische geschiedenis en identiteit.
3. TridentLocker eiste verantwoordelijkheid op en lekte gegevens op het dark web. De ransomwaregroep die zichzelf TridentLocker noemt, plaatste op 30 december 2025 ongeveer 3,39 GB aan data van de organisatie op een via Tor gehoste darkwebsite. TridentLocker opereert als een ransomware-as-a-service (RaaS) operatie die eind november 2025 opdook en gebruikt dubbele afpersingstactieken: systemen versleutelen en dreigen gestolen data te publiceren als losgeld niet wordt betaald. De groep heeft sinds haar opkomst 12 slachtoffers genoemd, verspreid over producenten, overheid, IT en professionele dienstverlening in Noord-Amerika en Europa.
4. De officiële bekendmaking kwam maanden na het datalek. MCA/SGS meldde het datalek op 10 februari 2026 aan de procureur-generaal van New Hampshire—bijna drie maanden na de eerste ongeautoriseerde toegang op 16 november 2025. Meldingen aan getroffen personen begonnen op 11 februari 2026. Hoewel de melding aanvankelijk verwijst naar ongeveer drie inwoners van New Hampshire, geeft de aard van de gegevens—WTC Health Program-dossiers uit een landelijke provider network—aan dat de werkelijke omvang van de blootstelling veel verder reikt dan één staat.
5. SFTP-infrastructuur blijft een waardevol, onderbeveiligd doelwit. Het datalek maakte misbruik van een SFTP-server—bestandsoverdrachtinfrastructuur die, door ontwerp, gevoelige gegevens van diverse upstream-providers en programma’s samenbrengt. SFTP-servers die in de zorg en bij de overheid worden gebruikt, slaan vaak grote hoeveelheden PHI en PII op in geconcentreerde opslagplaatsen, waardoor ze bijzonder aantrekkelijk zijn voor ransomware-operators. Dit incident benadrukt een hardnekkige kwetsbaarheid in de manier waarop gedekte entiteiten en zakelijke partners bestandsoverdracht-systemen beheren, vooral wanneer deze systemen gespecialiseerde zorgprogramma’s ondersteunen met buitengewoon gevoelige deelnemersgegevens.

Die context is belangrijk. Het verandert de risicoberekening volledig.

Het WTC Health Program, beheerd door het National Institute for Occupational Safety and Health (NIOSH) van de CDC, biedt medische monitoring en behandeling voor 9/11-gerelateerde gezondheidsproblemen zonder kosten voor in aanmerking komende hulpverleners en overlevenden. Deelnemers zijn onder meer brandweerlieden, politieagenten, ambulancemedewerkers, bouwvakkers betrokken bij herstel en opruiming, en bewoners die zijn blootgesteld aan de giftige stoffen die vrijkwamen bij het instorten van de WTC-torens. Veel van deze mensen hebben kanker, ademhalingsziekten, spijsverteringsstoornissen en psychische aandoeningen ontwikkeld die verband houden met hun blootstelling. Hun medische dossiers zijn geen standaard medische bestanden. Het zijn gedetailleerde documentaties van beroepsmatige blootstelling, het verloop van chronische ziekten en voortdurende behandeling van aandoeningen die verbonden zijn aan een van de belangrijkste gebeurtenissen in de Amerikaanse geschiedenis.

Als die dossiers op een darkweb-leksite terechtkomen, is de schade niet abstract.

Wat is er gebeurd: een tijdlijn

De opeenvolging van gebeurtenissen is eenvoudig, en dat is juist deel van het probleem.

Op 16 november 2025 kreeg een derde partij ongeautoriseerde toegang tot een zakelijke SFTP-server van Managed Care Advisors/Sedgwick Government Solutions. De server werd gebruikt om bestanden op te slaan die verband hielden met het Nationwide Provider Network voor het WTC Health Program. De aanvaller versleutelde bestanden op de server—een kenmerk van ransomware-inzet.

MCA/SGS ontdekte het datalek op 4 december 2025. De getroffen server werd in quarantaine geplaatst, alle verbindingen werden uitgeschakeld en een veilige back-up werd de volgende dag, 5 december, hersteld. Het bedrijf schakelde Mandiant in, een toonaangevend incident response-bedrijf, om forensisch onderzoek uit te voeren en bracht de FBI op de hoogte.

