Overzicht cyberaanvallen week 49-2022

Gepubliceerd op 12 december 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Groothandels Makro kampen met cyberaanval, Delta getroffen door cyberaanval en schade bij stad Antwerpen door cyberaanval is groot. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 12-december-2022


Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? πŸ€”

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 6.887


Week overzicht

Slachtoffer Cybercriminelen Website Land
Una Seguros PLAY www.unaseguros.pt Portugal
Antwerpen PLAY www.antwerpen.be Belgium
REC Silicon RansomEXX www.recsilicon.com Norway
sushi-master.ru Bl00dy sushi-master.ru In progress
KNOX College Hive knox.edu USA
dothousehealth.org BlackCat (ALPHV) dothousehealth.org USA
biotipo.com.br LockBit biotipo.com.br Brazil
koda.com.tw LockBit koda.com.tw Taiwan
Aeroproductsco BlackCat (ALPHV) aeroproductsco.com USA
oltax.com LockBit oltax.com Canada
rhotelja.com LockBit rhotelja.com Jamaica
hawanasalalah.com LockBit hawanasalalah.com Oman
Maney | Gordon | Zeller, P.A. Black Basta www.maneygordon.com USA
Atcore Black Basta www.atcoretec.com UK
Dingbro Ltd Black Basta www.dingbro.com UK
A.R. Thomson Group Black Basta www.arthomson.com USA
Altro Black Basta www.altro.com USA
Mortons Media Group Ltd Black Basta www.mortons.co.uk UK
ARRI Black Basta www.arri.com Germany
Cleveland Brothers Black Basta www.clevelandbrothers.com USA
AIRCOMECHANICAL Black Basta www.aircomechanical.com USA
Panolam Surface Systems Black Basta panolam.com USA
SEACAST Black Basta www.seacast.com USA
Pella Black Basta www.pellamidatlantic.com USA
??????? PLAY Unknown Switzerland
Hilldrup PLAY www.hilldrup.com USA
ChemiFlex Quantum www.chemiflex.com USA
Radical Sportscars Quantum www.radicalmotorsport.com UK
Orotex Quantum www.orotexus.com USA
Pilenpak Quantum www.pilenpak.com Turkey
AHT Wisconsin Windows Quantum www.ahtwindows.com USA
Acquarius Trust Group Quantum acquarius.gi UK
Warren County Community College BlackCat (ALPHV) www.warren.edu USA
???? PLAY Unknown USA
V3 Companies BlackCat (ALPHV) www.v3co.com USA
SOTO Consulting Engineers BlackCat (ALPHV) soto.com.au Australia
Requena BlackCat (ALPHV) Unknown Spain
Albina Asphalt Lorenz albina.com USA
Adams-Friendship Area School District Royal afasd.net USA
Wrota Mazowsza PLAY www.wrotamazowsza.pl Poland
UJV Rez PLAY www.ujv.cz Czech Republic
Skoda Praha PLAY www.skodapraha.cz Czech Republic
MME Group PLAY www.mme-group.com Netherlands
Highwater Ethanol PLAY www.highwaterethanol.com USA
????????? ???? ????? PLAY Unknown Canada
Feu Vert Vice Society www.feuvert.es Spain
g4s.com LockBit g4s.com Singapore
myersontooth.com LockBit myersontooth.com USA
nworksllc Black Basta www.natureworksllc.com USA
CIBTvisas PLAY www.cibtvisas.com USA
BRYCON Construction RansomHouse www.brycon.com USA
NCI CABLING INC BlackCat (ALPHV) www.ncicabling.com USA
SEED CO LTD BlackCat (ALPHV) www.seed.co.jp Japan
LJ Hooker Palm Beach BlackCat (ALPHV) palmbeach.ljhooker.com.au Australia
morugait BlackCat (ALPHV) morugait.com USA
Elias Motsoaledi Local Municiapality BlackCat (ALPHV) www.eliasmotsoaledi.gov.za South Africa
Novak Law Offices BlackCat (ALPHV) www.novaklawoffice.com USA
prinovaglobal.com LockBit prinovaglobal.com UK
littleswitzerland.com LockBit littleswitzerland.com USA
Glutz Vice Society www.glutz.com Singapore
INTERSPORT Hive www.intersport.fr France
****** ******* School BianLian Unknown Unknown
AV Solutions BianLian avsolutionsltd.com Cyprus
*** Technologies BianLian Unknown Unknown
**i* **s**** BianLian Unknown Unknown
**a***** H****** ******r**** BianLian Unknown Unknown
B****** *b* BianLian Unknown Unknown
Austria Presse Agentur PLAY www.apa.at Austria

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
Antwerpen PLAY www.antwerpen.be Belgium
MME Group PLAY www.mme-group.com Netherlands

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1266 Nog actief
2 Conti 674 Niet meer actief
3 REvil 249 Opnieuw actief

Ransomware aanval op gemeente Antwerpen door criminele organisatie PLAY

Slachtoffer Cybercriminelen Website Land Publicatie datum
Una Seguros PLAY www.unaseguros.pt Portugal 11-12-2022 23:25
Antwerpen PLAY www.antwerpen.be Belgium 11-12-2022 22:06
??????? PLAY Unknown Switzerland 09-12-2022 00:08
Hilldrup PLAY www.hilldrup.com USA 08-12-2022 23:49
???? PLAY Unknown USA 07-12-2022 23:08
Wrota Mazowsza PLAY www.wrotamazowsza.pl Poland 07-12-2022 01:48
UJV Rez PLAY www.ujv.cz Czech Republic 07-12-2022 01:48
Skoda Praha PLAY www.skodapraha.cz Czech Republic 07-12-2022 01:28
MME Group PLAY www.mme-group.com Netherlands 07-12-2022 01:09
Highwater Ethanol PLAY www.highwaterethanol.com USA 07-12-2022 01:09
????????? ???? ????? PLAY Unknown Canada 07-12-2022 00:48
CIBTvisas PLAY www.cibtvisas.com USA 06-12-2022 04:12
Austria Presse Agentur PLAY www.apa.at Austria 05-12-2022 00:32
??? PLAY Unknown Austria 29-11-2022 02:21
Itsgroup PLAY www.itsgroup.com France 28-11-2022 06:33
Ministry of Transport and Public Works PLAY www.mtop.gub.uy Uruguay 28-11-2022 06:33
Alcomet PLAY www.alcomet.eu Bulgaria 28-11-2022 06:33
Origin Property Company Limited PLAY www.origin.co.th Thailand 28-11-2022 06:33
???? ????? PLAY Unknown USA 28-11-2022 06:33
Conseil departemental - Alpes-Maritimes PLAY www.departement06.fr France 28-11-2022 06:33
Verity cloud PLAY www.veritycloud.com India 28-11-2022 06:33
PVFCCo PLAY www.dpm.vn Vietnam 28-11-2022 06:33
??????????? PLAY Unknown Canada 28-11-2022 06:33
Leadtek PLAY www.leadtek.com Taiwan 28-11-2022 06:33
Justman Packaging & Display Information BlackCat (ALPHV) www.justmanpackaging.com USA 30-08-2022 11:56
Adler Display BlackCat (ALPHV) adlerdisplay.com USA 05-07-2022 20:55
Skyline Displays LockBit skyline.com USA 26-09-2020 00:00

Vlaamse overheid bevestigt ransomware-aanval op gemeente Antwerpen

De gemeente Antwerpen is het slachtoffer van een ransomware-aanval geworden waardoor de dienstverlening aan inwoners op allerlei vlakken is beperkt, zo heeft de Vlaamse overheid bevestigd. De gemeente maakte eerder deze week melding dat het in de nacht van 5 op 6 december getroffen was door een "cyberaanval". Verdere details werden echter niet gegeven. Belgische media lieten op basis van bronnen weten dat het om een ransomware-aanval ging, maar dit werd niet door de gemeente bevestigd. De gemeente Antwerpen spreekt op de eigen website nog steeds over een cyberaanval en stelt dat het nog wel tot het eind van deze maand kan duren om alle digitale toepassingen weer terug online te krijgen. De Vlaamse overheid laat in een intern nieuwsbericht weten dat het om een ransomware-aanval gaat. "Recent waren Zwijndrecht en Antwerpen het doelwit van ransomware-aanvallen. We vragen je, als medewerker van de Vlaamse overheid, om extra op je hoede te zijn." Door de aanval zijn allerlei diensten die de gemeente Antwerpen aan inwoners biedt uitgevallen, zoals de mogelijkheid om nationaliteitsaanvragen in te dienen en parkeervergunningen en bewonerskaarten aan te vragen. Daarnaast zijn honderden medewerkers teruggevallen op werken met pen en papier en mogen leerlingen met leerproblemen van een Antwerpse school hun laptop tijdens de examens niet gebruiken, terwijl dit wel eerst was afgesproken. Ook is het niet mogelijk om bij de Antwerpse bibliotheken boeken te lenen. Vorige maand wisten de criminelen achter de Ragnar Locker-ransomware gevoelige data van de politie in het Belgische Zwijndrecht te stelen en plaatsten die online nadat het politiekorps het gevraagde losgeld niet wilde betalen. Volgens VTM Nieuws gaat het om duizenden documenten die informatie bevatten over flitsboetes, nummerplaten en zelfs telefonieonderzoek. In de online geplaatste bestanden waren ook foto’s te vinden van een mishandelde jongen die een klacht indiende tegen zijn vader. Hoe de aanvallers toegang tot systemen van de gemeente Antwerpen hebben gekregen is niet bekend. De aanval op de politie van Zwijndrecht zou volgens Belgische media via een bruteforce-aanval hebben plaatsgevonden.


Rackspace nog niet hersteld van ransomware-aanval op Exchange-omgeving

Hostingbedrijfd Rackspace is nog altijd niet hersteld van de ransomware-aanval op de hosted Exchange-omgeving, waardoor er nog steeds klanten zijn die geen toegang tot hun normale e-mail hebben. Daarnaast waarschuwt Rackspace klanten om alert te zijn op phishingaanvallen die van de situatie misbruik proberen te maken. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Om toch toegang tot hun e-mail te krijgen bood Rackspace klanten aan om op Microsoft 365 over te stappen. Het exacte aantal klanten dat door de ransomware-aanval gedupeerd is geraakt laat Rackspace niet weten. Het bedrijf stelt dat het de afgelopen dagen "duizenden klanten" heeft geholpen. Inmiddels zou meer dan twee derde weer toegang tot e-mail in de hosted Exchange-omgeving heeft. Wanneer de dienst voor de overige klanten is hersteld wordt niet door Rackspace gemeld. Het bedrijf waarschuwt klanten ook om alert te zijn op phishing en andere scams, aangezien scammers vaak op dit soort incidenten meeliften. De grote vraag blijft hoe de aanval kon plaatsvinden. Ook zijn er vragen of er losgeld is betaald en wie er verantwoordelijk was. Het enige dat Rackspace daarover laat weten is dat er een onderzoek plaatsvindt en het op dit moment geen verdere informatie kan geven. Wanneer het onderzoek is afgerond kan het bedrijf ook niet zeggen.


Zorgverzekeraar Medibank weekend offline als gevolg van ransomware-aanval

De Australische zorgverzekeraar Medibank, waar een ransomwaregroep de gegevens van 9,7 miljoen klanten wist te stelen en online zette, gaat dit weekend offline om beveiligingsverbeteringen door te voeren. Alle systemen zijn vanaf vrijdagavond tot en met zondagavond onbereikbaar. Daarnaast zijn morgen alle winkels van Medibank gesloten, alsmede de callcenters. Medibank heeft nog altijd niet bekendgemaakt hoe de criminelen toegang tot het netwerk konden krijgen. Daar werden zeer gevoelige gegevens van klanten buitgemaakt. De ransomwaregroep dreigde de gegevens te publiceren tenzij de verzekeraar losgeld zou betalen. Medibank weigerde, waarop de data online verscheen. Het ging om medische dossiers met daarin onder andere informatie over de hiv-status van personen, alsmede of ze hepatitis, psychische klachten, hartklachten, diabetes, astma, kanker en dementie hebben. Volgens Medibank is er sinds 12 oktober geen verdachte activiteit meer in het netwerk waargenomen. Als onderdeel van herstel- en beveiligingswerkzaamheden is besloten om dit weekend volledig offline te gaan. Eerder werd al besloten om tweefactorauthenticatie in de callcenters uit te rollen. Vanwege de operatie zullen allerlei diensten van de zorgverzekeraar die via de website of app worden aangeboden onbereikbaar zijn. Medibank heeft al laten weten dat de aanval het bedrijf zeker 25 miljoen dollar zal kosten.


Metropolitan Opera van New York slachtoffer van cyberaanval

De Metropolitan Opera van New York is donderdag slachtoffer geworden van een cyberaanval. Daardoor ligt de ticketverkoop stil, zo meldt het prestigieuze operahuis zelf. De netwerkproblemen treffen de website, de ticketverkoop en het callcenter van de Met. Er vinden wel nog voorstellingen plaats, maar er kunnen geen tickets meer worden besteld, omgeruild of terugbetaald. Meer informatie over de aard van de cyberaanval is er niet. Volgens de gespecialiseerde website OperaWire loopt er nog een onderzoek.  Het Amerikaanse Huis van Afgevaardigden stemde donderdag nog over een versterking van cyberveiligheid.


Groothandels Makro kampen met cyberaanval

Groothandelsketen Makro is slachtoffer geworden van een cyberaanval, meldt de Nederlandse divisie van het bedrijf op Twitter. Via hetzelfde platform stellen klanten vragen over haperende systemen bij de groothandels. Uit de tweets blijkt dat Makro International en het Duitse moederbedrijf Metro zijn getroffen door de cyberaanval. Dit levert in Nederland onder andere problemen op met de verspreiding van reclamefolders. Een klant klaagt op Twitter ook over problemen toen hij met zijn creditcard probeerde te betalen. Volgens het Belgische vakblad Retail Detail kampen Makro en Metro al sinds eind november met de cyberaanval, na een eerdere aanval in oktober. Het nieuwsmedium stelt dat de online kassasystemen en de bezorgdienst platliggen. In België lukt het ook niet om kortingen aan te passen, wat lastig is vanwege de opheffingsuitverkoop door een faillissement. Moederbedrijf Metro zegt later met een toelichting te komen.

makro

Cyberaanval op netwerk Scalda: 'Daders komen van binnen de school'

Mbo-instelling Scalda in Vlissingen heeft last van ddos-aanvallen die van binnenuit komen. Daardoor zijn er op de locatie ook enkele lessen uitgevallen. De aanvallen op het netwerk komen volgens Scalda van één of meerdere personen binnen de school of ze worden van binnenuit gecoördineerd. "Het zorgt voor grote storingen die op dit moment de voortgang van het onderwijs ernstig onder druk zetten", laat Scalda in een mail aan hun studenten en medewerkers weten. Om de aanvallen af te slaan zijn bij de school en de netwerkprovider technische voorzieningen getroffen. "Omdat die voorziening bij onze netwerkprovider niet alleen het ongewenste, maar ook het goede dataverkeer beïnvloedt, ontstaan er storingen in ons wifinetwerk." Volgens een woordvoerder zijn er op dit moment geen problemen. Scalda is in gesprek met de provider om het probleem aan te pakken, zodat verstoringen bij nieuwe aanvallen zo min mogelijk zijn. Scalda gaat aangifte doen. De politie heeft al toegezegd het onderzoek op te pakken. Daarnaast wordt een expert op het gebied van cybersecurity ingeschakeld. Zo hopen ze de daders op te sporen. De school vraagt verder mensen met informatie zich te melden bij de mentor of teamleider.


Internet Explorer onlangs nog doelwit van zeroday-aanval

Microsoft mag eerder dit jaar dan afscheid van Internet Explorer hebben genomen, Zuid-Koreaanse gebruikers van de browser zijn eind oktober nog het doelwit van een zeroday-aanval geworden, aldus Google. Microsoft kwam op 8 november met een beveiligingsupdate voor het zerodaylek, aangeduid als CVE-2022-41128. Volgens Google is de aanval uitgevoerd door een Noord-Koreaanse spionagegroep aangeduid als APT37. Google kwam het zerodaylek op het spoor nadat verschillende mensen vanuit Zuid-Korea een docx-document naar VirusTotal hadden geüpload, de online virusscandienst van Google. Het document bleek een rich text file (RTF) remote template te downloaden, dat weer remote HTML-content laadde. Microsoft Office gebruikt Internet Explorer voor het weergeven van deze content. Aanvallers maken al geruime tijd misbruik van deze methode om exploits voor Internet Explorer via Office-documenten te verspreiden. Een voordeel van deze werkwijze is dat bij het slachtoffer Internet Explorer niet de standaardbrowser hoeft te zijn en ook is een 'escape' uit de Enhanced Protected Mode (EPM) sandbox niet vereist. Wel zouden slachtoffers de 'protected view' van Office moeten uitschakelen voordat het remote template kon worden gedownload. Wat de uiteindelijke 'payload' van de aanval is kon niet door Google worden achterhaald. De spionagegroep heeft in het verleden bij dergelijke aanvallen malware geïnstalleerd waarmee toegang tot het system van slachtoffers werd verkregen. Internet Explorer heeft in Zuid-Korea altijd een groot marktaandeel gehad, maar zoals gezegd maakte dat bij deze aanval niet uit.


Schade bij stad Antwerpen door cyberaanval is groot

Het lijkt er steeds meer op dat een crimineel netwerk achter de cyberaanval op het informaticasysteem van de stad Antwerpen zit. De schade aan de werking van de stedelijke administratie en de politie is groot. Het zal waarschijnlijk nog tot eind deze maand duren voor alles is opgelost. De stad Antwerpen was in de nacht van maandag op dinsdag het slachtoffer van een cyberaanval. Kwaadaardige software of malware viel de toepassingen in Windows aan. De stad had de afgelopen jaren al zwaar geïnvesteerd in cyberbeveiliging. Er zouden momenteel geen aanwijzingen zijn dat er gegevens en dossiers van Antwerpenaars zijn gestolen. Op dit moment kwam er nog geen vraag zijn om losgeld in ruil voor de sleutel om heel het systeem weer te herstellen. Toevallig liet Antwerps burgemeester Bart De Wever (N-VA) zich twee weken geleden in zijn raadscommissie nog uit over de beveiliging van de informatica bij de stad Antwerpen. De stad beschikt over een chief digital office (CDO). “Hij tast de organisatie af naar digitale opportuniteiten en zwakheden”, zei De Wever. “Wekelijks krijg ik een rapport en dat is pittige lectuur. Je leert wel wat over cyberveiligheid en vooral het gebrek aan cyberveiligheid.” Het waren profetische woorden, want twee weken laten werd de stad dus slachtoffer van een zware cyberaanval. Ondertussen laten de gevolgen van deze aanval zich voelen in de dienstverlening. Zo is het maken van afspraken voor bijvoorbeeld een bezoek aan het recyclagepark en het zwembad niet mogelijk. Tickets voor musea kunnen niet digitaal worden gekocht. Ook het aanvragen van parkeerverbodsborden en feesttenten bij de stedelijke uitleendienst is momenteel uitgesloten. Bij de stadsloketten is een aantal documenten nog steeds aan te vragen en af te halen, zoals reispassen en rijbewijs. Voor aangifte van geboorte, erkenning, huwelijk en overlijden kan je nog steeds terecht bij de stadsloketten. Wat momenteel niet mogelijk is, zijn nationaliteitsaanvragen, parkeervergunningen en lopende dossiers migratie. Ook het opladen van de sorteerpas voor de sorteerstraten kan tijdelijk niet. Ook bij het OCMW van Antwerpen zouden er problemen zijn met de betalingen van het leefloon. Antwerps schepen van Sociale Zaken Tom Meeuws (Vooruit) benadrukt dat er alles aan wordt gedaan om te zorgen dat de mensen krijgen waarop ze recht op hebben. “Bij het OCMW wordt volop gewerkt aan een oplossing waardoor mensen hun geld waar ze recht op hebben toch zullen krijgen ofwel via de bank ofwel cash”, zegt Meeuws. “Het klopt dat het via de normale weg momenteel niet mogelijk is. Leeflonen worden op het einde van de maand uitbetaald en hopelijk zijn tegen dan ook de grootste problemen van deze aanval opgelost.” Binnen de stadsadministratie wordt de volgende dagen een lijst met prioriteiten opgesteld die zo snel mogelijk worden hersteld. Dat zou rond het weekend opgelost moeten zijn. Ondertussen probeert iedereen binnen de stedelijke administratie zich te behelpen. Sommige systemen liggen gewoon uit en er zijn heel wat problemen met het mailverkeer binnen de stedelijke administratie.


Chinese hackers aan de haal met miljoenen Amerikaanse corona-uitkeringen

De Amerikaanse veiligheidsdienst bevestigt dat Chinese hackers ten minste 20 miljoen dollar aan Amerikaanse Covid-uitkeringen gestolen hebben. Het was NBC News die eerder deze week de kat de bel aanbond en berichtte dat een Chinees hackteam erin geslaagd was om een Amerikaans fonds met corona-uitkeringen te kraken. De Amerikaanse Secret Service heeft het bericht ondertussen bij persagentschap Reuters bevestigd, zonder extra details vrij te geven. Volgens het door de veiligheidsdienst bevestigde nieuwsbericht van NBC News zijn de verantwoordelijken voor de diefstal het Chinese hackerscollectief APT41 dat ook weleens Winnti genoemd wordt. Het in Chengdu gevestigde APT41 is een bijzonder actieve groep van cybercriminelen die volgens experten deels gesteund worden door de (Chinese) overheid om specifieke data buit te maken, maar die anderzijds ook duidelijk financiële motieven heeft. Volgens de Amerikaanse veiligheidsdienst gaat het in dit geval om een diefstal van 'tientallen miljoenen dollar'. Het gaat om geld dat sinds 2020 opzij gezet werd voor steunmaatregelen van de Amerikaanse overheid rond Covid-19. Het gaat dan om geld dat bestemd werd voor onder meer leningen aan kleine bedrijven en om aanvullende werkloosheidsuitkeringen in meer dan twaalf staten. Een opmerkelijke diefstal, zeker ook omdat APT41 vrij visibel is en al heel lang op de Amerikaanse radar staat. Verschillende leden van de hackersgroep werden in 2019 en 2020 nog door het Amerikaanse ministerie van Justitie aangeklaagd voor het bespioneren van meer dan 100 bedrijven, waaronder softwareontwikkelingsbedrijven, telecommunicatieproviders, sociale mediabedrijven en ontwikkelaars van videogames. De Chinese ambassade in Washington houdt het in een verklaring erop dat China zich altijd 'krachtig heeft verzet tegen cyberdiefstal en hard is opgetreden tegen alle vormen van hacking'. Nog volgens het statement verzet China zich tegen de 'ongegronde beschuldigingen' inzake cyberveiligheid. Het gaat om het eerste geval van fraude door buitenlandse door de staat gesponsorde cybercriminelen naar aanleiding van de pandemie die de Amerikaanse regering nu publiek erkent. In de US leeft bij verschillende experten uit de cybersecurity- en juridische wereld de overtuiging dat dit nog maar het topje van de ijsberg is. De Amerikaanse veiligheidsdienst wilde andere soortgelijke onderzoeken naar 'pandemische fraude' niet bevestigen, maar zei tegen NBC wel dat er meer dan 1.000 onderzoeken lopen naar internatioanle en binnenlandse criminele actoren die frauderen met openbare uitkeringsprogramma's, en dat APT41 'een belangrijke speler' is.


Chinese hackers vallen Amnesty International Canada aan

De Canadese tak van Amnesty International was begin oktober het doelwit van een ‘geavanceerde digitale beveiligingsinbreuk’. De non-gouvernementele organisatie (NGO) is ervan overtuigd dat Chinese staatshackers achter de cyberaanval zitten. Er zijn geen aanwijzingen dat de daders gevoelige of vertrouwelijke informatie hebben buitgemaakt. Dat schrijft Amnesty International Canada in een statement.


Crypto-investeerders aangevallen via malafide macro's in spreadsheets

Bedrijven die in cryptovaluta investeren zijn het doelwit van een groep geworden die gebruikmaakt van malafide macro's in spreadsheets en zogenaamde cryptodashboards, zo stelt Microsoft. De groep, aangeduid als DEV-0139, benadert slachtoffers in Telegramgroepen, bouwt een vertrouwensrelatie op en verstuurt uiteindelijk de malafide bestanden. In een analyse beschrijft Microsoft hoe de aanvallers een Telegramgroep voor crypto-investeerders gebruikten om hun doelwit te zoeken. Via de Telegramgroep communiceerden vip-klanten en cryptobeurzen met elkaar. Het doelwit werd vervolgens door de aanvallers benaderd, die zich voordeden als medewerker van een ander crypto-investeringsbedrijf en vroegen om aan een andere Telegramgroep deel te nemen. De aanvallers hadden het echte profiel van een medewerker van cryptobeurs OKX gekopieerd. Het slachtoffer werd vervolgens gevraagd om te reageren op de kostenstructuren die cryptobeurzen voor hun transacties toepassen. Deze kosten zijn volgens Microsoft een grote uitdaging voor investeringsfondsen, omdat ze een impact op de marges en winsten kunnen hebben. Dit is een vrij specifiek onderwerp en laat zien dat de aanvallers kennis van de crypto-industie hebben en goed voorbereid waren voordat ze het doelwit benaderden, aldus Microsoft. Nadat ze het vertrouwen van het doelwit hadden gewonnen verstuurden de aanvallers een Excel-document met een malafide macro. Macro's staan vanwege veiligheidsredenen standaard uitgeschakeld in Microsoft Office. Nadat het slachtoffer de macro's inschakelde werd er malware gedownload waarmee de aanvallers op afstand toegang tot zijn systeem kregen. Bij een andere aanval werd een zogenaamd cryptodashboard verstuurd dat in werkelijkheid een backdoor was. Microsoft adviseert organisaties om hun medewerkers te onderwijzen om persoonlijke en zakelijke informatie in social media te beschermen, ongevraagde communicatie te filteren, phishingmails te herkennen en verdachte activiteiten en mogelijke verkenningsaanvallen van aanvallers te rapporteren. Ook moeten gebruikers worden voorgelicht over het voorkomen van malware-infecties via e-mail, chatapps en social media. Tevens adviseert Microsoft het aanpassen van macro-instellingen in Excel.

Overview Of The Attack
Afbeelding – 101,4 KB 173 downloads

Cybercriminelen hacken Linux-systemen met behulp van PRoot

Securitybedrijf Sysdig waarschuwt voor BYOF-aanvallen op Linux-systemen. Cybercriminelen gebruiken open-source tool PRoot om malware te ontwikkelen voor verschillende Linux-distributies. BYOF-aanvallen, kort voor ‘bring your own filesystem’, zijn aanvallen waarbij hackers eigen apparaten gebruiken om schadelijke bestandssystemen en malware te ontwikkelen. Vervolgens worden de bestandssystemen op gehackte Linux-apparaten uitgerold om de apparaten over te nemen. “Eerst bouwen threat actors een kwaadaardig bestandssysteem”, beschrijven onderzoekers van securitybedrijf Sysdig in een nieuw rapport. “Dit bestandssysteem bevat alle benodigdheden om Linux-apparaten over te nemen.” De methode voorkomt dat de aanval door detectietools van slachtoffers wordt onderschept. De door Sysdig ontdekte aanvallen draaien om cryptomining, maar het securitybedrijf benadrukt dat de aanpak net zo goed voor gevaarlijkere malware kan worden gebruikt. Open-source tool PRoot stelt hackers in staat om de compatibiliteit van bestandssystemen en malware te verbeteren, aldus Sysdig. De onderzoekers waarschuwen dat de methode het mogelijk maakt om snel en effectief malware te ontwikkelen voor verschillende Linux-distributies. “Met PRoot speelt de architectuur of Linux-distributie van het slachtoffer een minder grote rol.” PRoot-processen zijn meestal beperkt tot het guest-bestandssysteem, maar QEMU-emulatie maakt het mogelijk om host- en guest-bestandssystemen tegelijkertijd te draaien. Met bound/bind-methodes kunnen programma’s in een guest-bestandssysteem toegang krijgen tot mappen van een host-bestandssysteem. Voorgeïnstalleerde PRoot-configuraties maken het mogelijk om exploits uit te voeren op verschillende Linux-distributies zonder de malware te hoeven vertalen naar de architectuur van een doelwit.


Ransomware oorzaak van storing in hosted Exchange-omgeving Rackspace

Ransomware is de oorzaak dat klanten van Rackspace nog altijd geen toegang tot hun hosted Exchange-omgeving hebben en het is nog altijd onbekend wanneer de dienstverlening volledig is hersteld. Of er bij de aanval ook data is buitgemaakt wordt nog onderzocht, zo laat de hostingprovider vandaag in een update over het incident weten. Om ervoor te zorgen dat klanten toch van e-mail gebruik kunnen maken worden die tijdelijk naar Microsoft Office 365 overgezet. Volgens Rackspace heeft het bedrijf al duizenden klanten geholpen om tienduizenden van hun gebruikers op dit platform te krijgen. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang tot hun e-mail hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Verdere details over het "ransomware incident" zijn niet door Rackspace op dit moment gegeven. Zo is het onbekend hoe de aanvallers toegang tot het systeem konden krijgen en wat er precies heeft plaatsgevonden. Een beveiligingsonderzoeker meldde eerder dat Rackspace vermoedelijk had nagelaten om één van de Exchange-servers te updaten, maar dit is niet bevestigd.


Cyberaanval treft Delta: duizenden persoonsgegevens gestolen

Cybercriminelen hebben persoonsgegevens gestolen van duizenden klanten van Delta. Het gaat daarbij om namen, adressen, e-mailadressen, geboortedata, telefoon- en bankrekeningnummers. Het datalek werd maandag ontdekt en is ontstaan in de bestelomgeving van Delta Mobiel. ,,Het betreft een deel van de klanten, die bij ons een mobiel abonnement hebben’’, zegt woordvoerder Mariska van der Hulst van Delta Fiber. Het gaat zowel om mensen die pas een abonnement hebben afgesloten en klanten die al langer mobiel via Delta bellen. Alle klanten zijn dinsdagmiddag per e-mail geïnformeerd. ,,Het is vervelend dat dit is gebeurd’’, zegt Van der Hulst. Bij de datadiefstal zijn volgens Delta geen wachtwoorden, creditcardgegevens of klantnummers gestolen. Klanten hoeven hun wachtwoorden dus niet te aan te passen. ,,Wij adviseren iedereen wel om alert te zijn op fraude. Weet zeker wie je aan de telefoon hebt door terug te bellen en controleer altijd met wie je mailt’’, zegt Van der Hulst. ,,Een combinatie van verschillende persoonsgegevens kan worden gebruikt voor identiteitsfraude en phishing. Als mensen behoefte hebben aan meer informatie kunnen ze ook terecht op website fraudehelpdesk.nl.’’ Delta heeft de Autoriteit Persoonsgegevens op de hoogte gebracht en de hulp ingeroepen van cybersecuritydienstverlener Tesorion. ,,We hebben ook de politie ingeschakeld’’, zegt Van der Hulst.


IT-systemen van Stad Antwerpen zijn getroffen door een cyberaanval

De IT-systemen van de Stad Antwerpen zijn gehackt. De schade die de aanval heeft toegebracht, wordt nog onderzocht. Het is nog niet bekend welke partij achter de aanval zit en of ze eisen hebben gesteld aan het stadsbestuur. Volgens de Gazet van Antwerpen hebben de criminelen vannacht (5/6 dec) toegeslagen. De aanval lijkt vooralsnog gericht te zijn op de interne systemen van de stad. Zo zijn alle Windows-applicaties niet toegankelijk voor de ambtenaren. Het Laatste Nieuws schrijft dat de politie wel bij zijn databanken kan komen, maar dat de administratieve programma's zijn afgesloten. Volgens de krant gaat het mogelijk om een ransomwareaanval. Het is nog niet duidelijk wanneer de problemen precies zijn opgelost. Het is de tweede keer in een paar maanden tijd dat een Belgische overheidsinstantie is gehackt. In september heeft een hacker ingebroken bij de IT-systemen van de lokale politie van de Belgische gemeente Zwijndrecht. De persoon had toegang tot alle gegevens van 2006 tot en met september 2022 en heeft deze data op het darkweb geplaatst. De hacker zou de politie vervolgens hebben proberen af te persen, maar het is niet duidelijk of dat ook is gelukt.


Russische staatsbank VTB getroffen door grootste DDoS-aanval in haar geschiedenis

De nummer 2 bank van Rusland, VTB, is getroffen door de grootste cyberaanval in haar geschiedenis, aldus de bank op dinsdag, die waarschuwde voor tijdelijke problemen bij de toegang tot haar mobiele app en website, maar klanten verzekerde dat hun gegevens veilig bleven. Het staatsbedrijf VTB zei dat het de DDoS-aanval (Distributed Denial of Service) afsloeg, waarbij hackers een netwerk proberen te overspoelen met ongewoon grote hoeveelheden dataverkeer om het lam te leggen. "De technologische infrastructuur van de bank ligt onder een ongekende cyberaanval vanuit het buitenland", aldus VTB in een verklaring. "De grootste niet alleen dit jaar, maar in de hele tijd dat de bank actief is." Russische overheidsinstanties en staatsbedrijven zijn het doelwit geweest van de gebeurtenissen in Oekraïne, waarbij onder meer de websites van het Kremlin, de belangrijkste luchtvaartmaatschappij Aeroflot en de grote kredietverstrekker Sberbank werden getroffen door storingen of tijdelijke toegangsproblemen. Hackers vertraagden eerder dit jaar ook het begin van de toespraak van president Vladimir Poetin op het belangrijkste economische forum van Rusland. Pro-Russische hackers hebben dit jaar de verantwoordelijkheid opgeëist voor of de schuld gekregen van aanvallen op websites en infrastructuur in Litouwen, Noorwegen en de Verenigde Staten. VTB zei dat de meeste aanvallen uit het buitenland kwamen, maar dat het zich vooral zorgen maakte over verkeer vanaf Russische IP-adressen. VTB zei dat het alle geïdentificeerde Russische IP-adressen zou overhandigen aan de rechtshandhaving.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Oktober 2024

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »
September 2024