Overzicht van slachtoffers cyberaanvallen week 16-2023

Gepubliceerd op 24 april 2023 om 15:00

Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week zijn er verschillende cyberaanvallen uitgevoerd op zowel nationale als internationale organisaties. Twee Nederlandse organisaties zijn het slachtoffer geworden van cybercriminaliteit: Joriszorg door de LockBit groepering en Vopak tankopslag door BlackCat. Daarnaast zijn Noord-Koreaanse cybercriminelen verantwoordelijk voor een grootschalige supplychain-aanval op voip-leverancier 3CX, waarbij cruciale infrastructuurorganisaties in Europa en de Verenigde Staten zijn getroffen. Ook is de Europese luchtverkeersorganisatie Eurocontrol aangevallen door de pro-Russische groep Killnet, die een DDoS-aanval uitvoerde en wachtwoorden lekte. Russische cybercriminelen hebben zich tevens gericht op Europa en de Verenigde Staten door misbruik te maken van ongepatchte Cisco-routers. Tot slot is er een LockBit-ransomware ontdekt die specifiek gericht is op macOS-systemen. Hieronder vindt u het volledige overzicht van de cyberaanvallen van de afgelopen week.


Laatste wijziging op 24-april-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
norton.com.ar LockBit norton.com.ar Argentina Food Products 23-apr.-23
NETISGROUP BlackCat (ALPHV) netisgroup.net Mauritius Communications 23-apr.-23
ECCI BlackCat (ALPHV) www.ecci.com USA Engineering Services 23-apr.-23
WestcoastSmile Dental Studio Medusa www.westcoastsmile.com Canada Health Services 23-apr.-23
MKU BlackCat (ALPHV) mku.eu India Aerospace 23-apr.-23
qcssinc.com BlackCat (ALPHV) qcssinc.com USA Business Services 23-apr.-23
Easy Automation BlackByte www.easy-automation.com USA Machinery, Computer Equipment 23-apr.-23
floraalpina.ch LockBit floraalpina.ch Switzerland Lodging Places 23-apr.-23
Pembina County Memorial Hospital AvosLocker cavalierhospital.com USA Health Services 23-apr.-23
Groupe Gambetta PLAY www.groupegambetta.fr France Real Estate 22-apr.-23
UECC PLAY www.uecc.com Norway Water Transportation 22-apr.-23
stuertz.com LockBit stuertz.com Germany Machinery, Computer Equipment 22-apr.-23
Neptune Lines Vice Society www.neptunelines.com Greece Transportation Services 22-apr.-23
Yellow Pages Black Basta www.yellowpages.ca Canada Miscellaneous Services 22-apr.-23
GKS Hydraulik Royal www.gks-hydraulik.com Germany Machinery, Computer Equipment 22-apr.-23
Daregal BlackCat (ALPHV) www.daregal.fr France Food Products 21-apr.-23
Groupe ACTIVA BlackCat (ALPHV) www.group-activa.com Cameroun Insurance Carriers 21-apr.-23
Slade Shipping BlackCat (ALPHV) sladeglobal.com USA Transportation Services 21-apr.-23
Saville Row BlackCat (ALPHV) savilerowco.com UK Apparel And Accessory Stores 21-apr.-23
AUT-TECH-GROUP.COM CL0P aut-tech-group.com Germany Machinery, Computer Equipment 21-apr.-23
Classic Stripes Pvt BlackCat (ALPHV) www.classicstripes.com India Transportation Equipment 21-apr.-23
Global Polymers BlackCat (ALPHV) www.globalpolymerscorp.com USA Rubber, Plastics Products 21-apr.-23
NAIVAS BlackCat (ALPHV) naivas.online Kenya Merchandise Stores 21-apr.-23
Astarc Group BlackCat (ALPHV) astarc.com India Transportation Equipment 21-apr.-23
VOPAK BlackCat (ALPHV) www.vopak.com Netherlands Electric, Gas, And Sanitary Services 21-apr.-23
Albert Ziegler BlackCat (ALPHV) www.ziegler.de Germany Transportation Equipment 21-apr.-23
Cementos Progreso BlackCat (ALPHV) www.cempro.com Guatemala Wholesale Trade-durable Goods 21-apr.-23
Wynn-Reeth Karakurt www.wynn-reeth.com USA Health Services 21-apr.-23
Banco Comercial do Huambo BlackCat (ALPHV) www.bch.co.ao Angola Depository Institutions 21-apr.-23
Eastern Cape Gambling Board BlackCat (ALPHV) www.ecgb.org.za South Africa Membership Organizations 21-apr.-23
Lisa Logística BlackCat (ALPHV) lisalog.com.br Brazil Transportation Services 21-apr.-23
JK Residential Services BlackCat (ALPHV) jkrsi.com USA Real Estate 21-apr.-23
CA de Seguros La Occidental BlackCat (ALPHV) www.laoccidental.com Venezuela Insurance Carriers 21-apr.-23
sasa.com BlackCat (ALPHV) sasa.com Hong Kong Miscellaneous Retail 21-apr.-23
pkffinconta.ro LockBit pkffinconta.ro Romania Accounting Services 21-apr.-23
soapro.ao LockBit soapro.ao Angola Construction 21-apr.-23
soshin.co.jp LockBit soshin.co.jp Japan Electronic, Electrical Equipment, Components 21-apr.-23
ibp.com.br LockBit ibp.com.br Brazil Food Products 21-apr.-23
tubosreunidosgroup.com LockBit tubosreunidosgroup.com Spain Metal Industries 20-apr.-23
Insurance Agency Marketing Services BlackCat (ALPHV) www.iamsinc.com USA Insurance Carriers 20-apr.-23
Laragh Courseware AvosLocker www.laragh.com South Africa Educational Services 20-apr.-23
I*** *****Y ******* BianLian Unknown USA Unknown 20-apr.-23
L****** H********* BianLian Unknown Italy Health Services 20-apr.-23
L******** BianLian Unknown USA IT Services 20-apr.-23
M**** **** BianLian Unknown USA Health Services 20-apr.-23
M***** *****-******* BianLian Unknown Canada Lodging Places 20-apr.-23
P****** ****** BianLian Unknown UK Educational Services 20-apr.-23
S****** ********** ******** M****** ********** Inc. BianLian Unknown USA Health Services 20-apr.-23
V******* ****** ** ************ BianLian Unknown USA Health Services 20-apr.-23
Urban Import CryptNet www.urbanimport.com USA Miscellaneous Retail 19-apr.-23
Export Hub CryptNet www.exporthub.com USA Miscellaneous Retail 19-apr.-23
intuview.com LockBit intuview.com Israel IT Services 19-apr.-23
crossinggroup.com LockBit crossinggroup.com Canada Construction 19-apr.-23
***** ***** M****** **** BianLian Unknown USA Health Services 19-apr.-23
A******* ******* ******** BianLian Unknown USA Construction 19-apr.-23
B****** ***** ***** BianLian Unknown UK Lodging Places 19-apr.-23
C***** ************ ******* BianLian Unknown India IT Services 19-apr.-23
C******* **N*** BianLian Unknown USA IT Services 19-apr.-23
D*** ***** S***** ******** BianLian Unknown USA Educational Services 19-apr.-23
E****** *********** BianLian Unknown USA Health Services 19-apr.-23
E******* BianLian Unknown Unknown IT Services 19-apr.-23
G********* ****** **** BianLian Unknown UK Real Estate 19-apr.-23
H***** ***** BianLian Unknown Sweden Health Services 19-apr.-23
jaco.com LockBit jaco.com USA Gasoline Service Stations 19-apr.-23
gizavc.com LockBit gizavc.com Israel Holding And Other Investment Offices 19-apr.-23
garrotbros.com LockBit garrotbros.com USA Construction 19-apr.-23
The Spooner Risk Control Black Basta spoonerinc.com USA Insurance Carriers 19-apr.-23
DOREL Industries Black Basta www.dorel.com Canada Miscellaneous Manufacturing Industries 19-apr.-23
Berlin Packaging Black Basta www.berlinpackaging.com USA Rubber, Plastics Products 19-apr.-23
bancodevenezuela.com LockBit bancodevenezuela.com Venezuela Depository Institutions 19-apr.-23
sommer.eu LockBit sommer.eu Germany Electronic, Electrical Equipment, Components 19-apr.-23
sbhc.us LockBit sbhc.us USA Health Services 19-apr.-23
7G Distributing BlackCat (ALPHV) www.7gdistributing.com USA Wholesale Trade-non-durable Goods 18-apr.-23
Huissiers PLAY www.huissiers-cambron.com France Miscellaneous Services 18-apr.-23
Coldiretti PLAY www.coldiretti.it Italy Membership Organizations 18-apr.-23
Bang IT Solutions PLAY www.bangitsolutions.com Australia IT Services 18-apr.-23
Corrib Oil PLAY www.corriboil.com Ireland Gasoline Service Stations 18-apr.-23
Structab AB (MegTax) PLAY structab.se Sweden Accounting Services 18-apr.-23
Mainstream Engineering Royal mainstream-engr.com USA Aerospace 18-apr.-23
City of Ballwin Royal ballwin.mo.us USA General Government 18-apr.-23
gentex.com Dunghill Leak gentex.com USA Transportation Equipment 18-apr.-23
Western Digital BlackCat (ALPHV) www.westerndigital.com USA Machinery, Computer Equipment 18-apr.-23
MEADE TRACTOR Black Basta www.meadetractor.com USA Miscellaneous Retail 18-apr.-23
Esperanza Viva Jóvenes de México BlackByte www.evmexico.org Mexico Educational Services 18-apr.-23
Gulliver International BlackByte www.glv.co.jp Japan Automotive Dealers 18-apr.-23
Saobacdau Technologies Group BlackByte www.saobacdau.vn Vietnam IT Services 18-apr.-23
Ozarks Community Hospital Karakurt www.ochonline.com USA Health Services 18-apr.-23
Lakeland Community College Vice Society lakelandcc.edu USA Educational Services 18-apr.-23
Unique Imaging Trigona uniqueimaging.com USA Health Services 18-apr.-23
thesoftwareconsultinggroup.com LockBit thesoftwareconsultinggroup.com Canada IT Services 18-apr.-23
Amouage Trigona www.amouage.com Oman Miscellaneous Retail 17-apr.-23
Winter Park Construction Trigona www.wpc.com USA Construction 17-apr.-23
Office Notarial de Baillargues Trigona www.onb-france.com France Legal Services 17-apr.-23
Albany Clinic Trigona www.albanyclinic.com.au Australia Health Services 17-apr.-23
McKinney Trailers Trigona www.mckinneytrailers.com USA Miscellaneous Retail 17-apr.-23
hkiff.org.hk LockBit hkiff.org.hk Hong Kong Miscellaneous Services 17-apr.-23
Pharm-Pacc Corporation Karakurt pharmpacc.com USA Health Services 17-apr.-23
pinelandschool.org LockBit pinelandschool.org USA Educational Services 17-apr.-23
joriszorg.nl LockBit joriszorg.nl Netherlands Health Services 17-apr.-23
SPARTAN Light Metal Products Inc Unsafe spartanlmp.com USA Fabricated Metal Products 17-apr.-23
validcertificadora.com.br CrossLock validcertificadora.com.br Brazil IT Services 17-apr.-23
brl.fr LockBit In progress In progress In progress 17-apr.-23
alpine4u.com LockBit alpine4u.com USA Wholesale Trade-durable Goods 17-apr.-23
Uniondale School District Medusa district.uniondaleschools.org USA Educational Services 17-apr.-23
Swanson Group Royal www.swansongroup.biz USA Lumber And Wood Products 17-apr.-23
Moon Capital Royal www.mooncapital.com USA Holding And Other Investment Offices 17-apr.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
VOPAK BlackCat (ALPHV) www.vopak.com Netherlands Electric, Gas, And Sanitary Services 21-apr.-23
joriszorg.nl LockBit joriszorg.nl Netherlands Health Services 17-apr.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