Op 30 december 2025 plaatste TridentLocker ongeveer 3,39 GB aan data van de organisatie op een via Tor gehoste darkweb-leksite. De groep had de verantwoordelijkheid voor de aanval opgeëist en gebruikte het standaard dubbele afpersingsmodel: systemen versleutelen, data stelen en dreigen met publieke publicatie tenzij losgeld wordt betaald.

Sedgwick bevestigde het incident begin januari 2026 publiekelijk en benadrukte dat de overheidsoplossingen-dochter gescheiden is van de bredere Sedgwick-activiteiten en dat er geen claimsmanagementservers zijn benaderd. De formele melding van het datalek aan de procureur-generaal van New Hampshire volgde op 10 februari 2026, met individuele meldingen vanaf 11 februari.

Getroffen personen krijgen 12 maanden kredietbewaking en bescherming tegen identiteitsdiefstal aangeboden via Kroll, en er is een speciaal callcenter opgezet voor vragen.

Waarom SFTP-servers steeds doelwit zijn

Als het Managed Care Advisors-datalek bekend klinkt, komt dat doordat het een patroon volgt dat zich al jaren herhaalt in de zorg en bij de overheid. Bestandsoverdracht-infrastructuur—SFTP-servers, beheerde bestandsoverdracht (MFT)-platforms en vergelijkbare systemen—blijft keer op keer het zwakke punt in grote datalekken.

De reden is niet ingewikkeld. SFTP-servers zijn ontworpen om bestanden te ontvangen, op te slaan en te verzenden tussen organisaties. In de zorg bevatten die bestanden vaak de grootste concentraties PHI en PII van de hele omgeving: claimgegevens, registratiebestanden, medische afbeeldingen, aanmeldformulieren voor programma’s, burgerservicenummers en meer. Eén SFTP-server kan gevoelige gegevens van diverse upstream-providers, programma’s en instanties op één plek samenbrengen.

Voor aanvallers is SFTP-infrastructuur dus een one-stop-shop. Door één server te compromitteren, krijgen ze toegang tot een enorme hoeveelheid waardevolle data zonder lateraal door een bedrijfsnetwerk te hoeven bewegen of meerdere lagen endpointbeveiliging te omzeilen.

De verdedigingsmaatregelen die deze systemen zouden moeten beschermen zijn bekend: sterke authenticatie (multi-factor, niet alleen wachtwoorden), encryptie van gegevens in rust en onderweg, robuuste toegangscontroles die bepalen wie en wat de server mag bereiken, realtime monitoring en waarschuwingen voor afwijkende toegangsactiviteiten, en onveranderlijke audit logs die een forensisch spoor creëren.

Zero-trust-principes—elke toegangsaanvraag verifiëren, het minste privilege afdwingen en uitgaan van compromittering als ontwerpprincipe—zijn vooral relevant voor bestandsoverdracht-systemen die gevoelige data uit diverse bronnen samenbrengen.

Toch onthullen datalekken met SFTP- en MFT-systemen keer op keer tekortkomingen op een of meer van deze gebieden. Of het nu gaat om zwakke authenticatie, ongecontroleerde toegang, ontbrekende encryptie in rust of het ontbreken van anomaliedetectie—het patroon blijft zich herhalen omdat de basismaatregelen over het hoofd worden gezien in systemen die niet altijd dezelfde beveiligingsaandacht krijgen als prominente klinische applicaties.

Het ransomwarelandschap in de zorg wordt alleen maar erger

Het datalek bij MCA/SGS vond niet in een vacuüm plaats. Het gebeurde tijdens de zwaarste periode van ransomware-activiteit die de zorgsector ooit heeft gekend.

Het aantal ransomware-incidenten in de zorg bereikte het hoogste kwartaalniveau van het jaar in de laatste drie maanden van 2025, met 190 aanvallen in alleen Q4, volgens het Threat Intelligence-rapport van Health-ISAC. In totaal steeg het aantal cyberincidenten in alle sectoren naar 8.903 in 2025, een stijging van 55 procent ten opzichte van 2024. Incidenten specifiek in de zorg stegen jaar-op-jaar met 21 procent.

De cijfers schetsen een somber beeld, maar de tactieken zijn nog zorgwekkender. Naar schatting 96 procent van de ransomware-incidenten gericht op de zorg omvat nu data-exfiltratie—het dubbele afpersingsmodel waarbij aanvallers data stelen voordat ze systemen versleutelen. Zelfs als een organisatie door middel van back-ups kan herstellen van versleuteling, hebben aanvallers met de gestolen data een tweede drukmiddel: betaal, of we publiceren de dossiers van uw patiënten.

Dit is precies wat er gebeurde bij TridentLocker en MCA/SGS. De data werd niet alleen versleuteld. Ze werd gestolen en op een darkweb-leksite geplaatst. Het terugzetten van back-ups loste de operationele verstoring op, maar deed niets aan het feit dat de gegevens van WTC Health Program-deelnemers al in handen waren van een criminele organisatie.

Het ransomware-ecosysteem zelf is gefragmenteerd. Kleinere, snellere groepen en nieuwe ransomware-as-a-service-platforms domineren nu het landschap. TridentLocker is daar een voorbeeld van—de groep verscheen pas eind november 2025 en had begin januari 2026 al een dozijn slachtoffers opgeëist. De drempel om ransomware-operaties te starten blijft dalen, en de zorgsector, met zijn concentratie van waardevolle PHI en gevoeligheid voor downtime, blijft de meest aangevallen branche.

De regelgevende en juridische risico’s zijn aanzienlijk

Wanneer een datalek zowel PII als PHI omvat—en betrekking heeft op een federaal gefinancierd gezondheidsprogramma dat onder HIPAA en de James Zadroga 9/11 Health and Compensation Act valt—reikt de regelgevende blootstelling veel verder dan alleen het aanbieden van kredietbewaking.

Het HHS Office for Civil Rights (OCR), dat de HIPAA Security Rule handhaaft, intensiveert de handhaving tegen gedekte entiteiten en zakelijke partners die fundamentele beveiligingsvereisten niet implementeren. In de eerste vijf maanden van 2025 alleen al kondigde OCR 10 schikkingen aan met zorgorganisaties over datalekken, met boetes die oplopen tot in de miljoenen. Een terugkerend thema in die handhavingsacties: organisaties die hun eigen beveiligingsrisico’s nooit goed hebben beoordeeld.

Voor MCA/SGS zijn de vragen van toezichthouders voorspelbaar. Was multi-factor authenticatie afgedwongen op de gecompromitteerde SFTP-server? Waren gegevens in rust versleuteld? Waren toegangscontroles zo geconfigureerd dat alleen bevoegden WTC Health Program-bestanden konden bereiken? Was er realtime monitoring en anomaliedetectie aanwezig? Was er een onveranderlijk audittrail waarmee exact kan worden gereconstrueerd welke gegevens wanneer zijn benaderd?

En naast het regelgevende onderzoek vormt zich al collectieve rechtsvordering. Advocaten onderzoeken of getroffen personen claims kunnen indienen voor verlies van privacy, directe kosten en andere schade als gevolg van het datalek. Voor een populatie die al de last draagt van 9/11-gerelateerde gezondheidsproblemen, voegt het vooruitzicht van identiteitsdiefstal en medische fraude letterlijk extra schade toe.

Wat getroffen personen nu moeten doen

Als u een melding van een datalek heeft ontvangen van Managed Care Advisors/Sedgwick Government Solutions, of als u vermoedt dat uw gegevens mogelijk zijn blootgesteld via het Nationwide Provider Network van het WTC Health Program, zijn er concrete stappen die u direct moet nemen.

Schrijf u in voor de gratis kredietbewaking en identiteitsherstelservices die via Kroll worden aangeboden. Deze diensten lopen 12 maanden en kunnen u waarschuwen voor verdachte activiteiten op uw kredietbestand.

Vraag uw gratis kredietrapporten op bij de drie grote bureaus—Equifax, Experian en TransUnion—en controleer deze zorgvuldig op accounts, aanvragen of activiteiten die u niet herkent.

Overweeg het plaatsen van een fraudewaarschuwing of een bevriezing van uw kredietbestanden. Een fraudewaarschuwing informeert kredietverstrekkers dat ze extra stappen moeten nemen om uw identiteit te verifiëren voordat ze nieuwe accounts openen. Een bevriezing gaat verder en voorkomt dat er geheel nieuwe kredietaccounts op uw naam worden geopend totdat u de bevriezing opheft.

Houd uw explanation of benefits (EOB)-overzichten en alle zorggerelateerde correspondentie in de gaten op tekenen van medische identiteitsfraude. Wanneer PHI wordt blootgesteld, bestaat het reële risico dat gestolen informatie wordt gebruikt om medische diensten of medicijnen op uw naam te verkrijgen, wat uw medische dossiers kan vervuilen en complicaties kan veroorzaken in uw eigen zorg.

Als u vragen heeft, heeft MCA/SGS een speciaal callcenter opgezet om getroffen personen te ondersteunen.

Wat organisaties die gevoelige zorgdata beheren hiervan moeten leren

Het datalek bij Managed Care Advisors/Sedgwick is een casestudy in de specifieke risico’s voor organisaties die bestandsoverdracht-infrastructuur beheren voor gespecialiseerde zorgprogramma’s. Drie prioriteiten springen eruit.

Behandel bestandsoverdracht-systemen als waardevolle doelwitten, want aanvallers doen dat al. SFTP-servers, MFT-platforms en vergelijkbare systemen die gevoelige data uit diverse bronnen samenbrengen vereisen beveiligingsmaatregelen die passen bij hun risicoprofiel. Dat betekent multi-factor authenticatie, encryptie in rust en onderweg, granulaire rolgebaseerde toegangscontroles, realtime anomaliedetectie en onveranderlijke audit logs. Dit zijn geen streefdoelen. Het zijn basisvereisten voor systemen die PHI en PII opslaan.

Pas zero-trust-principes toe op elk datapad, niet alleen de netwerkperimeter. De overstap naar zero-trust-architectuur betekent elke toegangsaanvraag verifiëren, toegang met het minste privilege afdwingen zodat gebruikers en systemen alleen de data bereiken die ze nodig hebben voor hun specifieke functie, en ervan uitgaan dat elk onderdeel van de omgeving gecompromitteerd kan zijn. Voor bestandsoverdracht-systemen betekent dit toegangscontrole op map- en bestandsniveau, verbindingen beperken op IP en geografie, en tijdsgebonden toegang voor tijdelijke samenwerkers. Vertrouwen mag nooit impliciet zijn.

Bouw en test ransomwarebestendigheid voordat het nodig is. Versleutelde, gesegmenteerde back-ups zijn essentieel. Incident response-plannen moeten rekening houden met dubbele afpersingsscenario’s waarbij data wordt gestolen vóór versleuteling. Forensische paraatheid—het vermogen om exact te reconstrueren wat wanneer en door wie is benaderd—is niet optioneel als het om PHI gaat. En het responseplan moet regelmatig worden getest, niet pas uit de kast worden gehaald als de SFTP-server uitvalt.

Waarom legacy SFTP het probleem is—en wat het vervangt

Hier is de ongemakkelijke waarheid die in dit datalek schuilgaat: traditionele SFTP-infrastructuur is nooit ontworpen voor de dreigingsomgeving waarin het nu opereert. Legacy SFTP-inzet vertrouwt doorgaans op handmatige scripting, verspreide serverinstanties en aangeplakte beveiligingstools die juist gaten creëren in plaats van ze te dichten. Elke server heeft zijn eigen configuratie, eigen toegangsbeleid, eigen logformaat—als er al logging is. Wanneer een ransomwaregroep als TridentLocker zo’n server treft, kan de organisatie vaak niet eens reconstrueren wat er is buitgemaakt, laat staan aan toezichthouders bewijzen dat de controles vooraf aanwezig waren.

Dit is het architecturale probleem dat het datalek bij MCA/SGS mogelijk maakte. Niet een gebrek aan bewustzijn. Een gebrek aan consolidatie.

Kiteworks is ontwikkeld om precies dit type risico uit te bannen. De aanpak van SFTP-beveiliging begint op het infrastructuurniveau en werkt naar buiten, waarbij het gefragmenteerde legacy-model wordt vervangen door één platform dat beleid, beheer en audit logs centraliseert voor elk bestandsoverdrachtskanaal.

De basis is een hardened virtual appliance met een standaard veilige architectuur en een minimaal aanvalsoppervlak. Een ingebouwde firewall en webapplicatiefirewall beschermen de perimeter, terwijl een assume-breach-ontwerpfilosofie beschermt tegen advanced persistent threats. Dit is geen theoretische weerbaarheid—toen de Log4Shell-kwetsbaarheid opdook, verkleinde de isolatiearchitectuur van Kiteworks de blootstelling van een kritieke CVSS 10 naar een CVSS 4. Het platform wordt continu versterkt via OWASP-beste practices, offensieve en defensieve beveiligingsstrategieën, externe penetratietests en bug bounty-programma’s.

Encryptie gaat verder dan wat de meeste SFTP-oplossingen bieden. Kiteworks levert dubbele encryptie voor data in rust, TLS 1.3 voor data onderweg, klantbeheerde sleutels (BYOK) voor volledige controle over cryptografisch materiaal, en FIPS 140-3 gevalideerde encryptieopties die voldoen aan federale vereisten. In het datalek bij MCA/SGS bevatte de gecompromitteerde SFTP-server WTC Health Program-data. Als die data was beschermd met dubbele encryptie en klantbeheerde sleutels, zou alleen exfiltratie TridentLocker geen bruikbare bestanden hebben opgeleverd.

Op het gebied van contentbeveiliging zet Kiteworks zero-trust gegevensuitwisseling in die elk bestand als een potentieel risico behandelt. Content Disarm and Reconstruction (CDR) verwijdert ingesloten bedreigingen door alle bestanden vóór levering te reconstrueren. Elk bestand wordt gescand—geen bypass op basis van bestandsgrootte—met multi-engine antivirusanalyse, realtime threat intelligence en gedragsanalyse voor zero-day-detectie. Dit is de laag die wapengebruikte bestanden onderschept voordat ze de server bereiken, en afwijkende activiteiten signaleert als een aanvaller het bestandsoverdrachtskanaal probeert te misbruiken voor exfiltratie.

Preventie van gegevensverlies is verenigd over SFTP, e-mail, bestandsoverdracht en API’s onder één beleidssysteem. Kiteworks beoordeelt content realtime op basis van wat er in het bestand staat, wie het verzendt en waar het naartoe gaat—en dwingt geautomatiseerde herstelworkflows af, waaronder quarantaine, encryptie en notificaties. Integratie met enterprise DLP-platforms zoals Microsoft Purview en Forcepoint betekent dat organisaties niet hoeven te kiezen tussen hun bestaande DLP-investering en hun bestandsoverdrachtbeveiliging.

De audit- en nalevingslaag is waar Kiteworks inspeelt op een van de meest schadelijke aspecten van datalekken zoals bij MCA/SGS: het onvermogen om achteraf vragen van toezichthouders te beantwoorden. Elke actie over elk kanaal wordt vastgelegd in één audit log met SIEM-integratie voor gecentraliseerde beveiligingsmonitoring. Ingebouwde beleidsautomatisering elimineert de kwetsbaarheden van handmatige scripting die legacy SFTP-inzet teisteren. Inbraakdetectiesystemen bieden continue monitoring. En het hele platform ondersteunt FedRAMP High-ready en IRAP-autorisatie voor organisaties die onder overheidsbeveiligingsvereisten opereren.

De belangrijkste onderscheidende factor is consolidatie. Legacy SFTP verspreidt gevoelige data over meerdere servers, elk met een eigen beveiligingsstatus, eigen gaten en eigen blinde vlekken. Kiteworks vervangt die fragmentatie door een single-tenant Private Data Network-architectuur, gecentraliseerde least-privilege-toegangscontrole, LDAP- en SSO-integratie voor authenticatie, en één beleidssysteem dat elke bestandsoverdracht binnen de organisatie regelt. Minder servers. Minder gaten. Minder plekken voor een TridentLocker om zich te verschuilen.

Het datalek bij MCA/SGS onderstreept ook een bredere les die de zorgsector op de harde manier leert: zakelijke partners en onderaannemers die PHI verwerken zijn een verlengstuk van de beveiligingsstatus van de gedekte entiteit. De deelnemers van het WTC Health Program van wie de gegevens zijn blootgesteld, hebben MCA/SGS niet als hun gegevensbeheerder gekozen. Zij schreven zich in voor een federaal zorgprogramma. De verplichting om hun informatie te beschermen loopt door elke aannemer, onderaannemer en elk systeem in de keten—en de infrastructuur die deze partijen gebruiken om data op te slaan en over te dragen is waar die verplichting standhoudt of faalt.