Overzicht van slachtoffers cyberaanvallen week 03-2023

Gepubliceerd op 23 januari 2023 om 15:00

Nieuw: Nu met nog meer dreigingsinformatie in cyberspace


Ransomware-aanval raakt duizend schepen, Costa Rica's ministerie van Openbare Werken en Transport lamgelegd door ransomware-aanval en Cloudflare lijdt onder DDoS-aanval die Canva, Discord en anderen uitschakelt. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 23-januari-2023


Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 7.167


Week overzicht

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
ibb-business-team.de LockBit ibb-business-team.de Germany Security And Commodity Brokers, Dealers, Exchanges, And Services 22-jan.-23
miguelmechanical.com LockBit miguelmechanical.com Trinidad and Tobago Oil, Gas 22-jan.-23
payroll2u.com LockBit payroll2u.com Singapore Business Services 21-jan.-23
Pillar Resource Services Royal www.pillar.ca Canada Construction 21-jan.-23
HRL Technology Group BianLian hrlt.com.au Australia Engineering Services 21-jan.-23
N**** BianLian Unknown Unknown Miscellaneous Manufacturing Industries 21-jan.-23
A BianLian Unknown Unknown Apparel And Accessory Stores 21-jan.-23
Cadmet Royal cadmet.com USA Miscellaneous Retail 21-jan.-23
Guardian Analytics (US) DAIXIN guardiananalytics.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 20-jan.-23
Monmouth College Vice Society www.uni-due.de USA Educational Services 20-jan.-23
Global Mining Products AvosLocker globalminingproducts.net Canada Machinery, Computer Equipment 19-jan.-23
Buckeye Packaging AvosLocker buckeyepackaging.com USA Motor Freight Transportation 19-jan.-23
NextGen BlackCat (ALPHV) www.nextgen.com USA IT Services 19-jan.-23
Fresh Del Monte BlackCat (ALPHV) freshdelmonte.com USA Food Products 19-jan.-23
Pharmacare BlackCat (ALPHV) www.pharmacareservices.com USA Business Services 19-jan.-23
tvk.nl LockBit tvk.nl Netherlands Automotive Dealers 18-jan.-23
duomed.com LockBit duomed.com Belgium Miscellaneous Manufacturing Industries 18-jan.-23
Alhambra-Eidos Mallox www.alhambrait.com Spain IT Services 18-jan.-23
CHARTER COMMUNICATIONS Endurance corporate.charter.com USA Communications 18-jan.-23
K Azarosian Costello Royal www.kazcolaw.com USA Legal Services 18-jan.-23
Livingston Royal livingston.com Unknown Engineering Services 17-jan.-23
carinya Royal www.carinya.nsw.edu.au Australia Educational Services 17-jan.-23
R C Stevens Construction Hive rcstevens.com USA Construction 17-jan.-23
Memtech Acoustical AvosLocker memtechacoustical.com USA Wholesale Trade-durable Goods 17-jan.-23
ARC BlackByte www.e-arc.com USA Publishing, printing 16-jan.-23
Autodelta Royal www.autodelta.pt Portugal Wholesale Trade-durable Goods 16-jan.-23
Westsächsische Hochschule Zwickau Royal www.fh-zwickau.de Germany Educational Services 16-jan.-23
University of Duisburg-Essen Vice Society www.uni-due.de Germany Educational Services 16-jan.-23
atcuae.ae LockBit atcuae.ae United Arab Emirates Transportation Equipment 16-jan.-23
politriz.ind.br LockBit politriz.ind.br Brazil Chemical Producers 16-jan.-23
melody.com.tr LockBit melody.com.tr Turkey Water Transportation 16-jan.-23
Yayla Enerji Uretim Turizm ve Insaat Ticaret Mallox www.yayla.tc Turkey Construction 16-jan.-23
ak.com.sa LockBit ak.com.sa Saudi Arabia Apparel And Accessory Stores 16-jan.-23
fulfilmentmatters.co.uk LockBit fulfilmentmatters.co.uk UK Transportation Services 16-jan.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
tvk.nl LockBit tvk.nl Netherlands Automotive Dealers 18-jan.-23
duomed.com LockBit duomed.com Belgium Miscellaneous Manufacturing Industries 18-jan.-23

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1.328 Actief
2 Conti 674 Niet meer actief
3 BlackCat (ALPHV) 252 Actief

Ransomware-aanvallen leiden tot dood van patiënten volgens nieuw onderzoek onder cyberbeveiligingsprofessionals

Ransomware-aanvallen in de gezondheidszorg leiden tot de dood van patiënten, volgens een nieuw onderzoek onder 579 cyberbeveiligingsprofessionals. Hier zijn zeven dingen om te weten uit de studie van 18 januari van de onderzoeksgroep Ponemon Institute en cyberbeveiligingsbedrijf Censinet, die IT-experts van ziekenhuizen, gezondheidssystemen, artsengroepen en betalers ondervraagden: 1) Meer dan 1 op de 5 respondenten zei dat ransomware-aanvallen een negatieve impact hadden op de sterftecijfers van patiënten. 2) Vijfenveertig procent van de ondervraagden zei dat ransomware-evenementen complicaties van medische procedures deden toenemen, tegenover 36 procent in een vergelijkbaar onderzoek uit 2021. 3) Ongeveer de helft (47 procent) zei dat ze de afgelopen twee jaar een ransomware-aanval hebben meegemaakt, een stijging ten opzichte van 43 procent in 2021. Daarvan zei 46 procent dat het werd veroorzaakt door een derde partij, vergeleken met 36 procent in 2021. 4) Zevenenzestig procent van de organisaties betaalt losgeld na een aanval, met een gemiddelde betaling van 352.541 dollar. 5) Drieënvijftig procent zegt dat de aanvallen hebben geleid tot onderbreking van de patiëntenzorg, waarbij patiënten in 70 procent van de gevallen moesten worden overgeplaatst of omgeleid naar andere faciliteiten. 6) De gemiddelde duur van de verstoringen is 35 dagen. 7) Zestig procent van de respondenten zei dat hun organisatie een bedrijfscontinuïteitsplan heeft, inclusief een geplande systeemuitval, terwijl een derde van de respondenten zei dat hun organisatie meer geld uitgeeft om te plannen voor ransomware-evenementen, beide stijgingen ten opzichte van 2021.


Cybercriminelen richten zich op netwerken van telecomaanbieders

Het toenemende gebruik van mobiele apparaten voor multifactorauthenticatie heeft telecomaanbieders steeds meer tot een sappig doelwit voor cybercriminaliteit gemaakt. Een lopende simkaartverwisselingscampagne van een Chinese dreigingsactor genaamd "Scattered Spider" is slechts het meest recente voorbeeld van die trend. Scattered Spider is een APT-groep die onderzoekers van CrowdStrike de afgelopen maanden hebben gevolgd. De groep heeft het gemunt op telecombedrijven en BPO-bedrijven (Business Process Outsourcing) die deze telecombedrijven ondersteunen, met als doel toegang te krijgen tot hun respectieve carriernetwerken. In ten minste twee gevallen waarin de dader die toegang kreeg, gebruikte hij deze om SIM-swapping uit te voeren, een proces waarbij een tegenstander in wezen het telefoonnummer van een andere persoon naar zijn SIM-kaart overbrengt. Aanvallers kunnen het gekaapte telefoonnummer vervolgens gebruiken om toegang te krijgen tot bankrekeningen of andere rekeningen waarbij de legitieme gebruiker de telefoon heeft geregistreerd als tweede vorm van authenticatie. SIM jacking biedt aanvallers ook een manier om malafide toestellen te registreren en te koppelen aan accounts op gecompromitteerde netwerken. Bud Broomhead, CEO van Viakoo, zegt dat het brede gebruik van mobiele netwerken voor multifactorauthenticatie een groot doelwit is geworden voor telecomaanbieders. "Hoewel er altijd pogingen zijn geweest om in te breken in telecomsystemen, heeft de toegenomen afhankelijkheid ervan voor beveiliging de frequentie van aanvallen tegen hen verhoogd", zegt hij. In de campagnes die CrowdStrike observeerde, kreeg Scattered Spider aanvankelijk toegang tot een gericht telecom- of BPO-netwerk door zich voor te doen als IT-personeel en personen die bij deze organisaties werken ervan te overtuigen hun referenties af te staan of op afstand toegang te verlenen tot hun computers. Eenmaal binnen de doelomgeving verplaatsten de bedreigers zich lateraal - vaak met behulp van legitieme tools zoals Windows Management Instrumentation - tot ze toegang kregen tot het netwerk van de carrier. De groep heeft zich sinds ten minste juni 2022 op meerdere telecombedrijven gericht en is steeds naar een ander doelwit verhuisd, telkens als hij van een doelwit werd verwijderd. CrowdStrike heeft de campagne daarom omschreven als een "extreem aanhoudende en brutale" bedreiging. Onlangs zag CrowdStrike dat Scattered Spider een schadelijke kerneldriver inzette via een kwetsbaarheids-exploit als onderdeel van zijn aanvalsketen. Adam Meyers, senior vice president of intelligence bij CrowdStrike, zegt dat de campagne van Scattered Spider financieel gemotiveerd lijkt te zijn en daarom verschilt van de vele aanvallen op carriernetwerken die gericht zijn op cyberspionage. "Op basis van wat we hebben gezien, zijn ze gericht op SIM-swapping", zegt Meyers. "Wanneer je twee-factor-authenticatie hebt en een SIM-swap doet, kun je die authenticatie omzeilen."


Vermoedelijke Chinese hackers misbruiken zero-day kwetsbaarheid FortiOS SSL-VPN voor gerichte aanvallen

Vermoedelijke Chinese hackers hebben in december een onlangs bekendgemaakte FortiOS SSL-VPN kwetsbaarheid misbruikt als een zero-day. Ze richtten zich op een Europese overheid en een Afrikaanse MSP met een nieuwe aangepaste 'BOLDMOVE' Linux en Windows malware. De kwetsbaarheid wordt getraceerd als CVE-2022-42475 en werd in november stilletjes verholpen door Fortinet. Fortinet maakte het lek in december publiekelijk bekend en drong er bij klanten op aan hun apparaten te patchen omdat bedreigers het lek actief misbruikten. Door het lek kunnen niet-geauthenticeerde aanvallers op afstand gerichte apparaten laten crashen of op afstand code uitvoeren. Fortinet deelde echter pas deze maand meer details over de manier waarop hackers het lek hebben uitgebuit. De aanvallers hadden overheidsinstanties op het oog met aangepaste malware die speciaal was ontworpen om op FortiOS-apparaten te draaien. De aanvallers waren gericht op het handhaven van persistentie op geëxploiteerde apparaten door de aangepaste malware te gebruiken om de FortiOS-loggingprocessen te patchen zodat specifieke logboekvermeldingen konden worden verwijderd of om het loggingproces helemaal uit te schakelen. Gisteren publiceerde Mandiant een rapport over een vermoedelijke Chinese spionagecampagne die sinds oktober 2022 gebruik maakt van het FortiOS-foutje met behulp van een nieuwe 'BOLDMOVE'-malware die expliciet is ontworpen voor aanvallen op FortiOS-apparaten.


Noord-Koreaanse Lazarus Group steelt $60 miljoen aan Ethereum bij Binance, Huobi en OKX

De Noord-Koreaanse staatsbedreigers Lazarus Group heeft ongeveer 41.000 ETH of meer dan 60 miljoen dollar aan Ethereum gestolen bij de cryptobeurzen Binance, Huobi en OKX. Terwijl Binance en Huobi beide de fondsen bevroren, verklaarde Binance dat daarbij ook een vermogen van 124 BTC werd teruggevonden. Volgens internet speurneus ZachXBT werden de fondsen gestolen van de Harmony blockchain bridge hack van vorig jaar, die leidde tot een gigantische $100 miljoen crypto compromis. Blijkbaar gebruikte dezelfde hackersgroep Tornado Cash, een nu verboden cryptomixer die namen van mensen die betrokken zijn bij de transactie verbergt, om de aanval uit te voeren. Volgens de analyse, uitgevoerd door token movements, werd de ETH omgeleid via het anonimiteitssysteem Railgun alvorens te worden verzameld in wallets en verzonden naar drie belangrijke cryptobeurzen, mogelijk om te worden ingewisseld voor fiatvaluta.


Los Angeles Unified School District (LAUSD) slachtoffer van Vice Society ransomware-aanval

Los Angeles Unified School District (LAUSD), het op een na grootste schooldistrict in de Verenigde Staten, zegt dat de Vice Society ransomware-bende bestanden heeft gestolen met persoonlijke informatie van contractanten, waaronder Social Security Numbers (SSN's). LAUSD onthulde ook dat de dreigingsactoren meer dan twee maanden actief waren in haar netwerk, tussen 31 juli 2022 en 3 september 2022. "Door ons lopende onderzoek hebben we vastgesteld dat tussen 31 juli 2022 en 3 september 2022 een onbevoegde actor toegang heeft gekregen tot bepaalde bestanden die op onze servers worden bijgehouden en deze heeft verworven", aldus het schooldistrict in kennisgevingsbrieven over het datalek die naar de getroffen personen zijn gestuurd. Bij het onderzoek naar de gegevens die tijdens het twee maanden durende beveiligingslek zijn gestolen, ontdekte LAUSD salarisgegevens en andere arbeidsgerelateerde documenten met SSN's en namen en woonadressen van de betrokkenen.


Cloudflare lijdt onder DDoS-aanval die Canva, Discord en anderen uitschakelt

Het bedrijf Cloudflare heeft dinsdag een DDoS-aanval gemeld. Een crash van verschillende van de websites waarop het actief is en werking mogelijk maakt zoals: Pipedrive, Phixr, Discord, Buffer, Canva, enz. en een lange lijst van andere bekende namen in de digitale wereld, waaronder verschillende cryptocurrency exchanges. Cloudflare heeft haar klanten echter laten weten dat de diensten zijn hersteld en nu zonder problemen toegankelijk zijn. Nadat ze op hun website hadden meegedeeld dat ze het probleem al hadden vastgesteld en eraan werkten om het zo snel mogelijk te verhelpen. Cloudflare, kondigde afgelopen dinsdag aan dat een DDoS-aanval van 26 miljoen verzoeken per seconde heeft doorstaan. Dit wordt beschouwd als de grootste HTTPS DDoS-aanval die ooit is ontdekt. Zoals gemeld door het bedrijf, de De aanval was gericht op een klant, die een gratis plan gebruikte…. Er wordt aangenomen dat de mensen achter de grootste DDoS-aanval in de geschiedenis gekaapte servers en virtuele machines hebben gebruikt, aangezien de aanval afkomstig was van aanbieders van clouddiensten. Zo’n aanval, gebruikte een krachtig botnet van 5.000 apparatendie in minder dan 30 seconden een stortvloed van meer dan 212 miljoen HTTPS-verzoeken veroorzaakte. In termen van de omvang die het bereikte, werd het gedaan over HTTPS, wat betekent dat het niet alleen meer geld kost om te lanceren, maar ook moeilijker te mitigeren is. De aanval was afkomstig uit meer dan 120 landen, waaronder Indonesië. De Verenigde Staten, Rusland en Brazilië zijn de meest prominente. Het getroffen bedrijf heeft aan alle getroffen bedrijven meegedeeld klanten met zowel gratis als Pro-plannen die onbeperkt beschermd zijn. ongeacht de grootte of de duur van de aanval. Volgens deskundigen worden cyberaanvallen steeds groter en frequenter, sneller en moeilijker op te sporen. DDoS-aanvallen kunnen geïnitieerd door mensen, maar in de praktijk worden vaak machines gebruikt.. Tegen de tijd dat de mens deze aanval ontdekt en erop reageert, kan het te laat zijn en heeft de aanval zich al door het hele systeem verspreid, met grote financiële kosten en reputatieschade tot gevolg. Verschillende grote cryptocurrency beurzen cryptocurrency beurzen waren kort onbereikbaar nadat DDoS mitigatie dienstverlenerCloudflare viel even uit. Cloudflare was ongeveer een uur down, en het bedrijf loste het probleem snel op met een fix. Sommige gebruikers melden dat het een API-probleem was dat deze onregelmatigheden veroorzaakte, hoewel Cloudflare niet heeft verklaard wat het probleem was. De grote cryptocurrency beurzen en andere platforms die werden getroffen door de storing waren FTX, Bitfinex en OKX.


Criminelen verdienden minder met ransomware, witwassen via gecentraliseerde cryptobeurzen stijgt

Criminelen hebben vorig jaar zeker 457 miljoen dollar met ransomware verdiend, zo stelt Chainanalysis, een bedrijf dat blockchain-analyse doet. Het bedrag is een daling ten opzichte van 2020 en 2021, toen het nog om bedragen van respectievelijk 765 miljoen en 766 miljoen dollar ging. Chainanalysis benadrukt dat de werkelijke bedragen veel hoger zijn, aangezien niet alle crypto-adressen waar slachtoffers het losgeld naar overmaken bekend zijn. Volgens hert analysebedrijf blijkt uit de beschikbare data dat de meeste ransomwaregroepen het losgeld van slachtoffers naar bekende, gecentraliseerde cryptobeurzen sturen om te witwassen. Er was in 2022 hier zelfs een stijging van zichtbaar. Ging in 2021 nog 39 procent van het waargenomen losgeld naar "mainstream" cryptobeurzen, vorig jaar was dat 48 procent. Het aandeel dat naar "risicovolle" cryptobeurzen ging daalde van 11 procent naar bijna 7 procent. Het gebruik van cryptomixers voor het witwassen van losgeld nam wel toe, van bijna 12 procent naar 15 procent, zo stelt Chainanalysis. Via cryptomixers kunnen gebruikers cryptovaluta van één wallet in een "pool" storten en met een andere wallet opnemen. Op deze manier is het bijvoorbeeld mogelijk om anoniem geld te doneren, maar kunnen mensen ook hun cryptovaluta beschermen. Volgens Chainanalysis is de belangrijkste ontwikkeling dat slachtoffers van ransomware minder bereid zijn om te betalen terwijl er geen sprake is van een daling van het aantal aanvallen. Daarnaast zijn verzekeringsmaatschappijen minder geneigd om het losgeld dat hun cliënten willen betalen te verzekeren. Ook stellen verzekeraars strengere eisen aan bedrijven als die een verzekering willen afsluiten, zoals allerlei back-upmaatregelen. Hierdoor kunnen bedrijven van een aanval herstellen zonder het losgeld te hoeven betalen.

Ransomware Revenue Down As More Victims Refuse To Pay Chainalysis
PDF – 366,8 KB 147 downloads

Cyberaanval op het informatie- en communicatiesysteem Ukrinform

Het Oekraïense cyberagentschap gelooft dat de hackersgroep Sandworm van de Russische militaire inlichtingendienst achter een malware-aanval zat op het Oekraïense nationale nieuwsagentschap eerder deze week.

Op 17.01.2023 om ongeveer 12:39, heeft het telegramkanaal
"CyberArmyofRussia_Reborn" informatie gepubliceerd over de verstoring van
de normale werking van verschillende elementen van het informatie- en
communicatiesysteem (hierna: ICS) van het Oekraïense nationale nieuwsagentschap "Ukrinform".
Agentschap "Ukrinform".

Op verzoek van het Agentschap heeft het Governmental Computer Emergency Response Team
Team van Oekraïne CERT-UA maatregelen genomen om de cyberaanval te onderzoeken
op 17 januari 2023.

Volgens voorlopige gegevens, om de integriteit en de
beschikbaarheid van informatie, werd de CaddyWiper-malware centraal gelanceerd
via groepsbeleid (GPO).

Rekening houdend met een aantal karakteristieke kenmerken nemen wij aan dat de
cyberaanval werd uitgevoerd door de groep UAC-0082 (Sandworm), waarvan de activiteiten
activiteiten in verband worden gebracht met de Russische Staatsveiligheidsdienst.

Opgemerkt zij dat het bovengenoemde telegramkanaal, samen met
typische berichten over DDoS-aanvallen en defecten, herhaaldelijk is gebruikt
om de destructieve activiteiten van de groep onder de aandacht te brengen.


LockBit ransomware - wat u moet weten

Ik hoor steeds over LockBit ransomware aanvallen. Wat is er aan de hand?

Het is geen verrassing als u over LockBit hebt gehoord. Het is 's werelds meest actieve ransomware groep - verantwoordelijk voor naar schatting 40% van alle ransomware infecties wereldwijd.

Ik denk dat LockBit de gebruikelijke slechte dingen doet - je gegevens versleutelen, je bestanden stelen, een losgeldbrief op je PC dumpen...

Ja. De eerste keer dat je weet dat je getroffen bent door LockBit 3.0 (ook bekend als LockBit Black) is wanneer je bureaubladachtergrond wordt vervangen door een bericht dat je bestanden zijn gestolen, en naar instructies wijst over hoe ze kunnen worden hersteld.

Bah. Zijn de LockBit-aanvallen specifiek gericht op bepaalde soorten bedrijven?

De slachtoffers van LockBit zijn voornamelijk kleine en middelgrote bedrijven, maar soms zijn veel grotere organisaties het slachtoffer geworden.

LockBit heeft in het verleden onder andere technologiefabrikant Foxconn, NHS-leverancier Advanced, IT-gigant Accenture en het Duitse autoproductiebedrijf Continental als doelwit gekozen.

Onlangs werden de leveringen van de Britse Royal Mail overzee verstoord na een vermoedelijke LockBit ransomware-aanval.

Yoinks. Het klinkt alsof elk bedrijf een potentieel doelwit kan zijn...

Niet helemaal. LockBit lijkt niet gelanceerd te zijn tegen Russische organisaties, bijvoorbeeld.

Waarom geen Russische slachtoffers?

Hmm... waarom denk je?

Ha, ik snap het. Ze willen geen problemen met de politie voor hun deur! Ik denk dat als ze zoveel bedrijven treffen, deze LockBit jongens veel geld verdienen...

Toen de Amerikaanse autoriteiten in november 2022 een man aanklaagden in verband met de LockBit ransomware, beweerden ze dat het was ingezet tegen ten minste 1.000 slachtoffers in de Verenigde Staten en de rest van de wereld, met ten minste 100 miljoen dollar aan losgeld eisen.

Oh, dus ze hebben al iemand gepakt voor LockBit?

Zo simpel is het niet. Het is niet één man die LockBit aanvallen uitvoert vanuit zijn slaapkamer, omringd door pizzadozen.

LockBit is een ransomware-as-a-service (RaaS) operatie, wat betekent dat andere criminelen betalen om een affiliate te worden, aanvallen uit te voeren en een percentage van hun inkomsten te delen met de oorspronkelijke LockBit bende.

Het identificeren en aanklagen van één LockBit-verdachte betekent niet noodzakelijkerwijs de ondergang van de hele criminele operatie.

En dus kunnen verschillende mensen verantwoordelijk zijn voor verschillende LockBit aanvallen...

Correct. Bijvoorbeeld, de Royal Mail aanval is door de bende toegeschreven aan een LockBit filiaal.

Het klinkt alsof LockBit een professionele onderneming is...

Ja, zij het een criminele onderneming.

De LockBit ransomware-als-service operatie is zeker geëvolueerd in de afgelopen jaren. Een van de ongewone ontwikkelingen vond plaats afgelopen zomer toen de bende aankondigde een bug bounty programma te introduceren.

Een bug bounty? Dat meen je niet...

In wat de eerste bug bounty ooit zou zijn van een ransomware bende, bood LockBit tussen de $1000 en $1 miljoen voor iedereen die bug rapporten indiende. De bende kondigde onbeschaamd aan dat het "alle beveiligingsonderzoekers, ethische en onethische hackers op de planeet uitnodigde om deel te nemen".

Bovendien zei de LockBit-groep dat ze zouden uitbetalen voor "briljante ideeën" die hun criminele operaties zouden verbeteren.

Natuurlijk kan het helpen van cybercriminelen in uw land verboden zijn, dus denk goed na voordat u met hen in bed duikt.

Bedankt. Dat was ik niet van plan.

Nog iets anders. LockBit biedt ook een manier om "precies één miljoen dollar, niet meer en niet minder..." in cryptocurrency te verdienen door de persoon bekend als LockBitSupp, die ondersteuning biedt en de filialen van de groep beheert.

Misschien hopen ze dat elke cybercriminele onderzoeker die erin slaagt de identiteit van belangrijke personen die LockBit runnen te achterhalen, in de verleiding zal komen om de bende aan te geven voor een uitbetaling, in plaats van de politie te helpen.


Costa Rica's ministerie van Openbare Werken en Transport lamgelegd door ransomware-aanval

De regering van Costa Rica is opnieuw het slachtoffer geworden van een ransomware-aanval, slechts enkele maanden nadat verschillende ministeries werden lamgelegd in een grootschalige aanval door hackers die gebruik maakten van de Conti ransomware. Op dinsdag zei Costa Rica's Ministerie van Openbare Werken en Transport (MOPT) in een verklaring dat 12 van zijn servers waren versleuteld. Cyberbeveiligingsdeskundigen van het nationale veiligheidsdirectoraat en het ministerie van Wetenschap, Innovatie, Technologie en Telecommunicatie werden ingeschakeld om de situatie aan te pakken en alle computersystemen van de MOPT werden offline gehaald. De regering reageerde niet op verzoeken om commentaar, maar gaf woensdag een vervolgverklaring uit waarin stond dat internationale organisaties werden ingeschakeld voor ondersteuning. Rijexamens worden nog steeds persoonlijk afgenomen en hoewel de afgifte van rijbewijzen kortstondig werd verstoord, wordt deze nu hervat. "Verkeersleiding en openbare werken, navigatie en maritieme veiligheid, die virtueel werden aangeboden, worden tot nader order persoonlijk bijgewoond", aldus de verklaring. De MOPT waarschuwde burgers om uit te kijken voor oplichters, en merkte op dat niemand door het ministerie via e-mail of telefoon wordt benaderd om een van zijn diensten af te handelen.


Hackers stelen 37 miljoen T-Mobile klantgegevens

De Amerikaanse telecomoperator T-Mobile is opnieuw het slachtoffer geworden van een cyberaanval. Hackers maakten daarbij de gegevens van zowat 37 miljoen klanten buit, zo heeft de dochter van Deutsche Telekom donderdagavond bekendgemaak. T-Mobile stelde de hacking op 5 januari vast. Het bedrijf haalde externe experten binnen om de bron van de aanval mee op te sporen, waardoor die binnen een dag gestopt kon worden. Het onderzoek naar de cyberaanval loopt nog, maar volgens T-Mobile zijn er voorlopig geen aanwijzingen dat zijn systemen of netwerk aangetast zijn. De operator benadrukt voorts dat geen gevoelige of financiële gegevens van klanten zijn buitgemaakt. De hackers gingen wel aan de haal met “basisinformatie”, zoals namen, adressen, e-mailadressen en geboortedata.


Ransomware-aanval en datalek Servilux

Samsung en reparatiebedrijf LetMeRepair hebben klanten op de hoogte gesteld van een ransomware-aanval en datalek op servers van Servilux. Servilux was reparateur namens Samsung van elektronica in Nederland en België. Volgens LetMeRepair, dat vorige maand Servilux overnam, hebben de criminelen de naam, het telefoonnummer, het adres en details van het gerepareerde product in handen gekregen met de ransomware-aanval. Klanten kregen donderdagavond een sms met een waarschuwing om op te passen voor phishing. Het bedrijf zegt dat de aanval komt uit de groep Vice Society, waarover Microsoft al eerder publiceerde. Die dreigde gegevens op de eigen darkwebsite te zetten als het bedrijf geen losgeld zou betalen. Dat gebeurde op 6 januari: toen publiceerde Vice Society gegevens van fabrikanten, dealers, medewerkers en klanten van Servilux. Daaronder kunnen dus ook de gegevens van klanten zijn. "Als onderdeel van het lopende onderzoek zullen we de exacte aard van de gegevens bepalen." De aanval beperkte zich tot servers van Servilux en heeft zich niet uitgebreid naar die van LetMeRepair, meldt het bedrijf. Het is onbekend waarom het bedrijf pas nu, weken na de ontdekking en publicatie van gegevens, klanten op de hoogte heeft gesteld. Servilux was in Nederland, België en Luxemburg reparateur die onder garantie elektronica van onder meer Samsung repareerde.


PayPal waarschuwt 35.000 klanten voor inbraak op account

PayPal heeft 35.000 klanten gewaarschuwd dat aanvallers op hun account hebben ingebroken. De "ongeautoriseerde activiteit" deed zich begin december voor, zo blijkt uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine. PayPal zegt in de brief geen aanwijzingen te hebben dat persoonlijke informatie van klanten is misbruikt. Ook zijn er geen ongeautoriseerde transacties met het account waargenomen. Doordat de aanvallers toegang tot account kregen hebben ze mogelijk ook persoonlijke informatie bemachtigd, waaronder naam, adresgegevens, social-securitynummers, belastinggegevens en geboortedatum. Hoe de aanval precies kon plaatsvinden laat PayPal niet weten, maar het bedrijf stelt dat er geen bewijs is dat de gebruikte inloggegevens via systemen van PayPal zijn verkregen. Naar aanleiding van de inbraken heeft PayPal besloten de wachtwoorden van getroffen accounts te resetten. Gebruikers moeten dan ook de volgende keer dat ze inloggen een nieuw wachtwoord instellen. Tevens adviseert PayPal het gebruik van tweestapsverificatie. Getroffen gebruikers kunnen twee jaar lang van identiteitsmonitoring gebruikmaken. Het gaat hier om diensten die waarschuwen wanneer gegevens op internet verschijnen of er identiteitsfraude plaatsvindt.


Honderden Britse restaurants KFC en Pizza Hut gesloten door ransomware

Honderden Britse restaurants van Yum! Brands, het bedrijf achter KFC, Pizza Hut en Taco Bell, zijn wegens een ransomware-aanval een dag gesloten geweest, zo heeft het fastfoodconcern vandaag bekendgemaakt. Volgens een verklaring had de ransomware-aanval gevolgen voor "bepaalde" systemen. Na ontdekking van de aanval zijn verschillende systemen offline gehaald. verdere details over de aanval zijn niet gegeven, behalve dat bijna driehonderd restaurants in het Verenigd Koninkrijk voor een dag werden gesloten. Alle restaurants zijn inmiddels weer open. Of Yum! Brands losgeld heeft betaald is niet bekend. Het bedrijf zegt actief bezig te zijn met het herstellen van getroffen systemen, wat de komende dagen grotendeels zou moeten worden afgerond. Op dit moment in het onderzoek zijn er geen aanwijzingen dat er klantgegevens zijn buitgemaakt. Het fastfoodconcern verwacht niet dat de ransomware-aanval wezenlijk nadelige financiële gevolgen zal hebben.


Oprichter Bitzlato gearresteerd voor witwassen ransomware losgeld

In de Verenigde Staten is de 40-jarige Russische oprichter van cryptobeurs Bitzlato aangehouden op verdenking van het witwassen van meer dan 700 miljoen dollar. Volgens de aanklacht zou het geld onder andere afkomstig zijn van ransomwaregroepen en drugshandelaren. Verder zou de cryptobeurs meer dan 15 miljoen dollar hebben ontvangen afkomstig van de slachtoffers van ransomware. De Amerikaanse autoriteiten stellen dat Bitzlato zich neerzette als een cryptobeurs die minimale identificatie van gebruikers eiste. Zo waren selfies en paspoorten niet vereist. In de gevallen dat Bitzlato wel identificerende gegevens vroeg gaf het gebruikers de mogelijkheid om informatie van stromannen op te geven, zo stelt het Amerikaanse ministerie van Justitie. Door de gebrekkige know-your-customer (KYC) procedures zou de cryptobeurs een veilige haven voor criminele activiteiten zijn geworden. Zo werden er zeer veel transacties van de Hydra Market verwerkt, een online marktplaats waarop drugs, gestolen gegevens en witwasdiensten werden aangeboden. Volgens de aanklacht hebben gebruikers van Hydra meer dan 700 miljoen dollar aan cryptovaluta via Bitzlato uitgewisseld. Ook zou de cryptobeurs zijn gebruikt voor het witwassen van geld dat via ransomware was verkregen. De verdachte, woonachtig in China, kon in Miami worden aangehouden. Naast de aanhouding van de man werd tegelijkertijd de infrastructuur van Bitzlato ontmanteld en de cryptovaluta van de beurs in beslag genomen. Mocht de verdachte schuldig worden bevonden kan hij tot een gevangenisstraf van maximaal vijf jaar worden veroordeeld.


Royal Mail verstuurt week na ransomware-aanval weer internationale briefpost

De Royal Mail kan ruim een week na de ransomware-aanval waardoor het werd getroffen weer internationale briefpost versturen. Het versturen van pakketten of andere post naar het buitenland waarvoor een douaneaangifte is vereist is nog altijd niet mogelijk. Er wordt inmiddels geëxperimenteerd met een oplossing voor pakketpost, maar Britten worden nog altijd opgeroepen geen internationale pakketten te versturen. Dat laat de Royal Mail in een statusupdate weten. De focus ligt nu op het wegwerken van de grote hoeveelheid pakketten en briefpost die sinds de aanval op 10 januari plaatsvond niet zijn verstuurd en nog altijd in de distributiecentra van de Royal Mail liggen. Het postbedrijf zegt dat het met externe experts, veiligheidsautoriteiten en toezichthouders samenwerkt om de gevolgen van het "cyberincident" op te lossen. Daarbij ligt de nadruk op het herstel van de internationale postbezorging. Het verwerken van inkomende post en pakketten werkt wel, zij het met kleine vertragingen. Hoe de aanval kon plaatsvinden is nog altijd niet bekendgemaakt.


PayPal waarschuwt 35.000 klanten voor hack op account

PayPal heeft 35.000 klanten gewaarschuwd dat aanvallers op hun account hebben ingebroken. De "ongeautoriseerde activiteit" deed zich begin december voor, zo blijkt uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine. PayPal zegt in de brief geen aanwijzingen te hebben dat persoonlijke informatie van klanten is misbruikt. Ook zijn er geen ongeautoriseerde transacties met het account waargenomen. Doordat de aanvallers toegang tot account kregen hebben ze mogelijk ook persoonlijke informatie bemachtigd, waaronder naam, adresgegevens, social-securitynummers, belastinggegevens en geboortedatum. Hoe de aanval precies kon plaatsvinden laat PayPal niet weten, maar het bedrijf stelt dat er geen bewijs is dat de gebruikte inloggegevens via systemen van PayPal zijn verkregen. Naar aanleiding van de inbraken heeft PayPal besloten de wachtwoorden van getroffen accounts te resetten. Gebruikers moeten dan ook de volgende keer dat ze inloggen een nieuw wachtwoord instellen. Tevens adviseert PayPal het gebruik van tweestapsverificatie. Getroffen gebruikers kunnen twee jaar lang van identiteitsmonitoring gebruikmaken. Het gaat hier om diensten die waarschuwen wanneer gegevens op internet verschijnen of er identiteitsfraude plaatsvindt.


Oprichter cryptobeurs Bitzlato aangehouden voor witwassen losgeld ransomware

In de Verenigde Staten is de 40-jarige Russische oprichter van cryptobeurs Bitzlato aangehouden op verdenking van het witwassen van meer dan 700 miljoen dollar. Volgens de aanklacht zou het geld onder andere afkomstig zijn van ransomwaregroepen en drugshandelaren. Verder zou de cryptobeurs meer dan 15 miljoen dollar hebben ontvangen afkomstig van de slachtoffers van ransomware. De Amerikaanse autoriteiten stellen dat Bitzlato zich neerzette als een cryptobeurs die minimale identificatie van gebruikers eiste. Zo waren selfies en paspoorten niet vereist. In de gevallen dat Bitzlato wel identificerende gegevens vroeg gaf het gebruikers de mogelijkheid om informatie van stromannen op te geven, zo stelt het Amerikaanse ministerie van Justitie. Door de gebrekkige know-your-customer (KYC) procedures zou de cryptobeurs een veilige haven voor criminele activiteiten zijn geworden. Zo werden er zeer veel transacties van de Hydra Market verwerkt, een online marktplaats waarop drugs, gestolen gegevens en witwasdiensten werden aangeboden. Volgens de aanklacht hebben gebruikers van Hydra meer dan 700 miljoen dollar aan cryptovaluta via Bitzlato uitgewisseld. Ook zou de cryptobeurs zijn gebruikt voor het witwassen van geld dat via ransomware was verkregen. De verdachte, woonachtig in China, kon in Miami worden aangehouden. Naast de aanhouding van de man werd tegelijkertijd de infrastructuur van Bitzlato ontmanteld en de cryptovaluta van de beurs in beslag genomen. Mocht de verdachte schuldig worden bevonden kan hij tot een gevangenisstraf van maximaal vijf jaar worden veroordeeld.


Mailchimp getroffen door tweede hack

Mailchimp is opnieuw getroffen door een cyberaanval. Het is de tweede keer dat cybercriminelen toegang kregen tot interne accounts. In augustus 2022 kreeg het emailmarketingplatform op vergelijkbare wijze te maken met een aanval waarbij data van klanten werd buitgemaakt. Volgens een verklaring van het emailmarketingplatform is op 11 januari een inbreuk ontdekt, waarbij één van de interne tools van de Mailchimp klanten- en accountondersteuning werd misbruikt. De aanvaller of aanvallers hadden toegang tot deze tool gekregen via een social engineering-aanval op medewerkers voor het verkrijgen van inloggegevens. Via de toegang tot de tool werd uiteindelijk toegang gezocht tot 133 Mailchimp-accounts. Andere eigen Mailchimp- of klantenaccounts zouden niet door de aanval zijn getroffen. Hoelang de cybercriminelen actief zijn geweest, is niet bekend. Eén van de getroffen accounts is die van het open-source e-commerceplatform WooCommerce. In een bericht aan klanten zou het e-commerceplatform hebben gemeld dat door de inbreuk mogelijk de namen van klanten, de webadressen van hun online winkels en hun e-mailadressen zijn gelekt. Wachtwoorden en andere gevoelige data zouden niet zijn buitgemaakt. De aanval op Mailchimp heeft overeenkomsten met een eerdere aanval uit augustus 2022 op het emailmarketingplatform. Ook bij die aanval kregen cybercriminelen toegang tot Mailchimp-accounts via een social engineering-aanval op Mailchimp-medewerkers. Bij die inbreuk werden in totaal 214 accounts getroffen, vooral cryptocurrency en andere financieel gerelateerde accounts. Het ging onder meer om cloudgigant DigitalOcean. Naar aanleiding van de recente inbreuk heeft Mailchimp aangekondigd extra maatregelen te nemen om herhaling te voorkomen. Uit voorzorg zijn de getroffen accounts tijdelijk op non-actief gesteld. Wel is het opmerkelijk dat het emailmarketingplatform nu opnieuw aangeeft extra maatregelen te nemen, iets dat ook in augustus 2022 werd aangekondigd.


Ransomware-aanval raakt duizend schepen

Een ransomware-aanval op de maritieme software van DNV raakt zo'n duizend schepen, zo heeft het bedrijf laten weten. DNV houdt zich onder andere bezig met scheepsclassificatie, offshore classificatie, maritieme adviesdiensten en maritieme software. Het gaat dan specifiek om ShipManager, een vlootmanagementsysteem. Klanten van DNV kunnen zo de technische, operationele en compliance aspecten met betrekking tot scheep- en vlootbeheer overzien. De servers van ShipManager werden op 7 januari getroffen door een ransomware-aanval. Daarop besloot DNV de servers uit te schakelen. Dit heeft als gevolg dat schepen alleen nog de offline functionaliteiten van de ShipManager-software die aan boord is kunnen gebruiken. De online en cloudfunctionaliteit zijn niet beschikbaar. Volgens DNV heeft de ransomware-aanval geen gevolgen voor het functioneren van de schepen. In totaal zijn zeventig klanten met zo'n duizend schepen door de ransomware-aanval getroffen. Al deze klanten zijn inmiddels ingelicht over het nemen van mitigerende maatregelen, afhankelijk van het soort gegevens dat ze naar het ShipManager-platform hadden geüpload. Details over de ransomware-aanval, zoals hoe die kon plaatsvinden, zijn niet gegeven. DNV claimt dat meer dan zevenduizend schepen van driehonderd klanten gebruikmaken van de maritieme software.


Cybercriminelen plaatsen valse websites voor gratis software downloads

Hackers zetten valse websites op voor populaire gratis en open-source software om kwaadaardige downloads te promoten via advertenties in de zoekresultaten van Google. Ten minste één prominente gebruiker in de cryptocurrency scene is het slachtoffer geworden van de campagne, en beweert dat hackers hierdoor al hun digitale crypto-activa konden stelen, samen met de controle over hun professionele en persoonlijke accounts. In het weekend werd cryptobeïnvloeder Alex, beter bekend onder zijn online persona NFT God, gehackt na het lanceren van een valse executable voor de Open Broadcaster Software (OBS) video-opname en live streaming software die ze hadden gedownload van een Google-advertentie in de zoekresultaten.


Sophos firewall-apparaten kwetsbaar voor RCE-aanvallen

Meer dan 4.000 Sophos Firewall-apparaten met toegang tot internet zijn kwetsbaar voor aanvallen gericht op een kritieke kwetsbaarheid voor remote code execution (RCE). Sophos onthulde dit code-injectiefout (CVE-2022-3236), gevonden in Sophos Firewall's User Portal en Webadmin, in september en bracht ook hotfixes uit voor meerdere Sophos Firewall versies (officiële fixes werden drie maanden later uitgegeven, in december 2022). Het bedrijf waarschuwde destijds dat de RCE-bug in het wild werd uitgebuit bij aanvallen tegen organisaties uit Zuid-Azië. De hotfixes van september rolden uit naar alle getroffen instanties (v19.0 MR1/19.0.1 en ouder) omdat automatische updates standaard zijn ingeschakeld - tenzij een beheerder de optie heeft uitgeschakeld. Sophos Firewall-instanties met oudere productversies moesten handmatig worden geüpgraded naar een ondersteunde versie om de CVE-2022-3236 hotfix automatisch te ontvangen. Beheerders die de kwetsbare software niet kunnen patchen, kunnen het aanvalsoppervlak ook verwijderen door WAN-toegang tot het gebruikersportaal en Webadmin uit te schakelen.


Avast brengt gratis BianLian ransomware decryptor uit

Beveiligingssoftwarebedrijf Avast heeft een gratis decryptor voor de BianLian ransomware-stam vrijgegeven om slachtoffers van de malware te helpen vergrendelde bestanden te herstellen zonder de hackers te betalen. De beschikbaarheid van een decryptor komt ongeveer zes maanden na verhoogde activiteit van BianLian ransomware in de zomer van 2022, toen de dreigingsgroep meerdere high-profile organisaties binnenviel. Avast's decryptietool kan alleen slachtoffers helpen die zijn aangevallen door een bekende variant van de BianLian ransomware. Als de hackers een nieuwe versie van de malware gebruiken die onderzoekers nog moeten vangen, zal de tool op dit moment niet helpen. Avast zegt echter dat de BianLian decryptor een werk in uitvoering is en dat de mogelijkheid om meer stammen te ontgrendelen binnenkort zal worden toegevoegd.


Klanten van NortonLifeLock gewaarschuwd voor cyberaanval

Aanvallers zijn erin geslaagd binnen te dringen bij diverse Norton Password Manager-accounts. De aanval vond plaats via credential stuffing, waarbij aanvallers met eerder uitgelekte inloggegevens van andere diensten en websites proberen in te loggen. Hiervoor waarschuwt Gen Digital, moederbedrijf van NortonLifeLock, in een brief die is gedeeld met de openbaar aanklager in het Amerikaanse Vermont. De aanvallers zouden data via derden partijen in handen hebben gekregen en deze data hebben gebruikt om in te loggen op Norton Password Manager-accounts. Deze werkwijze wordt ook wel credential stuffing genoemd en speelt in op het feit dat veel gebruikers online hetzelfde wachtwoord gebruiken voor meerdere accounts. De aanval is op 12 december ontdekt, nadat Gen Digital een ongebruikelijke hoeveelheid onsuccesvolle inlogpogingen detecteerden. Op basis van intern onderzoek concludeerde het bedrijf op 22 december dat op 1 december een aanval is opgezet. "Onze eigen systemen zijn niet gecompromitteerd. We geloven echter sterk data een ongeautoriseerde partij het gebruikersnaam en wachtwoord van jouw account weet en heeft gebruikt", waarschuwt Gen Digital gebruikers. "Deze combinatie van gebruikersnaam en wachtwoord is mogelijk ook bekend bij anderen." Het is onbekend hoeveel accounts zijn getroffen. Gen Digital waarschuwt dat indien aanvallers toegang hebben weten te krijgen tot informatie uit persoonlijke kluizen, dit kan leiden tot meer cyberaanvallen. Met name gebruikers die voor hun Norton-account en en hun hoofdwachtwoord voor de Norton Password Manager hetzelfde wachtwoord gebruiken zijn kwetsbaar, waarschuwt het bedrijf.


75 procent Benelux-bedrijven geconfronteerd met ransomware-aanval

Slechts 25 procent van de Benelux-bedrijven had het afgelopen jaar niét te maken met een ransomware-aanval, blijkt uit cijfers van Veeam. Het gros kreeg zelfs met meer dan één aanval te kampen, al impliceert dat niet dat het om succesvolle aanvallen ging. “Wie geen extreem performante back-up heeft, kan net zo goed zelf z’n bedrijf afbranden.” Of zoiets toch: back-up specialist Veeam deelt maar al te graag stevige cijfers wanneer het op back-up en herstel aankomt. Het bedrijf heeft natuurlijk een punt, al is het jaarlijkse Data Protection Trends Report wel van voldoende zout voorzien. Zo lezen we dat maar liefst 82 procent van de bedrijven zit met een Availability Gap: een discrepantie tussen hoe snel systemen na een aanval hersteld kunnen worden door IT en hoe snel ze idealiter terug zouden zijn. Dat klinkt rampzalig maar in mensentaal kunnen we zoiets ook omschrijven als een kosten-batenanalyse of een risico-inschatting. Liefst is je business geen seconde offline na een aanval maar dat kost kruiwagens vol poen, dus slik je in sommige (vele) gevallen het risico en ga je voor een iets langer herstel na een aanval dat dan ongemak met zich meebrengt. Zo dramatisch is dat niet: wie een goede back-up heeft die hersteld kan worden, is naar hedendaagse normen goed bezig, zelf al duurt dat wat langer dan gewenst. Gap of niet, Veeam ziet wel dat bedrijven hun budget voor databescherming optrekken. Gemiddeld zou het om een toename van 6,5 procent gaan: meer dan de gemiddelde stijging over het hele IT-domein. 85 procent van de organisaties zou het databeschermingsbudget doen groeien. Dat een goede beschermingsstrategie belangrijk is, mag intussen wel duidelijk zijn. De gevolgen van een succesvolle ransomware-aanval zijn intussen (hopelijk) wel gekend. Veeam stelt op basis van het rapport vast dat 85 procent van de organisaties wereldwijd het afgelopen jaar geconfronteerd werden met een aanvalspoging. In de Benelux zijn de cijfers iets anders maar toch nog hoog. 75 procent van de bevraagde bedrijven werd geconfronteerd met een ransomware-aanval. Bij 24 procent ging het om één aanval, 39 procent kreeg twee of drie aanvallen te verwerken en tien procent vier of meer. 32 procent geeft aan dat ransomware en de bescherming daartegen de grootste belemmering zijn voor digitale transformatieplannen. Veeam baseert zich voor de cijfers uit het rapport op een bevraging van 265 Benelux-respondenten, tegenover 4.200 respondenten voor het onderzoek wereldwijd. De belangrijkste conclusie uit het rapport is dat ransomware aan belang toeneemt. De aanvallen zijn een erg voorname bron van inkomsten voor criminelen. Voorkomen is beter dan genezen, maar geen beveiliging is onfeilbaar. Veeam heeft in dat opzicht gelijk dat een goede databeschermingsstrategie essentieel is. Buzzwords zoals Availability Gap betekenen in dat opzicht niet zo veel, maar zorg er wel voor dat je back-ups hebt die zijn afgeschermd van je omgeving zodat hackers ze niet mee kunnen versleutelen, weet hoe je je omgeving moet herstellen en ook hoe lang dat duurt. Wordt je slachtoffer, dan kan je eventuele downtime waarschijnlijk wel verkroppen, totdat zaken als facturatie er langer uitliggen dan je cashflow toelaat. Een back-up strategie die daar geen rekening mee houdt, is geen bruikbare strategie.


CircleCI geeft meer info over hack, klantendata gestolen

CircleCI heeft meer openheid gegeven over een cyberaanval in december 2022 waarbij klantendata is ontvreemd. Bij de aanval waarbij session tokens werden misbruikt, zijn onder meer encryptiesleutels en andere gegevens van enkele klanten buitgemaakt. In een uitgebreide blogpost heeft de DevOps-specialist, bij monde van CTO Rob Zuber, meer duidelijkheid gegeven over een inbreuk die in december van het vorige jaar plaatsvond. De cybercriminelen hadden daarbij tot 4 januari van dit jaar toegang tot de gegevens. De oorzaak van de inbreuk is een laptop van een medewerker die met malware was geïnfecteerd. Met deze malware, die niet door de antivirussystemen van het bedrijf werden herkend, kregen de cybercriminelen toegang tot de sessietokens waarmee de medewerker toegang bleef krijgen tijdens het gebruik van bepaalde applicaties. Dit ondanks two-factor authenticatie voor de toegang. De cybercriminelen konden vervolgens dezelfde toegang krijgen tot de applicaties als de getroffen medewerker, zonder in te moeten loggen of de two-factor authenticatie te moeten gebruiken. Meer expliciet ging het om toegang tot een gedeelte van de productiesystemen waarin onder meer klantendata was opgeslagen. Hierdoor was het mogelijk data te stelen uit een subset van databases en opslaglocaties, waaronder variabelen uit klantenomgevingen, tokens en encryptiesleutels. Volgens CircleCI is het lek in de systemen inmiddels gedicht en zijn verschillende stappen genomen om een herhaling van het incident te voorkomen. Het bedrijf adviseert gebruikers hun wachtwoorden en andere inloggevens te veranderen. Het gaat hierbij vooral om gegevens als persoonlijke en projectgebaseerde API tokens, Bitbucket OAuth- en GitHub OAut-tokens.


Ransomware-aanval raakt Royal Mail en tal van Britse bedrijven

De ransomware-aanval op de Royal Mail raakt ook tal van Britse bedrijven, aangezien die al een week lang geen post en pakketten via het Britse postbedrijf kunnen versturen en het ook onbekend is wanneer de dienstverlening wordt hervat. De aanval deed zich op 10 januari voor en heeft voor zover bekend zes magazijnen van Royal Mail geraakt, waaronder het globale distributiecentrum in Heathrow. Bij de aanval zijn de machines versleuteld die worden gebruikt voor het printen van de verzendlabels voor het versturen van pakketten naar internationale bestemmingen. De Royal Mail heeft al dagen geen updates gegeven. Het postbedrijf spreekt nog steeds over een "cyberincident" en roept klanten op om geen post of pakketten naar internationale bestemmingen te sturen. Wanneer de problemen zijn verholpen of workarounds beschikbaar zijn laat Royal Mail niet weten. "Zoals met alle technische problemen moesten we een hoop zaken uitsluiten dat we alleen nauwkeurige informatie deelden", aldus een woordvoerder van het postbedrijf tegenover de BBC. Meerdere media melden dat op meerdere locaties van de Royal Mail de printers losgeldboodschappen van de verantwoordelijke ransomwaregroep printten. Verschillende bedrijven die van het Britse postbedrijf afhankelijk zijn voor het versturen van poststukken doen tegenover de BBC hun verhaal en hekelen vooral het uitblijven van verdere informatie, zodat ze weten waar ze aan toe zijn. Naar schatting bevinden zich een half miljoen pakketten in limbo, waardoor getroffen bedrijven hun klanten nu moeten vergoeden of negatieve recensies op websites krijgen.


Verstappen niet meer terug op virtueel Le Mans door DDoS aanval 

Team Redline-directeur Atze Kerkhof baalt enorm van de verbindingsproblemen van Max Verstappen tijdens de virtuele 24 uur van Le Mans, zo laat hij weten aan de Nederlandse tak van Motorsport.com. Verstappen viel zondagochtend uit nadat hij twee keer uit de server van het spel rFactor 2 werd gegooid, terwijl hij volop in gevecht was om de overwinning én de titel. Verstappen heeft nu drie keer meegedaan aan het online-evenement en is drie keer uitgevallen met soortgelijke problemen. 'Daar kan de organisatie in zekere zin niets aan doen. Dat ligt aan rFactor 2', stelt Kerkhof. 'Maar elk jaar roepen ze weer dat ze het gefixt hebben. En wat gebeurt er afgelopen weekend: we hebben twee rode vlaggen door servercrashes.' In eerste instantie ging het zaterdagavond om DDoS-aanvallen, maar later ging het op een nieuwe server weer mis. Daarbovenop kwamen de problemen van Verstappen. Zonde, vindt Kerkhof, want de Nederlander stak na terugkomst van zijn vakantie enorm veel moeite in de wedstrijd. 'En dat was best stressvol voor hem, omdat hij maar heel weinig dagen had om zich echt goed voor te bereiden en hij zichzelf altijd ontzettend veel druk oplegt om te presteren in een race als deze. Daarbij hebben we echt ons best gedaan om de competitie te promoten, waarbij we Max ook vol hadden ingezet.' Waar Verstappen zich met name aan ergerde, was het feit dat hij na zijn problemen de verloren tijd niet terugkreeg van de organisatie. Daarvoor moesten eerst vier auto's tegelijk disconnecten, maar in het geval van Verstappen ging het om twee wagens. Kerkhof had liever gezien dat van die regel werd afgeweken. 'Want we hadden twee rode vlaggen en over de hele race genomen misschien wel vijftig disconnections. Dan is geen enkele regel logisch meer. Dan kun je niet langer afgaan op een regel die gemaakt is voor een situatie waarin slechts heel sporadisch iemand van de server wordt geknald.' Kerkhof denkt dat we Verstappen niet meer terug zullen zien op het evenement. Zelf zei de F1-kampioen dat ook al. 'Het kostte de afgelopen jaren al moeite om hem te motiveren voor dit evenement, omdat er elke keer wel iets aan de hand was. Vorig jaar maakte hij zelf een fout, dus dit jaar voelde voor hem als het moment om het goed te maken. We hadden opnieuw alles voor elkaar, lagen eerste en waren onbedreigd op weg naar de winst. Maar vervolgens was er weer zo’n klap. Dus nu heeft hij echt zoiets van: stik er maar in, het is mooi geweest. Dankzij rFactor 2 is dit evenement nu zijn grootste ambassadeur kwijt, en dat is ontzettend jammer.' Dat dergelijke problemen nog altijd voorkomen bij de virtuele 24 uur van Le Mans, vindt Kerkhof onacceptabel. 'Ik hoop dat ze nu wakker zijn geworden bij rFactor 2 en het oplossen voor de volgende race. We gaan ervan uit dat ze voor volgend jaar een oplossing hebben gevonden en we als Team Redline gewoon weer meedoen. Maar dan dus zonder Max helaas', aldus de directeur van het esports-team van de Red Bull Racing-rijder.


ICT Scheppersinstituut in Belgie is slachtoffer van een cyberaanval

Alle ICT-infrastructuur van de school ligt momenteel plat. “Momenteel is de school, samen met externe partners, aan het werk om alle geleden schade te inventariseren en te herstellen. Via de website zullen ze, zodra deze operationeel is, antwoorden bieden aan externen onder de vorm van een FAQ-lijst. Dankzij de geïmplementeerde laptops waarover de leerlingen beschikken, kunnen alle lessen, mits enkele praktische ongemakken, gewoon doorgaan”, meldt de directie. “De school heeft de laatste jaren enorm ingezet op digitalisering en de nodige digitale dienstverlening hierrond. Ondanks de inzet die de school neemt rond cyberveiligheid kunnen kwetsbaarheden jammer genoeg nooit worden uitgesloten. Een onderwijsinstelling heeft ook onvoldoende budgetten om een gelijkaardige beveiliging op te zetten zoals grote multinationals dit kunnen doen. Het uitvoeren van een degelijk en doordacht cyberveiligheidsprogramma kost niet enkel geld, maar ook enorm veel tijd. Deze tijd zal in de komende periode gebruikt worden om alles te herstellen maar ook om de cyberveiligheid onder de loep te nemen en sterker uit te bouwen”, aldus de school. “Aangezien de bestaande infrastructuur beschadigd is, zal de herstelperiode geruime tijd in beslag nemen. De school vraagt dan ook begrip van leerlingen, ouders en personeel. We doen er alles aan om de digitale dienstverlening zo spoedig mogelijk terug op te starten. De school wenst zich te verontschuldigen voor het tijdelijk ongemak dat deze situatie met zich meebrengt, maar is er van overtuigd dat ze hier alleen maar sterker zal uitkomen.” 


Royal Mail worstelt nog met LockBit ransomware-aanval

De Royal Mail is nog altijd niet hersteld van de grote ransomware-aanval waardoor het vorige week werd getroffen, wat inhoudt dat het Britse postbedrijf geen internationale post en pakketten kan versturen. The Times meldde afgelopen vrijdag dat een team van meer dan honderd mensen bezig is om een oplossing te vinden, maar de statuspagina van de Royal Mail laat weten dat het nog altijd geen post internationaal kan versturen en roept mensen op om geen pakketten op de post te doen. In totaal zijn zes magazijnen van het postbedrijf getroffen, waaronder het wereldwijde distributiecentrum in Heathrow. De Royal Mail is door de Britse overheid aangewezen als vitale infrastructuur. De aanval is uitgevoerd met de Lockbit-ransomware. Deze groep liet eerder weten dat het geen vitale infrastructuur aanvalt. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Onlangs werd ook het grootste kinderziekenhuis van Canada getroffen door de Lockbit-ransomware. Toen liet de groep weten dat de verantwoordelijke partner de regels had overtreden en kreeg het ziekenhuis een gratis decryptietool. The Record heeft een interview met security-analist Jon DiMaggio, die onderzoek naar de vermeende leider van de Lockbit-groep deed. Hoe de Royal Mail besmet kon raken is niet bekend.


DevOps-platform CircleCI gehackt via malware

De hack bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd. Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023. In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen. Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases. Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen. Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten