Ransomware weekoverzicht 12-2021

Gepubliceerd op 29 maart 2021 om 15:00

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende, Evil Corp schakelt over op Hades ransomware om sancties te omzeilen en FBI waarschuwt voor ransomware die volledige harde schijf versleutelt. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

22 maart 2020

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende

Shell is slachtoffer van datadiefstal geworden nadat aanvallers toegang wisten te krijgen tot de Accellion FTA-server van het bedrijf. Bij de inbraak hebben de aanvallers allerlei bestanden bemachtigd, waarvan sommige persoonlijke data bevatten en andere gegevens afkomstig van Shell-bedrijven en sommige van hun partners. Dat laat Shell in een verklaring weten.

Verdere details zijn niet over het incident gegeven. Zo is er niets gezegd over de aanvallers. Vorige maand meldde securitybedrijf FireEye dat de zerodaylekken in de FTA-software door de Clop-ransomwaregroep werden gebruikt voor het stelen van gegevens, om daarmee organisaties af te persen. Bij verschillende van deze aanvallen werd er geen ransomware uitgerold, maar alleen data gestolen.

De Tsjechische spoorweg administratie werd aangevallen door hackers

De staatsorganisatie die de verkeersveiligheid op de spoorlijn verzorgt, verzekerde dat deze niet werd beïnvloed door de aanval. De aanval volgde op andere eerdere incidenten die gericht waren op staatsorganisaties of ministeries. Bron

De Amerikaanse Park Hill-scholen zijn maandag en dinsdag gesloten vanwege een malware aanval

SCHOOL CANCELED DUE TO MALWARE ATTACK: We apologize for the late notice, but we must cancel school in Park Hill today...

Geplaatst door Park Hill School District op Maandag 22 maart 2021

Nieuwe variant Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.bqd2

23 maart 2020

Sierra Wireless legt productie in fabrieken stil na ransomware-aanval

Telecomgigant Sierra Wireless heeft de productie in alle fabrieken vanwege een ransomware-aanval stilgelegd. Dat laat het bedrijf in een persbericht weten en heeft het aan de Amerikaanse beurswaakhond SEC gemeld. De aanval op de interne systemen vond afgelopen zaterdag 20 maart plaats.

Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld

Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd. Verder lezen

Ransomware CLOP bende lekt gegevens die zijn gestolen uit Colorado Miami universiteiten

Cijfers, burgerservicenummers en patiëntgegevens van de Universiteit van Colorado en de Universiteit van Miami zijn online geplaatst door de Clop-ransomwaregroep. Bron

CNA verzekeringsmaatschappij getroffen door een cyberaanval

CNA Financial, een toonaangevende Amerikaanse verzekeringsmaatschappij, heeft te maken gehad met een cyberaanval die haar bedrijfsactiviteiten heeft beïnvloed en haar website heeft gesloten. Bron

De stad Franfort in de staat Kentucky is getroffen door cyberaanval

Op de avond van zondag 21 maart werd de stad Frankfort bewust van een ongeoorloofde inbraak in het IT-netwerk die de toegang tot sommige computerservers verstoorde. Na ontdekking startte het stadspersoneel een uitgebreide respons in overeenstemming met het bestaande responsplan voor IT-incidenten, inclusief het onmiddellijk offline halen van enkele systeemcomponenten en het inschakelen van onafhankelijke IT-beveiligings- en computerforensische specialisten om het incident te verhelpen en te onderzoeken. Bron

24 maart 2020

Serverfabrikant Stratus haalt monitoringssysteem offline na ransomware-aanval

Serverfabrikant Stratus Technologies is slachtoffer geworden van een ransomware-aanval en heeft als gevolg het systeem offline gehaald waarmee het de servers van klanten monitort. Ook het portaal dat wordt gebruikt voor de ondersteuning van klanten is uit de lucht. Dat heeft het bedrijf in een verklaring bekendgemaakt.

Groeiende trend van ransomware-aanvallen gericht op bedrijven waarbij sprake is van data-afpersing

Naast de kans dat slachtoffers van ransomware hun systemen niet meer (volledig) kunnen gebruiken of geen toegang meer hebben tot hun data, lopen ze ook steeds vaker het risico dat hun bedrijfsgegevens op straat komen te liggen. Enerzijds wordt deze tactiek gebruikt om slachtoffers te dwingen tot betaling van het losgeld, anderzijds is het een reactie op een toenemend aantal bedrijven die de versleuteling van hun gegevens teniet kunnen doen met behulp van goede back-ups. Verder lezen

Nieuwe variant Makop ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.pecunia

25 maart 2020

FBI waarschuwt voor ransomware die volledige harde schijf versleutelt

De FBI heeft een waarschuwing afgegeven voor de Mamba-ransomware die de volledige harde schijf versleutelt, waardoor het besturingssysteem niet meer kan worden opgestart. De ransomware is al tegen lokale overheden, transportagentschappen, juridische dienstverleners en allerlei soorten bedrijven ingezet, aldus de Amerikaanse opsporingsdienst.

210323
PDF – 391,7 KB 376 downloads

Amerikaanse verzekeringsgigant CNA getroffen door de nieuwe Phoenix CryptoLocker-ransomware

Verzekeringsgigant CNA heeft te maken gehad met een ransomware aanval met een nieuwe variant genaamd Phoenix CryptoLocker die mogelijk is gekoppeld aan de hackgroep Evil Corp. Bron

Evil Corp schakelt over op Hades ransomware om sancties te omzeilen

Op basis van aanzienlijke code-overlapping heeft CrowdStrike Intelligence de Hades ransomware geïdentificeerd als INDRIK SPIDER's opvolger van WastedLocker. Hades ransomware - voor het eerst publiekelijk geïdentificeerd door beveiligingsonderzoekers in december 2020 - werd genoemd naar een door Tor verborgen website die slachtoffers moeten bezoeken; Hades is echter slechts een 64-bits gecompileerde variant van WastedLocker met extra codevermindering en kleine wijzigingen in functies. Bron

Ransomware bende lekt gegevens van de Amerikaanse militaire aannemer PDI Group

Een belangrijke leverancier van militair materieel aan de Amerikaanse luchtmacht en legers over de hele wereld lijkt het slachtoffer te zijn geworden van een ransomwareaanval. Bron

Nieuwe variant Stop ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.ekvf

Dit bedrijf werd getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaalden

"Toen het toesloeg, renden we naar onze serverruimte en datacenter en begonnen we de stekkers eruit te trekken." Hoe een bedrijf werd getroffen door ransomware, maar weigerde te betalen. Lees verder

Franse kabelliften gigant MND slachtoffer van cyberaanval

De MND-groep was in de nacht van 22 op 23 maart 2021 het slachtoffer van een inbraak van schadelijke software op sommige van haar servers in Frankrijk en Oostenrijk. Bron

26 maart 2020

Ransomware bende spoort de klanten van de slachtoffers aan om voor hun privacy te vechten

Een ransomware-operatie die bekend staat als 'Clop' oefent maximale druk uit op slachtoffers door hun klanten een e-mail te sturen en hen aan te sporen om losgeld te vragen om hun privacy te beschermen. Bron

Ransomware 'DearCry' en 'Black Kingdom' maken handig gebruik van de tekortkomingen om zich in de getroffen systemen te nestelen

"De Black Kingdom-ransomware die zich richt op niet-gepatchte Exchange-servers heeft alle kenmerken van een ontwerp van een gemotiveerde scriptkiddie," zei Mark Loman, technisch directeur bij Sophos. "De versleutelingshulpmiddelen en -technieken zijn onvolmaakt, maar het losgeld van $ 10.000 in bitcoin is laag genoeg om succesvol te zijn. Elke bedreiging moet serieus worden genomen, zelfs van schijnbare lage kwaliteit." Lees verder

Detailhandelaar FatFace betaalt 2 miljoen dollar losgeld aan de cybercriminelen van Conti

Moderetailer FatFace heeft 2 miljoen dollar losgeld betaald aan de Conti ransomware bende na een succesvolle cyberaanval op hun systemen die plaatsvond in januari 2021.  Bron

Nieuwe variant HiddenTear ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.HANTA

27 maart 2020

Microsoft: ransomwaregroep infecteert 1500 Exchange-servers

Een groep criminelen achter de Black Kingdom-ransomware heeft wereldwijd zo'n 1500 Exchange-servers geïnfecteerd met een webshell, wat grote gevolgen voor organisaties kan hebben, zo waarschuwt Microsoft. De groep maakt gebruik van vier kwetsbaarheden in Exchange 2013, 2016 en 2019 om kwetsbare systemen met een webshell te infecteren. Via deze webshell behouden de aanvallers hun toegang tot de server, ook als die wordt gepatcht. Verder lezen

Cyberaanval op Yemeksepeti: belangrijke gebruikersinformatie is gestolen

Turkije's grootste platform voor het bestellen van voedsel Yemeksepeti  heeft aangekondigd dat ze te maken hebben gehad met cyberaanvallen en diefstal van gegevens van gebruikers. Bron

Bedfordshire een school in Engeland is getroffen door een cyberaanval

De cursussen van leerlingen zijn vernietigd tijdens een "significante" cyberaanval. Hoewel er geen gegevens werden verzameld, bleven de servers van de school onleesbaar, wat resulteerde in "het verlies van een aanzienlijke hoeveelheid gegevens". Bron

28 maart 2020

Australisch TV station getroffen door ransomware 

Een mysterieuze cyberaanval, vermoedelijk een ransomware-infectie, trof afgelopen weekend de Australische tv-zender Channel 9 en verhinderde dat het netwerk een aantal van zijn normale shows op zondag uitzond.

In Canada is de regionale raad van Millwright of Ontario slachtoffer geworden van Avaddon cybercriminelen

De bende van Avaddon heeft data van de Millwright Regional Council of Ontario op het darkweb gezet en dreigen met DDoS aanvallen.

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle blogs

Mamba 2FA: Een nieuwe dreiging voor Microsoft 365-accounts en hoe je je kunt beschermen

In deze podcast bespreken we de nieuwe cyberdreiging genaamd Mamba 2FA, een phishing-as-a-service platform dat zich specifiek richt op het omzeilen van tweefactorauthenticatie (2FA) bij Microsoft 365-accounts. Mamba 2FA maakt gebruik van een Adversary-in-the-Middle (AiTM)-aanval, waarbij inloggegevens en 2FA-tokens worden onderschept. Dit geeft aanvallers de mogelijkheid om toegang te krijgen tot gevoelige informatie, zelfs als 2FA is ingeschakeld.

Lees meer »