Kritieke Infrastructuurorganisaties in Europa en VS Getroffen door 3CX-Cyberaanval: Symantec Onderzoekt Noord-Koreaanse Connectie

De 3CX-cyberaanval heeft twee kritieke infrastructuurorganisaties geraakt in Europa en de VS. Dat ontdekte het Threat Hunter-team van Symantec na onderzoek. Het gaat om organisaties die actief zijn in de energiesector. Daarnaast zijn er ook twee organisaties in de financiële sector gekraakt. Alle aanvallen zijn uitgevoerd met een gecompromitteerde versie van de financiële X_Trader-software. Indien slachtoffers de Setup.exe uitvoeren, kunnen de aanvallers, die volgens Symantec gelieerd zijn aan Noord-Korea, een modulair achterdeurtje installeren in de systemen van de gedupeerden. Daarmee kan de malware kwaadaardige shellcode uitvoeren of een communicatiemodule plaatsen in Chrome-, Firefox- en Edge-browsers, legt Symantec uit. Omdat de ontwikkelaar van de X_Trader-software de handel in futures, waaronder energiefutures, mogelijk maakt, verwacht Symantec dat de aanval een financieel motief heeft. Het Threat Hunter-team noemt de inbreuk op de cruciale organisaties zorgwekkend, omdat door Noord-Korea gesteunde hackersgroepen bekendstaan om hun cyberspionage. Symantec sluit dus niet uit dat de gekraakte organisaties later verder uitgebuit worden. Om welke twee kritieke infrastructuurorganisaties het precies gaat wordt niet genoemd. Een van de twee bevindt zich in de VS, en de andere in Europa. Beide zijn 'energieleveranciers die energie opwekken en leveren aan het net', verduidelijkt het team tegen Bleeping Computer. Omdat er naast 3CX dus al ten minste vier andere organisaties door de software zijn gehackt, noemt Symantec het zeer waarschijnlijk dat er ook nog andere partijen de dupe zijn. "De aanvallers achter deze breaches hebben duidelijk een succesvol sjabloon voor supplychainaanvallen en nieuwe, gelijkwaardige aanvallen kunnen daardoor niet worden uitgesloten." Eind maart werd duidelijk dat aanvallers de desktopclient van 3CX misbruikten om malware te verspreiden via een supplychainaanval. De malware maakte het mogelijk gesprekken en voicemailberichten af te luisteren. 3CX is een VoIP-leverancier met klanten zoals McDonald's en Coca-Cola, maar ook de Britse gezondheidssector.


Dit is hoe Rusland digitaal oorlog voert tegen Oekraïne • RTLZ zoekt uit


Tankopslagbedrijf Vopak slachtoffer van cybercriminelen met gijzelsoftware

Verschillende partijen die hackersgroepen in de gaten houden melden dat tankopslagbedrijf Vopak slachtoffer is geworden van een aanval met gijzelsoftware. Daarbij zou kritische bedrijfsinformatie buit zijn gemaakt, onder meer over de tankinfrastructuur en systemen van het bedrijf. Vopak was vrijdagavond niet direct bereikbaar voor commentaar. Vopak is bekend van onder meer de opslag van fossiele brandstoffen als olie en vloeibaar gemaakt natuurlijk gas (lng). Het beursgenoteerde bedrijf, dat zijn geschiedenis kan terugvoeren tot 1616, is in Nederland actief met terminals in de Rotterdamse haven en in de Eemshaven in Groningen. Daarnaast is het bedrijf in tientallen landen wereldwijd actief. Gijzelsoftware of ransomware wordt door hackers gebruikt om systemen van bedrijven te blokkeren. Als zij niet betalen worden die systemen niet vrijgegeven of wordt buitgemaakte informatie verkocht of openbaar gemaakt. Deze week werd ook bekend dat voetbalbond KNVB slachtoffer was van zo'n hack.


Capita getroffen door cybercriminelen: mogelijke ransomware-aanval leidt tot datalek en verstoring diensten

Capita, één van de grootste dienstverleners van de Britse overheid die onder andere diensten levert voor de gezondheidszorg en de krijgsmacht, heeft gewaarschuwd voor een datalek nadat het eind maart slachtoffer van een "cyberincident" werd. Het cyberincident zou echter een ransomware-aanval zijn. Begin deze maand meldde Capita een "cyberincident" dat voor een verstoring van verschillende interne applicaties zorgde. Details werden echter niet gegeven, maar The Times meldde dat personeel niet meer op systemen kon inloggen. Capita telt 52.000 medewerkers in het Verenigd Koninkrijk, Europa, India en Zuid-Afrika. Het bedrijf levert onder andere logistieke, digitale en supportdiensten aan overheden. Gisteren kwam Capita met een update over het incident, waarin het laat weten dat bijna alle getroffen "client services" zijn hersteld. Daarnaast stelt het bedrijf dat de aanval vier procent van alle eigen servers raakte en er aanwijzingen zijn dat er gegevens zijn gestolen. Mogelijk gaat het om gegevens van klanten, leveranciers en personeel. Om wat voor soort cyberincident het precies gaat laat Capita niet weten. De aanval werd opgeëist door de criminelen achter de Black Basta-ransomware, lieten onderzoekers Brett Callow en Kevin Beaumont weten. Als bewijs hebben de aanvallers ook verschillende gestolen bestanden van Capita vrijgegeven. Eind vorig jaar werd het moederbedrijf van Makro slachtoffer van de Black Basta-groep.


Cybercriminelen richten zich op Linux-gebruikers met valse vacatures in geraffineerde spearphishing-aanval

Linux-gebruikers zijn het doelwit geworden van een aanval waarbij er een zip-bestand met een zogenaamde vacature wordt verstuurd. Dat stelt antivirusbedrijf ESET in een analyse. Het gaat om een spearphishing-aanval waarbij Linux-gebruikers vermoedelijk via e-mail of LinkedIn een "vacature" voor een positie bij de Britse bank HSBC ontvingen. Het zip-bestand lijkt een pdf-bestand te bevatten, maar is in werkelijkheid geen pdf. De aanvallers hebben een unicode-karakter gebruikt om de bestandsmanager het bestand als een executable te laten behandelen in plaats van een pdf. Bij het direct openen van het bestand via een dubbelklik wordt het dan ook uitgevoerd, aldus ESET. Zodra het bestand wordt geopend zal als afleidingsmanoeuvre een pdf-document via de pdf-viewer van het systeem worden getoond, terwijl in de achtergrond een backdoor vanaf cloudopslagdienst OpenDrive wordt gedownload en uitgevoerd. ESET stelt dat de aanval het werk is van de Lazarus-groep, die verantwoordelijk worden gehouden voor de aanval op Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Volgens de Amerikaanse autoriteiten opereert de groep vanuit Noord-Korea of wordt door het Noord-Koreaanse regime gesteund.


Cybercriminelen misbruiken verlaten WordPress-plug-in als backdoor: honderdduizenden websites in gevaar

Aanvallers gebruiken een "verlaten" WordPress-plug-in als backdoor voor websites, zo meldt securitybedrijf Sucuri. Het gaat om de plug-in Eval PHP die al meer dan tien jaar lang niet door de officiële ontwikkelaar is bijgewerkt en nauwelijks nog werd gedownload, tot drie weken geleden. Sindsdien is de plug-in ruim honderdduizend keer gedownload. Via Eval PHP is het mogelijk om "native PHP-code" aan WordPress-sites toe te voegen. De extensie werd voor het laatst op 22 oktober 2012 bijgewerkt. Sindsdien werd de plug-in nauwelijks nog gedownload, tot 29 maart, toen er opeens zevenduizend downloads op één dag werden geregistreerd. Inmiddels heeft het aantal downloads van de plug-in bijna de 110.000 aangetikt. De stijging van het aantal downloads is te verklaren doordat aanvallers de plug-in op gecompromitteerde WordPress-sites installeren, om vervolgens een script aan de site toe te voegen dat als backdoor fungeert. Volgens Sucuri heeft dit als voordeel dat het eenvoudig voor de aanvallers is om de website opnieuw te infecteren als de eerdere infectie is verwijderd en zo onopgemerkt voor de beheerder te blijven. WordPress-beheerders wordt dan ook opgeroepen om op de aanwezigheid van de Eval PHP-plug-in te controleren.


KNVB is van de Lockbit afpersing site verdwenen?!

Reactie KNVB

Jaap Paulsen, Hoofd Persvoorlichting en PR, meldt in een reactie aan Dutch IT Channel en Dutch IT Leaders: 

"Op dit moment kunnen we niet meer zeggen dan wat er in ons eerdere statement staat en in de FAQ die we gisteren hebben gepubliceerd." Voor de zekerheid:

FAQ cyberinbraak KNVB servers | KNVB

KNVB-servers getroffen door cyberinbraak | KNVB


Cybercriminelen gebruiken Microsoft-driver om beveiligingssoftware uit te schakelen en ransomware uit te rollen

Criminelen maken gebruik van een Microsoft-driver om beveiligingssoftware op systemen uit te schakelen en vervolgens ransomware uit te rollen, zo meldt antivirusbedrijf Sophos. De driver in kwestie is onderdeel van een oudere versie van Microsoft Process Explorer, een tool die informatie geeft over actieve processen op de computer. Process Explorer beschikt over een gesigneerde kerneldriver waarmee het mogelijk is om processen uit te schakelen die zelfs niet door een systeembeheerder zijn uit te schakelen. Om de aanval uit te voeren en beveiligingssoftware via de Process Explorer-driver uit te schakelen moet een aanvaller wel al toegang tot het systeem hebben én over beheerdersrechten beschikken. Normaliter heeft een aanvaller met beheerdersrechten al volledige controle over de machine. Belangrijke processen, zoals endpointbeveiliging, zijn vaak met aanvullende beveiligingsmaatregelen beschermd zodat ze niet eenvoudig zijn uit te schakelen als een aanvaller eenmaal beheerdersrechten heeft. Om deze hindernis te overkomen moet een aanvaller nog hogere rechten krijgen. Iets dat kan via een kerneldriver. Daarmee is de securitysoftware wel uit te schakelen. Het is via de driver niet mogelijk om vanaf een standaardaccount beheerder worden. Dat moet een aanvaller op een andere manier doen, maar dat blijkt in de praktijk meestal geen probleem. Het gebruik van de Process Explorer-driver is al eerder bij aanvallen waargenomen, maar inmiddels maken ook verschillende ransomwaregroepen er gebruik van en is die onder andere bij aanvallen met de LockBit-ransomware ingezet, aldus Sophos.


Cybercriminelen uit Noord-Korea verantwoordelijk voor supplychain-aanval op voip-leverancier 3CX

De supplychain-aanval op voip-leverancier 3CX was mogelijk door een medewerker die zelf slachtoffer van een andere supplychain-aanval werd, waarbij hij een officiële, maar besmette versie van de handelssoftware van Trading Technologies op zijn privécomputer installeerde. Dat laten 3CX en securitybedrijf Mandiant in een update over de aanval weten. Volgens Mandiant is dit de eerste keer dat waarbij het heeft gezien dat de ene supplychain-aanval tot een andere leidt. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben. De desktopapplicatie van 3CX maakt het mogelijk om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Onderzoekers van securitybedrijf Mandiant hebben nu ontdekt hoe de aanvallers bij 3CX wisten binnen te komen. Een 3CX-medewerker had op zijn privécomputer de handelssoftware X_Trader geïnstalleerd. Daarbij had de medewerker de software van de officiële website van leverancier Trading Technologies gedownload. Aanvallers waren er echter in geslaagd om Trading Technologies te compromitteren en konden zo een backdoor aan X_Trader toevoegen. Nadat de privécomputer van de 3CX-medewerker was gecompromitteerd wisten de aanvallers inloggegevens te stelen waarmee ze toegang tot de 3CX-systemen konden krijgen. Twee dagen nadat de privécomputer besmet raakte wisten de aanvallers via de vpn-verbinding van de medewerker op de 3CX-systemen in te loggen. Vervolgens wisten de aanvallers andere inloggegevens te onderscheppen en zich lateraal door het 3CX-netwerk te bewegen, om uiteindelijk de build-omgevingen van de macOS- en Windows-versie van de desktopapplicatie te compromitteren. De toegevoegde malware aan de 3CX-desktopapplicatie verzamelt informatie over het systeem en browsergeschiedenis en stuurt die naar een server van de aanvallers. Bij een zeer select aantal slachtoffers werd vervolgens de Gopuram-backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem krijgen, zo liet antivirusbedrijf Kaspersky eerder weten. De virusbestrijder detecteerde op basis van de eigen telemetriegegevens afkomstig van klanten minder dan tien besmettingen wereldwijd. "We denken dat Gopuram de primaire malware en uiteindelijke payload in de aanvalsketen is", aldus onderzoeker Georgy Kucherin. Deze backdoor is eerder ingezet tegen cryptobedrijven en volgens Kucherin hebben de aanvallers achter de 3CX-aanval een specifieke interesse in cryptobedrijven. Volgens Mandiant is de aanval het werk van een uit Noord-Korea opererende groep.


RWS Holdings getroffen door cyberaanval, maar financiële impact blijft beperkt door snelle reactie op cybercriminelen

Op vrijdag heeft RWS Holdings PLC aangekondigd dat het getroffen is door een cyberaanval. Het bedrijf is gevestigd in Buckinghamshire, Engeland en biedt technologie-ondersteunde taaldiensten aan. RWS heeft echter verzekerd dat de kosten van de aanval naar verwachting niet aanzienlijk zullen zijn voor investeerders. De aanval was gericht op een oude workflowapplicatie voor projectbeheer die een klein deel van de Regulated Industries-divisie ondersteunt. Hoewel de applicatie voornamelijk wordt gebruikt voor projectbeheer van klantwerkzaamheden, bevat het geen inhoud die door klanten is gegenereerd. Na de ontdekking van ongeautoriseerde externe toegang tot de applicatie, heeft RWS onmiddellijk noodprotocollen geactiveerd en de applicatie tijdelijk afgesloten. Beveiligingsdeskundigen zijn ingeschakeld om de omstandigheden en de omvang van het incident te onderzoeken en hebben bevestigd dat de ongeautoriseerde toegang beperkt bleef tot de betreffende applicatie. RWS heeft alle getroffenen van de aanval geïnformeerd en de applicatie veilig hersteld en weer in gebruik genomen. Het bedrijf heeft bevestigd dat geen ander onderdeel van de groep is getroffen. Op basis van de huidige schattingen zullen de financiële gevolgen en extra kosten naar verwachting niet aanzienlijk zijn.


Cybercriminelen leggen systemen Canadese casino's plat

Veertien casino's in de Canadese provincie Ontario blijven gesloten na een cyberaanval op het casinobedrijf Gateway. De systemen van het bedrijf zijn platgelegd, waardoor de casino's tijdelijk dicht moeten blijven. Het is nog niet bekend wanneer ze weer opengaan. Gateway heeft een externe partij ingeschakeld om de oorzaak van de aanval te achterhalen en te onderzoeken welke gegevens er mogelijk zijn gestolen. Het bedrijf heeft verklaard dat er geen aanwijzingen zijn dat persoonlijke gegevens zijn gecompromitteerd. De vakbond Unifor Local 1090, waar het personeel van de casino's onder valt, zegt erop te vertrouwen dat het casino de nodige maatregelen zal nemen om de problemen op te lossen. Het is niet de eerste keer dat een gokbedrijf slachtoffer is van een cyberaanval. In het verleden zijn ook andere gokbedrijven in Azië aangevallen. Vaak is het doel van een dergelijke aanval om het bedrijf af te persen.


Cybercriminelen voeren DDoS-aanval uit op Eurocontrol en lekken wachtwoorden

Pro-Russische hackers hebben Eurocontrol, de organisatie die de luchtverkeersleiding in Europa coördineert, aangevallen. De hackersgroep Killnet heeft een 'Distributed Denial of Service'-aanval uitgevoerd, waarbij massaal veel internetverkeer wordt gestuurd naar bepaalde servers, waardoor websites onbereikbaar worden. De website van Eurocontrol en verschillende websites die door werknemers worden gebruikt, zijn het doelwit van de aanval. Hoewel er geen impact is op het Europese vliegverkeer, zijn er wel problemen met de website van Eurocontrol. Killnet beweert de aanval te hebben uitgevoerd en heeft ook wachtwoorden van Eurocontrol-werknemers gelekt. Het is nog onduidelijk wat de exacte reden van de aanval is en of er losgeld werd gevraagd. Een bericht op Telegram, vermoedelijk afkomstig van Killnet, meldt dat de aanval nog 100 uur zal duren. Er zijn 41 landen lid van Eurocontrol.


Het UWV is meerdere keren het doelwit geweest van cyberaanvallen

In het afgelopen jaar werd het Uitvoeringsinstituut Werknemersverzekeringen (UWV) geconfronteerd met twee ernstige digitale bedreigingen, waaronder een phishingaanval. Deze incidenten benadrukten het belang van een solide cybersecuritystrategie om de gevoelige gegevens van de organisatie en haar klanten te beschermen. Om toekomstige aanvallen te voorkomen en de digitale veiligheid van de organisatie te waarborgen, heeft het UWV besloten om advies in te winnen bij KPMG, een gerenommeerd adviesbureau op het gebied van cybersecurity.

Uwv Jaarverslag 2022 Deel 1
PDF – 2,7 MB 104 downloads

Grootschalige data-inbraak bij zorginstelling Joris Zorg

Hackers zijn erin geslaagd om toegang te krijgen tot de computersystemen van een Brabantse zorginstelling, waardoor er een aanzienlijke hoeveelheid persoonlijke gegevens gestolen is. Deze gevoelige informatie is afkomstig van Joris Zorg, een zorgorganisatie gevestigd in Oirschot. Het is gebleken dat de gestolen gegevens inmiddels online worden gedeeld, wat leidt tot grote bezorgdheid onder de betrokkenen en de bredere gemeenschap. De cyberaanval op Joris Zorg lijkt te zijn uitgevoerd door dezelfde criminele groep die eerder verantwoordelijk was voor een inbraak bij de Koninklijke Nederlandse Voetbalbond (KNVB). Dit wijst op een groeiend probleem in de digitale wereld, waarin cybercriminelen steeds vaker gerichte aanvallen uitvoeren op organisaties om gevoelige informatie te stelen en vervolgens te gebruiken voor afpersing of andere criminele activiteiten. De impact van de cyberaanval op de zorgorganisatie is aanzienlijk, aangezien de gestolen gegevens niet alleen persoonlijke informatie van cliënten en medewerkers bevatten, maar ook medische dossiers en andere vertrouwelijke documenten. Dit roept vragen op over de beveiligingsmaatregelen die zowel door Joris Zorg als door andere zorginstellingen zijn genomen om hun digitale infrastructuur te beschermen tegen dergelijke aanvallen. Naast de zorgen over de gevolgen van de cyberaanval voor de betrokkenen, is er ook bezorgdheid over de mogelijke gevolgen voor de reputatie van zowel Joris Zorg als de KNVB. Beide organisaties zullen ongetwijfeld te maken krijgen met vragen over hun vermogen om de gegevens van hun leden en cliënten veilig te houden. Dit kan leiden tot een verlies van vertrouwen en mogelijk tot financiële gevolgen op de lange termijn.


Ransomware-groep Lockbit eist meer dan een miljoen euro losgeld van KNVB na hack met gestolen persoonsgegevens

Lockbit, een ransomware-groep, heeft de KNVB gehackt en eist meer dan een miljoen euro aan losgeld. De voetbalbond is in paniek omdat Lockbit dreigt kopieën van paspoorten en contracten van Oranje-spelers openbaar te maken. Diverse bronnen binnen de KNVB hebben dit bevestigd aan RTL Nieuws. De hack vond plaats nadat een medewerker in een phishingmail was getrapt. Door deze phishingaanval kreeg Lockbit toegang tot de G-computerschijf van de KNVB, waar honderdduizenden interne en deels vertrouwelijke documenten werden bewaard. Naar verluidt zijn ook kopieën van identiteitsbewijzen en contracten van bekende (oud-)voetballers, trainers en directieleden gestolen. De KNVB vreest dat Lockbit deze documenten openbaar zal maken. Volgens een medewerker van de voetbalbond worstelt het management enorm met deze situatie en weet het niet welke stappen het moet nemen. "We bevinden ons in een kwetsbare positie", aldus deze medewerker. Op het intranet van de KNVB staat te lezen: "De leiding worstelt enorm met de situatie en welke stappen ze moeten nemen". De ledenadministratie, waarin de privégegevens van meer dan een miljoen Nederlandse amateurvoetballers zijn opgeslagen, bevindt zich in een ander online systeem dat niet is getroffen door de cyberaanval, zo benadrukken de bronnen. Lockbit eist meer dan een miljoen euro aan losgeld van de KNVB. Als de voetbalbond betaalt, belooft Lockbit de gegijzelde bestanden en computers weer toegankelijk te maken en de gestolen documenten niet te publiceren. Lockbit staat bekend om het vragen van hoge losgeldbedragen, die vaak in de miljoenen euro's lopen. De G-computerschijf is de gedeelde harde schijf waarop KNVB-medewerkers toegang hadden. Alle bestanden, in totaal meer dan 300 gigabyte, zijn versleuteld en gestolen. De KNVB stelt dat de bestanden 'zeer waarschijnlijk niet te herstellen zijn'. Lockbit heeft bevestigd dat ze de KNVB hebben gehackt, maar wil verder geen commentaar geven op vragen van RTL Nieuws.


Cybercriminelen maken gebruik van nieuw beveiligingslek in Chrome's Skia graphics engine

Vier dagen na het verhelpen van het eerste gevonden zerodaylek in Chrome van 2023 heeft Google opnieuw een beveiligingsupdate voor een dergelijke kwetsbaarheid uitgebracht. Dit keer bevindt het aangevallen beveiligingslek zich in de Skia graphics engine, waar Chrome gebruik van maakt voor het weergeven van tekst en afbeeldingen. De impact van de kwetsbaarheid, aangeduid als CVE-2023-2136, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd gevonden door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google Chrome 112.0.5615.137/138 is beschikbaar voor Windows, voor Linux en macOS is versie 112.0.5615.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.


Russische cybercriminelen misbruiken ongepatchte Cisco-routers in aanvallen op Europa en de Verenigde Staten

In 2021 werden Cisco-routers in onder andere Europa en de Verenigde Staten het doelwit van aanvallen, waarbij de aanvallers malware installeerden om toegang te behouden. Nu blijkt dat de aanvallers misbruik maakten van een kwetsbaarheid waarvoor Cisco al in 2017 beveiligingsupdates had uitgebracht, zo melden de Amerikaanse en Britse autoriteiten in een gezamenlijke advisory. De FBI, de Amerikaanse geheime dienst NSA, het Cybersecurity and Infrastructure Security Agency (CISA) en het Britse National Cyber Security Centre (NCSC) claimen dat de aanvallen het werk waren van een Advanced Persistent Threat (APT)-groep genaamd APT28, die ook bekendstaat als Fancy Bear. De groep zou volgens de diensten aan de Russische geheime dienst GRU gelieerd zijn. Volgens de Amerikaanse en Britse diensten heeft APT28 in 2021 een aantal aanvallen tegen organisaties in Europa, Amerikaanse overheidsinstellingen en Oekraïne uitgevoerd voor verkenningsdoeleinden, waarbij er op sommige Cisco-routers malware werd geïnstalleerd. Bij deze aanvallen werd misbruik gemaakt van CVE-2017-6742, een kwetsbaarheid waarvoor al sinds juni 2017 een patch beschikbaar is. Het beveiligingslek bevindt zich in het Simple Network Management Protocol (SNMP) subsysteem van Cisco IOS en IOS XE, de software die op routers van het bedrijf draait. Via de kwetsbaarheid kan een geauthenticeerde aanvaller op afstand code op Cisco-routers installeren. SNMP maakt het mogelijk voor netwerkbeheerders op om afstand netwerkapparatuur te monitoren en configureren, maar het is ook te misbruiken om gevoelige netwerkinformatie te stelen, en in het geval van kwetsbaarheden ook toegang tot het apparaat te krijgen. Net voor het uitkomen van de gezamenlijke advisory van de Amerikaanse en Britse autoriteiten kwam Cisco zelf met een update van het beveiligingsbulletin uit 2017, waarin het laat weten dat in totaal acht SNMP-gerelateerde kwetsbaarheden zijn misbruikt bij aanvallen. De FBI, NSA, CISA en NCSC stellen dat de aanvallen tegen kwetsbare Cisco-routers nog steeds mogelijk zijn. Organisaties worden dan ook opgeroepen om updates te installeren en verdere mitigerende maatregelen te nemen.


KNVB Gegevens Gegijzeld door Hackers: Onderhandelen of Betalen?

Informatie van de KNVB is gegijzeld door hackers. Wat kan de bond doen? 'Wie betaalt, wordt gespaard.' De KNVB heeft tot 17:41 uur op 26 april om te voorkomen dat cybercriminelen van Lockbit gegijzelde data publiceren. Contracten, werknemers- en voetballersgegevens en financiële bedrijfsinformatie zullen dan op het internet verschijnen, tenzij de voetbalbond actie onderneemt. Moet de KNVB gewoon betalen? Of is er ruimte voor onderhandeling? Experts in Zeist analyseren momenteel de situatie. Ze doen geen uitspraken over de aanval en zijn bezig met digitaal forensisch onderzoek. Op basis daarvan kunnen ze een onderhandelingsstrategie kiezen. Wie is de vijand? En wat weten ze? Lockbit is een collectief van cybercriminelen, bekend van 'ransomware-aanvallen'. De hackers dringen computersystemen binnen om informatie te versleutelen en ontoegankelijk te maken. Vervolgens eisen ze geld van het getroffen bedrijf. Lockbit heeft de afgelopen jaren meerdere grote organisaties aangevallen, waaronder Deutsche Bank en de Belgische gemeente Geraardsbergen. Onlangs werd een Canadees kinderziekenhuis slachtoffer. Sommige leden van de groep hebben banden met de Russische overheid; crimineel hacken wordt in dat land gedoogd. Nu hebben ze informatie van de KNVB in handen. Lockbit stuurde verschillende screenshots naar de voetbalbond om het te bewijzen. Toch was de aanval geen voltreffer. De KNVB liet eerder weten dat het personeel gewoon door kan werken. Interne systemen, zoals de mail, doen het nog. Dat geeft een betere uitgangspositie voor de onderhandelingen, zegt Bart Schermer, hoogleraar privacy & cybercrime aan de Universiteit van Leiden. De KNVB krijgt ook relatief lang de tijd om te betalen, de hackers vragen cryptomunten. Afdingen op de prijs helpt; meestal zijn criminelen bereid korting te geven. Uit onderzoek van Fox-IT bleek in 2021 dat de helft van de getroffen partijen korting kreeg. Hackers gaan vaak berekenend te werk, zegt Schermer. "Ze kijken naar financiële draagkracht van het slachtoffer, de gevoeligheid van de informatie en hoeveel tijd de hack kost. Op basis daarvan onderhandelen partijen als Lockbit". De criminelen houden zich aan hun woord: wie betaalt, wordt gespaard. Volgens Schermer kunnen bedrijven en instellingen het losgeld meestal wel opbrengen; gemiddeld gaat het om 2 procent van de jaaromzet. Om de prijs te verlagen hebben cybersecurity-bedrijven speciale onderhandelaars in dienst. Allereerst moet de voetbalbond zien te achterhalen wat Lockbit allemaal weet. Het zou gaan om 305 gigabyte. Hoe minder informatie van spelers of hun makelaars gestolen is, hoe minder geld ze zullen bieden. Bart Schermer verwacht niet dat het bedrag in de miljoenen zal lopen, zelfs niet bij de rijke KNVB. De onderhandelingen zijn ook belangrijk voor het opsporen van de criminelen. Als het langer duurt, is er meer tijd om te ontdekken wie er achter de aanval zit. De criminelen weten dit en houden gesprekken daarom kort en de deadline in stand. Het zijn meer een soort chatgesprekken, via een website die de locatie van de criminelen verbergt. Lockbit is de naam van het platform waar de gesprekken plaatsvinden en de gestolen documenten uiteindelijk gelekt kunnen worden. De ontwikkelaar van dit platform krijgt ongeveer 20 procent van de buit. De criminelen die de informatie stalen, huren zelf ook vaak slimme onderhandelaars in. De KNVB kan de gestolen informatie niet zomaar laten lopen. Gedupeerde partijen, van wie gegevens op straat liggen, kunnen schadeclaims indienen. In het verleden waren dergelijke claims succesvol; dit kan de KNVB alsnog geld kosten. Het is dus in het belang van de voetbalbond om tot een oplossing te komen met de cybercriminelen, om zo de schade te beperken en verdere verspreiding van de informatie te voorkomen. Het blijft echter een uitdaging om met dergelijke partijen te onderhandelen en tegelijkertijd de daders op te sporen, zonder verdere complicaties te veroorzaken.


Cybercriminelen veroorzaken datalek bij MetaMask: 7.000 gebruikers getroffen

Zo'n zevenduizend gebruikers van MetaMask zijn het slachtoffer van een datalek geworden, nadat een aanvaller toegang tot de helpdesk van de cryptowallet kreeg. MetaMask is een door ConsenSys ontwikkelde cryptowallet. Het bedrijf heeft de helpdesk voor vragen van gebruikers uitbesteed aan een externe partij. Deze niet nader genoemde partij kreeg met een "cyberincident" te maken waarbij een aanvaller toegang tot systemen kreeg. Daardoor zijn gegevens van MetaMask-gebruikers die tussen 1 augustus 2021 en 10 februari 2023 bij de helpdesk aanklopten in handen van een aanvaller gekomen. Het kan per gebruiker verschillen wat voor soort informatie er is gelekt. Het gaat in ieder geval om e-mailadressen, aangevuld met gegevens die gebruikers zelf via een tekstveld deelden. ConsenSys stelt dat het vanwege de beperkte hoeveelheid data die het verzamelt niet alle getroffen gebruikers individueel kan identificeren en het daarom alle gebruikers die de helpdesk benaderden heeft gewaarschuwd. Het gaat om zo'n zevenduizend personen. Het datalek is bij de Ierse en Britse privacytoezichthouders gemeld. Daarnaast claimt de cryptowallet-aanbieder maatregelen te hebben genomen om soortgelijke incidenten in de toekomst te voorkomen. Wat die precies inhouden is niet bekendgemaakt.


De gegevens van mogelijk duizenden voetballers kunnen openbaar worden; de cybercriminelen van Lockbit geven de KNVB tot 26 april de kans om het losgeld te betalen

De Koninklijke Nederlandse Voetbalbond (KNVB) is getroffen door een cyberaanval waarbij mogelijk duizenden gegevens zijn buitgemaakt. Dit zou kunnen leiden tot het lekken van telefoonnummers van verschillende voetballers, wat het grootste datalek in de voetbalwereld ooit zou kunnen zijn. Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland, spreekt van een verontrustende situatie. "Toen bekend werd dat de KNVB slachtoffer was, gaven ze duidelijk aan dat het om persoonsgegevens ging," zegt Maasland. "Ze zijn niet alleen verantwoordelijk voor salarisverwerking, maar ook voor tuchtzaken, matchfixing en buitenlandse competities." Volgens Maasland hebben de hackers screenshots naar de KNVB gestuurd waaruit blijkt dat ze data van contracten, grootboekrekeningen en sponsorgelden in handen hebben. "Ze geven eigenlijk aan dat ze meer hebben dan de data die ze hebben laten zien, en dat als de KNVB niet betaalt, het op straat komt te liggen", vervolgt hij. Lockbit, de groep achter de aanval, staat bekend om hun creatieve en agressieve manieren om slachtoffers te chanteren om uiteindelijk te betalen. De KNVB heeft tot Koningsnacht de tijd om te betalen, anders dreigt Lockbit de gegevens te lekken volgens Maasland. Dit levert een duivels dilemma op voor de voetbalbond, die nog geen beslissing heeft genomen. "Wat je ook doet, er zal een stortvloed aan kritiek volgen", denkt Maasland. "Daarom pleit ik altijd voor transparantie - neem mensen mee in je beslissingsproces." Als de KNVB besluit te betalen, zal er kritiek zijn dat cybercriminelen worden gestimuleerd, terwijl er ook problemen ontstaan als de gegevens op straat komen te liggen. Bovendien verkoopt Lockbit regelmatig gegevens door als de eigenaar niet betaalt, aldus Maasland. Hij denkt dat de KNVB dag en nacht over de kwestie piekert. De KNVB wil nog niet reageren, omdat er momenteel een onderzoek gaande is. Maasland stelt dat de voetbalbond nog altijd hoopt dat het een storm in een glas water is en dat de hackers niet beschikken over de hoeveelheid data waarvan ze beweren dat ze die hebben. "Wat ze hebben laten zien, kan ook een kleine selectie zijn die ze toevallig in een verloren map hebben buitgemaakt", concludeert hij. "Maar de manier waarop het wordt gepresenteerd, doet vermoeden dat ze meer hebben."

Lock Bit KNVB
Afbeelding – 197,6 KB 101 downloads

Bron: cybercrimeinfo/Lockbit


Antwerpen worstelt nog steeds met gevolgen cyberaanval: Afvalverwerking en bouwprojecten zwaar getroffen

Bijna vijf maanden na de verwoestende cyberaanval op de stad Antwerpen blijven de gevolgen nog steeds merkbaar. De stad heeft te kampen met aanhoudende problemen, vooral op het gebied van afvalverwerking en bouwprojecten in de Antwerpse regio. Het is nu bijna vijf maanden geleden sinds de cyberaanval plaatsvond en de stad Antwerpen haar netwerk en systemen gedeeltelijk zag instorten. Hoewel veel van de diensten inmiddels weer operationeel zijn, zijn er nog steeds enkele sectoren die zwaar worden getroffen door de nasleep van de aanval. Een van de meest prominente problemen is de afvalverwerking in de stad. De cyberaanval heeft de systemen die verantwoordelijk zijn voor de logistiek en planning van afvalinzameling en -verwerking ernstig verstoord. Als gevolg hiervan zijn er vertragingen en onregelmatigheden ontstaan in de afvalophaling, wat heeft geleid tot een toename van illegale stortingen en overvolle afvalcontainers op verschillende locaties in de stad. Daarnaast ondervinden bouwprojecten in Antwerpen ook grote hinder van de cyberaanval. De aanval heeft de communicatie tussen verschillende belanghebbenden, zoals aannemers, bouwbedrijven, ingenieurs en de lokale overheid, verstoord. Dit heeft geleid tot vertragingen bij het verkrijgen van vergunningen, goedkeuringen en andere administratieve zaken die nodig zijn om bouwprojecten te kunnen uitvoeren. Veel bouwplaatsen zijn hierdoor stil komen te liggen en het is nog onduidelijk wanneer de situatie zal normaliseren. De stad Antwerpen werkt onvermoeibaar om de problemen die zijn ontstaan door de cyberaanval op te lossen en haar diensten zo snel mogelijk te herstellen. Echter, de langdurige nasleep van de aanval toont aan dat de gevolgen van dergelijke cyberaanvallen op stedelijk niveau diepgaand en langdurig kunnen zijn. Het benadrukt ook het belang van robuuste cyberbeveiliging en een effectieve respons op cyberincidenten om dergelijke situaties in de toekomst te voorkomen.


NCR getroffen door ransomware-aanval: Cybercriminelen saboteren Aloha-kassasystemen in horeca

NCR, fabrikant van geldautomaten en kassasystemen, is slachtoffer geworden van een ransomware-aanval waardoor bepaalde kassasystemen bij klanten niet meer volledig werken. Het gaat om het Aloha-kassasysteem voor restaurants en andere horecagelegenheden. Op 12 april kreeg NCR opeens met een storing in het kassaplatform te maken, zo meldt het bedrijf op de eigen website. Op 13 april stelde het bedrijf vast dat een datacenter gebruikt voor het Aloha-kassaplatform was getroffen door een ransomware-aanval. Afgelopen zaterdag kwam NCR met een update over het incident en dat het bezig was om systemen te herstellen. Door de storing getroffen restaurants zouden klanten blijven kunnen bedienen, alleen bepaalde functionaliteit zou niet meer werken. Wanneer alle systemen weer zijn hersteld en hoe de aanval kon plaatsvinden is niet bekendgemaakt. De aanval zou het werk zijn van de criminelen achter de BlackCat-ransomware, ook bekend als Alphv, zo meldt beveiligingsonderzoeker Dominic Alvieri.


LockBit-ransomware ontdekt voor macOS: cybercriminelen nog niet klaar om Mac-gebruikers te bedreigen

Onderzoekers hebben een exemplaar van de LockBit-ransomware gevonden die op macOS kan werken. Gebruikers zouden zich echter nog geen zorgen hoeven te maken, zo stelt beveiligingsonderzoeker Patrick Wardle die de malware analyseerde. De LockBit-groep is al enige tijd actief. Het is echter de eerste keer dat er een versie van de LockBit-ransomware wordt gevonden die bestanden op een Mac kan versleutelen. De nu gevonden variant is gecompileerd voor macOS, maar niet specifiek voor het besturingssysteem ontworpen. Daarnaast is die nog niet klaar voor operationele inzet, aldus Wardle. Zo is de LockBit-variant erg buggy en crasht die tijdens het uitvoeren. Ook heeft die een ongeldige signature en houdt die geen rekening met de beveiligingsmechanismes van het macOS file system. Zo heeft Apple beveiliging aan macOS toegevoegd die bestanden in folders zoals de Desktop en Documenten moet beschermen. Daardoor kan ransomware niet zonder een exploit of toestemming van de gebruiker de bestanden versleutelen. "De impact voor Mac-gebruikers is voor nu nul", aldus Wardle, die toevoegt dat de Mac-versie geen bedreiging voor gebruikers is. De LockBit-ransomware wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Er waren al versies van de ransomware voor Linux en Windows. Een groot deel van de nu gevonden Mac-versie lijkt op een Linux-versie die voor macOS is gecompileerd. Onlangs werd bekend dat de KNVB vorige maand is getroffen door een aanval met de LockBit-ransomware.


Cybercriminelen besmetten miljoenen Android-apps met adware via malafide third-party library

In de Google Play Store zijn tientallen Android-apps ontdekt die dankzij een malafide third-party library met adware besmet zijn geraakt. De apps in kwestie hadden bij elkaar meer dan honderd miljoen downloads, zo laat antivirusbedrijf McAfee in een analyse weten. Een deel van de apps is inmiddels door Google uit de Play Store verwijderd. Veel app-ontwikkelaars maken binnen hun apps gebruik van third-party libraries, bijvoorbeeld voor het tonen van advertenties. Wat het zogenaamde doel van de door McAfee ontdekte library was is niet bekend. Eenmaal actief verzamelde de library een overzicht van alle geïnstalleerde applicaties op het toestel en informatie over eerder gebruikte wifi-netwerken en bluetooth-apparaten, waaronder gps-locaties. Daarnaast kan de library onzichtbaar voor gebruikers advertenties in de achtergrond laden en daarop klikken, waardoor het voor adverteerders lijkt alsof iemand hun advertentie heeft gezien. Zo wordt er ten onrechte voor deze clicks betaald, waarbij het geld naar de fraudeurs gaat. Een deel van de gevonden apps is inmiddels door Google uit de Play Store verwijderd. Daarnaast hebben sommige app-ontwikkelaars de library uit hun apps verwijderd. Gebruikers wordt aangeraden om naar de nieuwste versie van de betreffende apps te updaten. McAfee heeft een overzicht van de getroffen apps gemaakt.


Canadees ziekenhuis getroffen door cybercriminelen: patiënten gewaarschuwd voor langere wachttijden

Een Canadees ziekenhuis heeft patiënten vanwege een "cyberincident" gewaarschuwd voor langere wachttijden bij behandelingen. Het Cornwall Hospital kreeg afgelopen dinsdag met "netwerkproblemen" te maken, waardoor patiënten bij niet-urgente behandelingen met vertragingen te maken konden krijgen, aldus een melding van het ziekenhuis Om wat voor problemen het ging liet het ziekenhuis niet weten, behalve dat het bezig was om systemen te herstellen. Gisteren meldde het ziekenhuis dat het om een "cyberincident" gaat. Wederom is er geen enkele informatie gegeven wat dit precies inhoudt, waardoor de aard van het incident onbekend is. Wel kunnen patiënten nog steeds met langere wachttijden te maken krijgen en hebben patiënten geen toegang tot hun online patiëntendossier. Wanneer alle systemen naar verwachting weer zijn hersteld laat het ziekenhuis niet weten.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten