De bibliotheek voor de bestrijding van digitale criminaliteit

Overzicht cyberaanvallen week 51-2022

Gepubliceerd op 26 december 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Cybercriminelen hebben tijdens een aanval op LastPass versleutelde wachtwoorden buitgemaakt. Na de aanval op Antwerpen stonden ook Genk en Hasselt op de lijst van doelwitten van hackers. De Britse krant The Guardian was ook slachtoffer van een ransomware-aanval. In deze nieuwsbrief vind je een overzicht van de afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 26-december-2022


Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 6.989


Week overzicht

Slachtoffer Cybercriminelen Website Land Publicatie datum
Atlatec SA de CV Royal www.atlatec.com Mexico 25-12-2022 13:27
Republic of Vanuatu RansomHouse www.gov.vu Vanuatu 24-12-2022 19:26
aristopharma.com LockBit aristopharma.com Bangladesh 24-12-2022 10:02
excentiahumanservices.org LockBit excentiahumanservices.org USA 23-12-2022 21:17
Myofficeplace Inc. BianLian myofficeplace.net Canada 23-12-2022 15:21
SEMITEC Corporation BianLian semitec.vn Vietnam 23-12-2022 15:21
***** BianLian Unknown Unknown 23-12-2022 15:21
Bregman Berbert Schwartz & Gilday BlackCat (ALPHV) www.bregmanlaw.com USA 23-12-2022 13:30
Protecmedia BlackCat (ALPHV) www.protecmedia.com Spain 23-12-2022 13:30
Realstar Holdings Partnership BianLian realstar.ca Canada 23-12-2022 11:41
bavelloni.com LockBit bavelloni.com Italy 23-12-2022 08:44
Aegea Group companies Royal www.aegea.com.br Brazil 23-12-2022 07:27
Rech Informatica Ltda Royal www.rech.com.br Brazil 23-12-2022 07:27
Strem Chemicals RansomHouse www.strem.com USA 22-12-2022 21:46
thedonovancompany.com LockBit thedonovancompany.com USA 22-12-2022 21:42
maxionwheels.com LockBit maxionwheels.com Germany 22-12-2022 17:02
MHMR Authority Of Brazos Valley Hive www.mhmrabv.org USA 22-12-2022 13:51
Cervecería Regional PLAY www.cerveceriaregional.com Venezuela 22-12-2022 08:31
FDTS PLAY Unknown Sweden 22-12-2022 08:12
Berlina Tbk BianLian berlina.co.id Indonesia 21-12-2022 21:24
Alvaria Hive www.alvaria.com USA 21-12-2022 19:05
M***** BianLian Unknown Unknown 21-12-2022 17:01
M*******l*** BianLian Unknown Unknown 21-12-2022 17:01
S****** Electronics" BianLian Unknown Unknown 21-12-2022 17:01
ATLAS Royal www.atlascommodities.com USA 21-12-2022 15:52
Interface Hive www.interface.com USA 21-12-2022 12:58
Zehnders of Frankenmuth Royal www.zehnders.com USA 20-12-2022 19:48
Wrapex Industrial Ragnar_Locker www.wrapex.ca Canada 20-12-2022 19:45
Serena Hotels Ragnar_Locker www.serenahotels.com Kenya 20-12-2022 16:25
MARK-TAYLOR Royal www.mark-taylor.com USA 20-12-2022 14:27
City Of Huntsville, Texas Hive huntsvilletx.gov USA 20-12-2022 13:42
North Idaho College Hive www.nic.edu USA 20-12-2022 13:42
Innovative Education Management Hive www.ieminc.org USA 20-12-2022 13:42
Dixons Allerton Academy Hive www.dixonsaa.com UK 20-12-2022 13:42
Sae-a Cuba www.sae-a.com South Korea 20-12-2022 12:51
Xavier University of Louisiana Vice Society www.xula.edu USA 20-12-2022 07:40
Keralty RansomHouse www.keralty.com Unknown 19-12-2022 22:46
Stolle Machinery Hive stollemachinery.com USA 19-12-2022 20:49
JAKKS Pacific Inc Hive jakks.com USA 19-12-2022 20:49
Monte Cristalina S.A. LockBit Unknown Brazil 19-12-2022 15:04
jka.co.uk LockBit jka.co.uk UK 19-12-2022 15:04
mayflowerdentalgroup.com LockBit mayflowerdentalgroup.com Canada 19-12-2022 15:03
agriobtentions.com LockBit agriobtentions.com France 19-12-2022 15:03
womgroup.com LockBit womgroup.com USA 19-12-2022 15:02
rgvfirm.com LockBit rgvfirm.com USA 19-12-2022 14:42
stmc.edu.hk LockBit stmc.edu.hk Hong Kong 19-12-2022 14:28
polyflor.co.nz LockBit polyflor.co.nz UK 19-12-2022 12:26
businesscentral.org.nz LockBit businesscentral.org.nz New Zealand 19-12-2022 12:08
catalyst-group.co.nz LockBit catalyst-group.co.nz New Zealand 19-12-2022 11:42
accuro.co.nz LockBit accuro.co.nz New Zealand 19-12-2022 10:42
mercuryit.co.nz LockBit mercuryit.co.nz New Zealand 19-12-2022 10:23
senateshj.com LockBit senateshj.com Australia 19-12-2022 10:23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Publicatie datum

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1296 Nog actief
2 Conti 674 Niet meer actief
3 REvil 249 Opnieuw actief

WordPress-websites met cadeaubon-plug-in doelwit van aanvallen

WordPress-websites die gebruikmaken van een cadeaubon-plug-in, die op ruim 56.000 sites is geïnstalleerd, zijn het doelwit van aanvallen geworden, zo stelt securitybedrijf Wordfence. De aanvallers maken misbruik van een kritieke kwetsbaarheid in YITH WooCommerce Gift Cards. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan 5 miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder YITH WooCommerce Gift Cards. Via deze plug-in is het mogelijk voor websites en webwinkels om cadeaubonnen te verkopen. Volgens de ontwikkelaar is de plug-in op 56.567 websites geïnstalleerd. Een kritiek beveiligingslek in de plug-in, aangeduid als CVE-2022-45359, maakt het mogelijk voor ongauthenticeerde aanvallers om uitvoerbare bestanden naar de website te uploaden. Zo kan een aanvaller een backdoor plaatsen, code uitvoeren en de website overnemen. Volgens Wordfence deden de meeste aanvallen zich voor de dag na de kwetsbaarheid openbaar werd gemaakt, gevolgd door een nieuwe piek op 14 december. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Aangezien de kwetsbaarheid eenvoudig is te misbruiken en volledige toegang tot kwetsbare websites biedt, verwachten we dat deze aanvallen nog lang blijven plaatsvinden", aldus onderzoeker Ram Gall. Websites die de plug-in gebruiken wordt aangeraden om te updaten naar versie 3.20.0 of nieuwer waarin het probleem is verholpen.


NAS-gebruikers vaak tijdens feestdagen doelwit van aanvallen

Tijdens de feestdagen zijn NAS-gebruikers vaak het doelwit van aanvallen, zo stelt NAS-fabrikant QNAP. Dat roept gebruikers dan ook om de veiligheid van hun apparaat te controleren en de nieuwste firmware-update te installeren. Daarnaast moeten gebruikers ervoor zorgen dat hun NAS niet vanaf het internet toegankelijk is. Het afgelopen jaar zijn QNAP-gebruikers geregeld het doelwit van ransomware-aanvallen geworden, waarbij zowel zeroday- als bekende kwetsbaarheden werden ingezet voor het infecteren van NAS-systemen. In de praktijk blijkt dat gebruikers hun NAS-firmware niet altijd up-to-date houden, waar aanvallers misbruik van kunnen maken. QNAP biedt dan ook een automatische updatefunctie om het NAS-systeem up-to-date te houden. In QTS 5.0.1 en QuTS hero 5.0.1, het besturingssysteem van QNAP, is de automatische updatefunctie aangepast, waardoor gebruikers twaalf uur voor de installatie van de update een melding ontvangen, om indien gewenst de update te annuleren of uit te stellen, om zo ongewenste verstoringen te voorkomen.


Cybercriminelen maakten toch versleutelde wachtwoorden buit bij aanval op LastPass

Hackers die afgelopen zomer gegevens van wachtwoordbeheerder LastPass hebben gestolen, hebben ook versleutelde wachtwoorden buitgemaakt. Dat heeft het bedrijf donderdag bekendgemaakt in een beveiligingsupdate. LastPass ontdekte in augustus dat broncode en technische informatie van zijn software was gestolen. De diefstal zou hebben plaatsgevonden bij een externe opslagdienst waarvan het bedrijf gebruikmaakte. LastPass meldde in eerste instantie dat bij de aanval geen klantgegevens of wachtwoorden waren buitgemaakt. Vorige maand bleek al dat de hackers toch gebruikersnamen, adressen, e-mailadressen, telefoonnummers en IP-adressen hadden gestolen. Nu blijkt dat de hackers via een omweg ook toegang hebben gehad tot de wachtwoordkluizen. Volgens LastPass hoeven getroffen gebruikers zich geen zorgen te maken over de wachtwoorden die zijn gestolen. Deze zijn namelijk versleuteld en kunnen volgens het bedrijf alleen worden ontsleuteld met een zogenoemd master password. Dit slaat LastPass niet op, maar bezitten gebruikers zelf. De wachtwoordbeheerder erkent wel dat hackers de wachtwoorden zouden kunnen kraken via een zogenoemde brute force-aanval. Een hacker maakt dan gebruik van software die verschillende combinaties van inlognamen en wachtwoorden probeert. Maar volgens LastPass zou het kraken van een master password dat volgens de richtlijnen van de wachtwoordbeheerder is vastgesteld en uit twaalf tekens bestaat miljoenen jaren duren. Mensen die een korter wachtwoord hebben of dat elders gebruiken, wordt aangeraden dat te wijzigen. Hoeveel gebruikers zijn getroffen, is onduidelijk. Gebruikers die geen e-mail hebben gehad, hoeven zich volgens de wachtwoordbeheerder geen zorgen te maken.


Britse krant The Guardian denkt slachtoffer te zijn van ransomware-aanval

The Guardian meldt zijn personeel dat het mogelijks slachtoffer is van een ransomware-aanval. Er is sprake van een ‘groot incident’ maar het is niet zeker dat het om ransomware gaat, alle mogelijkheden worden onderzocht. Brits nieuwsmedium The Guardian onderzoekt of het slachtoffer is geworden van een ransomware-aanval. Dat meldt het bedrijf zelf. Aan het personeel is vandaag gevraagd om de rest van de week thuis te werken en niet in te loggen op het bedrijfsnetwerk. “Kom niet naar onze kantoren om te werken, tenzij u hier specifiek om wordt gevraagd”, luidt een intern verstuurde brief. “Gebruik geen VPN om in te loggen op systemen.” Voorlopig ziet het er niet naar uit dat het hack de website van de nieuwsoutlet heeft verstoord. Journalisten blijven artikels uploaden online en ook de printdruk loopt geen gevaar. “Hoewel sommige van onze interne systemen zijn getroffen, hebben we er alle vertrouwen in dat we morgen in druk kunnen publiceren”, deelden de editor-in-chief, Katharine Viner, en chief executive, Anna Bateson, het personeel mee. De aanval zou gisterenavond van start zijn gegaan. Door het incident ligt de wifi-toegang in het gebouw plat, kunnen gedeelde online bedrijfsomgevingen niet meer worden bezocht en zijn de financiële systemen onbereikbaar. Het is onduidelijk welke gevolgen het incident zal hebben. Als het inderdaad om een ransomware-aanval gaat, kan (persoonlijke) data gestolen zijn en is het mogelijk dat de aanvallers om losgeld vragen om versleutelde systemen opnieuw vrij te geven.


Chinese autofabrikant Nio slachtoffer van cybercriminelen

Nio, de Chinese fabrikant van elektrische voertuigen, heeft bekend gemaakt dat ze slachtoffer zijn geworden van cybercriminelen die zowel gebruikers- als verkoopgegevens hebben gestolen. Naar verluidt vragen de hackers nu voor circa $2.3 miljoen aan Bitcoin (BTC) om de gestolen informatie geheim te houden. Op 11 december kreeg Nio een chantagebericht van de cybercriminelen waarin beweerd werd dat interne gegevens uit de systemen van het bedrijf zijn gehaald. Dit lijkt te kloppen, want na bevindingen van Nio zelf zouden de gestolen gegevens onder andere informatie over de verkoop van voertuigen en basisgebruikersgegevens gestolen zijn. Het hackincident is inmiddels ook gemeld aan de lokale toezichthouders. Ook verontschuldigde het bedrijf zich bij de getroffen gebruikers en beloofde ze om verantwoordelijkheid te nemen voor eventuele verliezen als gevolg van het incident. Het bedrijf werkt naar verluidt samen met wetshandhavers om de inbreuk te onderzoeken. Tot op heden heeft het bedrijf geweigerd om de chantage-eis te betalen. In april nog onthulde Nio dat één van zijn serverbeheerders meer dan een jaar bezig was geweest met het minen van Ethereum, de op één na grootste cryptocurrency. Het is hiermee niet het eerste beveiligingsincident van het bedrijf. Het is ook niet de eerste hack binnen de auto-industrie. In de afgelopen jaren zijn er miljarden dollars uitgegeven om de systemen binnen de auto-industrie te verbeteren en beter te beveiligen. Dit vanwege een golf van cyberaanvallen. Een voorbeeld hiervan is bij de Duitse fabrikant van banden en auto-onderdelen Continental. In augustus werden zij getroffen door een cyberaanval waarbij gegevens gestolen werden. Geschat wordt dat hackers in totaal zo’n 40 TB aan gegevens gestolen hebben, waaronder informatie over budget- en investeringsplannen, klantgegevens en informatie over strategie. De gestolen informatie kan gegevens bevatten over klanten van verschillende autobedrijven als Volkswagen Group, Mercedes-Benz en BMW Group. Verwacht wordt dat het dan ook niet de laatste cyberaanval zal zijn binnen deze industrie.


Criminelen verspreiden Play-ransomware via recent verholpen Exchange-lekken

Criminelen maken gebruik van twee bekende kwetsbaarheden in Microsoft Exchange om organisaties met de Play-ransomware te infecteren. Onlangs werden de gemeente Antwerpen en Duitse hotelketen H-Hotels slachtoffer van de Play-ransomware. Hoe deze aanvallen konden plaatsvinden is niet bekendgemaakt, maar securitybedrijf Crowdstrike meldt dat verschillende recente aanvallen met de Play-ransomware via twee kwetsbaarheden in Microsoft Exchange plaatsvonden. Het gaat om de beveiligingslekken aangeduid als CVE-2022-41080 en CVE-2022-41082. Microsoft waarschuwde eind september dat aanvallers actief misbruik van CVE-2022-41082 en nog een andere Exchange-kwetsbaarheid maakten. Om organisaties te beschermen kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de twee beveiligingslekken worden voorkomen. Op 8 november kwam Microsoft met beveiligingsupdates om de twee kwetsbaarheden te verhelpen. Aanvallers blijken CVE-2022-41080 en CVE-2022-41082 nu te gebruiken om Exchange-servers op afstand over te nemen. Daarbij maken ze gebruik van een nieuwe exploitmethode die de door Microsoft aanbevolen url-rewrites omzeilt, aldus Crowdstrike. Zodra de aanvallers toegang hebben installeren ze de software AnyDesk en Plink om toegang te behouden. Vervolgens worden de Windows Event Logs gewist, gegevens gestolen en ransomware uitgerold. De aanval werkt niet tegen organisaties die de beschikbare beveiligingsupdates hebben geïnstalleerd.


Duitse technologiegigant ThyssenKrupp vecht tegen cyberaanval

Hackers proberen binnen te breken in de digitale omgeving van ThyssenKrupp. Het bedrijf toont zich strijdlustig en deelt mee dat het ernaar uitziet dat de aanval te snel werd onderschept. ThyssenKrupp maakt bekend dat hackers binnen proberen te dringen in de afdeling materiële diensten en het Duitse hoofdkantoor. Het technologiebedrijf blijk zich goed te kunnen verweren en de hackers lijken geen kansen gekregen te hebben. Veel details over de cyberaanval zijn er niet. Een woordvoerder van het bedrijf deelde aan Agence France-Press alleen het volgende mee:  “Thyssenkrupp is momenteel het doelwit van een cyberaanval – vermoedelijk door de georganiseerde misdaad” en dat “op dit moment geen schade is aangericht, noch zijn er aanwijzingen dat gegevens zijn gestolen of gewijzigd.” De aanval werd namelijk tijdig gespot door het cyberbeveiligingspersoneel van het bedrijf. De specialisten doen er momenteel alles aan om de aanval te isoleren. Met de beperkte informatie die momenteel bekend is, stellen we al voorzichtig dat ThyssenKrupp er ditmaal beter vanaf komt dan in vorige cyberincidenten. In 2012 werd de internationale speler al slachtoffer van een aanval van ‘uitzonderlijke kwaliteit’. Vier jaar later stonden hackers opnieuw binnen en werden bedrijfsgeheimen buitgemaakt van de afdeling installatietechniek.


Cybercriminelen stelen broncde authenticatiedienst Okta

Cybercriminelen zijn erin geslaagd om de broncode van authenticatiedienst Okta te stelen, zo heeft het softwarebedrijf in een e-mail aan klanten laten weten. Vandaag komt Okta ook met een verklaring op het eigen blog. Het softwarebedrijf stelt dat het begin deze maand door GitHub werd ingelicht over verdachte toegang tot de repositories met broncode. Verder onderzoek wees uit dat er inderdaad ongeautoriseerde toegang tot de repositories heeft plaatsgevonden en broncode is gekopieerd. Okta claimt dat het voor de veiligheid van de diensten die het biedt niet afhankelijk is van de vertrouwelijkheid van de broncode. Wel is de integriteit van de broncode op GitHub gecontroleerd en zijn inloggegevens voor het ontwikkelaarsplatform aangepast, zo staat in de e-mail waarover Bleeping Computer bericht. Verdere details over de inbraak en diefstal, zoals hoe die kon plaatsvinden, zijn niet gegeven. Okta biedt oplossingen voor identity en access management. "Meer dan 15.000 wereldwijde merken vertrouwen de beveiliging van hun digitale interacties met werknemers en klanten toe aan Okta", zo laat het bedrijf op de eigen website weten. Okta had vorig jaar een omzet van 1,3 miljard dollar en telt vijfduizend medewerkers. Het is niet het eerste beveiligingsincident dit jaar waar Okta mee te maken krijgt. Begin dit jaar wisten ook criminelen achter de Lapsus$-groep toegang tot systemen van Okta en klantgegevens te krijgen.


Russen hacken taxistandplaats vliegveld VS: voor 10 dollar vooraan

Russen hebben het systeem van de taxistandplaats van het vliegveld in New York gehackt. Ze vroegen taxichauffeurs een bedrag van 10 dollar (zo'n 9,40 euro) om een plekje vooraan de rij te krijgen. Dat scheelde úren wachten. Veel taxichauffeurs wisten van het publieke geheim. Dat schrijft The New York Times vandaag. De Russen hadden – samen met twee Amerikanen – het systeem van de taxi's die passagiers ophalen bij Kennedy International Airport gehackt. Dat was al jaren zo. De twee Amerikaanse mannen staan nu terecht voor fraude. "Als het Pentagon gehackt kan worden, waarom doen we dat dan ook niet bij de taxi-industrie", schreef een van de twee. Met de hack zouden de hackers zo'n 1000 frauduleuze taxiritjes per dag hebben bewerkstelligd. Op het enorme Amerikaanse vliegveld is al bijna dertig jaar sprake van een systeem dat ervoor moet zorgen dat taxi's niet overal bij de terminals passagiers op proberen te halen. In plaats daarvan moeten alle taxi's op een grote parkeerplaats wachten tot ze aan de beurt zijn. Op drukke dagen worden er per uur wel 300 tot 400 taxi's 'vrijgegeven', schrijft The New York Times. Maar als het rustiger is moeten taxichauffeurs tot wel drie uur wachten voordat zij naar het vliegveld mogen om passagiers op te halen. Met de hack konden taxichauffeurs – tegen betaling van 10 dollar – meteen doorrijden. Iedereen wist ervan, zeiden taxichauffeurs tegen de Amerikaanse krant. Een taxichauffeur die al sinds 1975 in New York werkte, vertelde dat hij er niet aan meedeed. "Ik wachtte gewoon, zoals het hoort." Anderen vertelden juist met liefde de 10 dollar te betalen. "Ik had ook betaald als het 20 dollar was geweest", zei een chauffeur. Met het slimmigheidje hebben de mannen volgens de openbaar aanklagers meer dan 100.000 dollar opgehaald voor Rusland. Sinds de arrestaties van de mannen zijn de autoriteiten alert op taxichauffeurs die niet op hun beurt wachten.


Storing treft internetbankieren en app van de Rabobank

De app van de Rabobank en de website waarop klanten kunnen internetbankieren, zijn dinsdagmiddag onbereikbaar door een storing. Vanwege de problemen krijgen klanten geen toegang tot informatie over hun rekening. De problemen zijn iets na het middaguur ontstaan. Rabobank bevestigt de storing via Twitter en met een waarschuwing in de Rabobank-app. Klanten die de app openen, krijgen een wit scherm te zien en kunnen er verder niks doen. Ook internetbankieren werkt niet. Gebruikers klagen op Twitter dat zij in de online omgeving alleen een wit scherm te zien krijgen. De oorzaak van de storing is nog onduidelijk. De Rabobank zegt op Twitter hard te werken aan een oplossing.


Cyberaanval op Antwerpen heeft ook gevolgen voor Zorgbedrijf Brasschaat

Het Zorgbedrijf Brasschaat ondervindt ook de gevolgen van de cyberaanval op de diensten van de stad Antwerpen. Het gedeelte dat aan Digipolis is verbonden, is geïmpacteerd. Voor de dienstverlening is er geen probleem. Oppositieraadslid Rudi Pauwels (Brasschaat 2012) stelde tijdens de jongste gemeenteraadszitting de vraag naar de gevolgen van de cyberaanval. Voorzitter van het Zorgbedrijf Brasschaat Erwin Callens (N-VA): “De problemen stellen zich bij de medicatieplanning en de zorgdossiers. We volgen dit dagelijks op. De apotheek ondervindt de grootste impact. Er komt nu een levering medicatie binnen voor vier weken. Dat bezorgt onze medewerkers meer werk.” “Voor de zorgdossiers zijn we niet verplicht om die digitaal op te stellen. Maar wij doen dat wel, dat zal nu voor een tijdje opnieuw op papier moeten. Wat de facturatie en de lonen en de dienstverlening in het algemeen betreft, zijn er geen problemen. Onze back-ups staan verspreid over drie locaties en één daarvan is geïmpacteerd”, voegt Callens er nog aan toe.


Ransomwaregroep zegt achter cyberaanval op hotelketen H-Hotels te zitten

De criminelen die systemen van de gemeente Antwerpen met ransomware infecteerden zeggen ook achter de cyberaanval op de Duitse hotelketen H-Hotels te zitten. In het weekend van 11 december wisten aanvallers op de systemen van H-Hotels in te breken. Na ontdekking van de cyberaanval werden vervolgens alle it-systemen uitgeschakeld en losgekoppeld van internet om verdere verspreiding te voorkomen. De aanval heeft volgens H-Hotels in een verklaring geen gevolgen voor de reserveringen. Communicatie via e-mail is echter niet mogelijk. Klanten worden dan ook opgeroepen om telefonisch contact op te nemen als ze nog vragen hebben. Het herstel en opschonen van de systemen zal een aantal dagen duren. Of de aanvallers ook klantgegevens hebben gestolen wordt nog onderzocht. Mocht er sprake van datadiefstal zijn zegt H-Hotels alle gedupeerde klanten te informeren. Verdere details over de aanval, zoals hoe de aanvallers toegang konden krijgen, zijn niet gegeven. De ransomwaregroep Play heeft via de eigen website verantwoordelijkheid voor de aanval opgeëist en claimt dat er gegevens van klanten zijn buitgemaakt, waaronder kopieën van paspoorten en identiteitsbewijzen. Als de hotelketen het gevraagde losgeld niet betaalt zal de groep de data openbaar maken. H-Hotels heeft zestig hotels op vijftig locaties in Duitsland, Oostenrijk en Zwitserland met bijna tienduizend kamers.


Gokplatform DraftKings slachtoffer van credential stuffing

Het online gokplatform DraftKings heeft 68.000 gebruikers gewaarschuwd voor een datalek veroorzaakt door credential stuffing. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Vorige maand liet DraftKings weten dat aanvallers via credential stuffing bij gebruikers hadden ingebroken. Vervolgens werd het geld buitgemaakt dat deze gebruikers in hun account hadden. De schade bedroeg zo'n 300.000 dollar. DraftKings zegt dat het getroffen gebruikers inmiddels schadeloos heeft gesteld. Vorige week heeft DraftKings getroffen klanten ook gewaarschuwd voor een datalek, zo blijkt uit een datalekmelding bij de procureur-generaal van de Amerikaanse staat Maine. Volgens het gokbedrijf zijn in totaal 68.000 klanten slachtoffer van de aanval geworden. Daarbij hebben aanvallers toegang kunnen krijgen tot de naam, adresgegevens, telefoonnummer, e-mailadres, laatste vier cijfers van creditcard, profielfoto, informatie over transacties, saldo en laatste datum van wachtwoordaanpassing van deze gebruikers. DraftKings heeft naar eigen zeggen twee miljoen unieke, betalende gebruikers per maand. Het bedrijf had vorig jaar een omzet van zo'n 1,3 miljard dollar. Voor dit jaar verwacht het gokplatform een omzet van 2,1 miljard dollar.


Na cyberaanval op Antwerpen: ook Genk en Hasselt op hackerslijstje van Play

Na de geslaagde hacking bij de stad Antwerpen bleek dat het hackerscollectief Play het ook gemunt had op verschillende andere steden, waaronder Leuven, Hasselt en Genk. Die steden werden dan ook de afgelopen week op de hoogte gebracht zodat ze eventuele maatregelen konden nemen. Dat bevestigt burgemeester van Genk en voorzitter van de Vlaamse Steden en Gemeenten (VVSG), Wim Dries. “Onze mensen hebben daar ook onmiddellijk op gereageerd”, zegt Dries. “We hebben dan ook meteen alles bij ons nagekeken, een verhoogde waakzaamheid aangenomen en acties ondernomen.” Tot op heden zijn er nog geen aanwijzingen dat het hackerscollectief Play, of een ander, een poging hebben ondernomen om ook de Genkse stadsdiensten te hacken. Genk is meteen na de verwittiging vanuit Antwerpen begonnen met het controleren van haar systemen op zwakke plekken. “Daar zijn een aantal verbeterpunten uit naar voorgekomen en die hebben we ook onmiddellijk uitgevoerd. Ook hebben we ingezet op acties om het bewustzijn bij de mensen te verhogen. Zo moeten ze altijd voorzichtig zijn bij het gebruik van USB-sticks en phishingmails. Ook hebben we, samen met de firma die ons daar al een aantal jaar mee helpt, de monitoring van heel ons netwerk en systemen verhoogd.” Dries zegt echter realistisch te zijn, want het is nooit zeker of Genk of een andere stad niet gehackt zal worden. “We zijn daarom aan het nadenken over een ‘back-up systeem’. De stad heeft ongelofelijk veel systemen en, bij wijze van spreken, ongelofelijk veel poortjes en deuren. Het is ook niet evident om te zeggen dat we altijd voorbereid zijn op alles, maar misschien moeten we zorgen dat we ook weer met papier en pen verder kunnen. Dat is echter ook niet meer zo vanzelfsprekend.” De waarschuwing vanuit Antwerpen werd ook via het VVSG verspreid naar de andere steden en gemeenten. “Wij zijn eigenlijk al lang vanuit het VVSG bezig met cybersecurity”, legt Dries uit. “Zo hebben we vorig jaar heel wat gemeentes begeleid in ethisch hacken en het bewustzijn daarrond. Afgelopen vrijdag hebben we ook nog twee druk bijgewoonde webinars georganiseerd voor de lokale besturen, met de ervaringen die Antwerpen heeft opgedaan.”


557 gigabyte aan data buitgemaakt bij gemeente Antwerpen

Burgemeester Bart De Wever van Antwerpen verwacht dat de stad pas eind januari volledig van de recente ransomware-aanval hersteld zal zijn. Door de aanval is de dienstverlening aan burgers op allerlei vlakken beperkt en ontregelt. De gemeente werd in de nacht van 5 op 6 december getroffen door een ransomware-aanval. De aanvallers claimen dat ze persoonlijke informatie, paspoorten, identiteitskaarten, financiële documenten en andere gegevens in bezit hebben. Het zou om 557 gigabyte aan data gaan die de aanvallers naar eigen zeggen vandaag zouden publiceren als de gemeente het gevraagde losgeld niet betaalt. De stad liet vanaf het begin weten niet met de criminelen te zullen onderhandelen of het losgeld te betalen. Tijdens een persconferentie verklaarde De Wever dat er wel gegevens gestolen zijn, maar dat die niet nadelig zijn voor de inwoners van de stad. "Uit wat onze experten hebben kunnen opmaken, zijn er momenteel geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt waarmee particuliere burgers ernstig benadeeld kunnen worden. We gaan ook niet onderhandelen met deze mensen en we gaan ook niet betalen." Volgens de burgemeester is er namelijk geen garantie dat de gestolen gegevens na betaling niet alsnog worden verspreid. Vanwege de aanval is de stad in een "digitale lockdown" gegaan, aldus De Wever. Het herstel kan nog wel enkele weken duren. "Het allerlaatste gevolg van de cyberaanval zal nog weken kosten om weg te werken. Het kan tot eind januari vooraleer alles 100 procent functioneert. Tot slot wil ik mij verontschuldigen voor het ongemak door deze zaak. We zullen er alles aan doen om het op te lossen." De aanvallers achter de aanval hebben op 24 november toegang tot de systemen gekregen. Hoe is niet bekendgemaakt. Vervolgens zijn er gegevens gekopieerd, waarna de ransomware-aanval werd uitgerold. De Wever noemde het "ironisch" dat in dezelfde zaal in het gemeentehuis een maand geleden nog een campagne gestart werd over de gevaren van phishing en hacking. Het Europees Agentschap voor cyberbeveiliging (ENISA) liet vorige maand weten dat phishing de meestgebruikte manier is om ransomware te verspreiden. Daarnaast maken aanvallers misbruik van bekende kwetsbaarheden waarvoor organisaties hebben nagelaten beschikbare beveiligingsupdates te installeren of weten ze via gestolen of zwakke wachtwoorden binnen te komen die organisaties bijvoorbeeld voor RDP (remote desktop protocol) hebben ingesteld.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Oktober 2023
September 2023
Augustus 2023

«   »