Overzicht cyberaanvallen week 21-2021

Gepubliceerd op 31 mei 2021 om 15:00



Verzekeraars deinzen terug voor ransomware, Mexico sluit nationale loterijsites na ransomware DDoS-dreiging en zo'n 80% van de organisaties betaalt losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


30 mei

Slachtoffer Cybercriminele organisatie Datum
Akorbi Avaddon 2021-05-30
JM ROSSA SA Avaddon 2021-05-30
Forbes Hare Avaddon 2021-05-30
WorldUnion Avaddon 2021-05-30
Tri-Metal Fabricators Avaddon 2021-05-30
Hupac Intermodal Italia Srl Avaddon 2021-05-30
Dentalez Marketo 2021-05-30
Durard LV 2021-05-30

29 mei

Slachtoffer Cybercriminele organisatie Datum
Hotel Nyack Prometheus 2021-05-29
JFA Construction Avaddon 2021-05-29
VĂ„pensmia AS Prometheus 2021-05-29

De trage decryptors van ransomware bendes zetten slachtoffers ertoe aan om alternatieven te zoeken

Onlangs ontvingen twee veelbesproken ransomware-slachtoffers een decryptor die te traag was om het netwerk van het slachtoffer snel te herstellen.

De eerste was Colonial Pipeline, die 4,4 miljoen dollar aan losgeld betaalde voor een decryptor na te zijn aangevallen door de DarkSide-ransomware-operatie .

De decryptor was echter zo traag dat het bedrijf zijn toevlucht nam tot het herstellen van back-ups.

"Toen ze de betaling hadden ontvangen, gaven de hackers de operator een decoderingstool om zijn uitgeschakelde computernetwerk te herstellen. De tool was zo traag dat het bedrijf zijn eigen back-ups bleef gebruiken om het systeem te herstellen", meldde Bloomberg.


28 mei

Slachtoffer Cybercriminele organisatie Datum
Sessions Payroll Management Inc avaddon 2021-05-28
Al-Arfaj Group avaddon 2021-05-28
AIM Financial Corporation Ltd avaddon 2021-05-28
Pronosticos Deportivos avaddon 2021-05-28
Loewe Technology GmbH avaddon 2021-05-28
TEC EPM GmbH avaddon 2021-05-28
Saigon Cargo Service Corporation avaddon 2021-05-28
CENTRE LV 2021-05-28
Citroen Wells Sodinokibi (REvil) 2021-05-28
GRAYSONS SOLICITORS Sodinokibi (REvil) 2021-05-28
Puntacana Group Grief 2021-05-28

Mexico sluit nationale loterijsites na ransomware DDoS-dreiging

Toegang tot de Lotería Nacional- en Pronósticos-loterijwebsites in Mexico is nu geblokkeerd voor IP-adressen buiten Mexico nadat een ransomware bende (Avaddon) dreigde denial-of-service-aanvallen (DDoS) uit te voeren. Lotería Nacional is het door de overheid gerunde nationale loterijsysteem van Mexico, dat opereert onder het Mexicaanse ministerie van Financiën. Pronósticos is het programma van Loteria Nacional waar Mexicanen kunnen wedden op kansspelen of sport.

Toen we gisteravond hoorden van deze vermeende aanval, hadden we toegang tot de site Lotería Nacional ( https://www.lotenal.gob.mx/ ) en Pronósticos  (https://www.pronosticos.gob.mx/ ).

Tegenwoordig zijn deze sites echter niet langer toegankelijk voor IP-adressen buiten Mexico, en de verbinding met de site wordt nu verbroken, zoals hieronder wordt weergegeven.


‘Zo'n 80% van de organisaties betaalt losgeld’

Hoe ga je het gesprek aan met criminelen die net een hele organisatie stil hebben gelegd? Voor oud-rechercheur Pim Takkenberg is dit gesneden koek. “Vroeger stonden de criminelen aan mijn bureau. Nu spreek ik hen online.” Hij geeft ons een kijkje achter de schermen bij het cybersecuritybedrijf Northwave.

“Ik heb vandaag piketdienst", zegt Pim Takkenberg, general manager bij Northwave, voordat het interview start. “Dus het kan zijn dat we gestoord worden.”

En inderdaad, al binnen een half uur krijgt hij een bericht binnen. Hij typt dat zijn klant 2 bitcoins heeft overgemaakt. Dit is op dat moment zo'n 100.000 euro. Hij krijgt niet meteen een reactie terug. “Het is nog vroeg. Ook criminelen moeten nog even wakker worden." Lees verder


Waarom nog inbreken met een koevoet als jij de deur digitaal wagenwijd openzet?

Vraag aan een ‘gemiddelde Nederlander’ hoe een crimineel er uitziet en je krijgt antwoorden als: zwart gekleed, bivakmuts op, tas met inbrekersspullen en wellicht een onverzorgd baardje. Klopt dat beeld anno 2021 nog steeds?

Vraag diezelfde ‘gemiddelde Nederlander’ hoe hij zijn huis of bedrijf beveiligt. Het antwoord is meestal: “Er zitten goede sloten op mijn deuren, want als ik dat niet doe, nodigt het criminelen uit om eens binnen te komen kijken!”

Ondertussen lacht de crimineel in zijn vuistje als blijkt dat het wachtwoord om de bankzaken te regelen op de computer áchter die voordeur met een veilig slot, W3lk0m1 is. En welkom is deze hacker dan ook als hij vanuit zijn eigen veilige omgeving op enkele honderden kilometers afstand, een pizzapunt in één hand, rustig zijn gang kan gaan. Lees verder


Onderzoeksteam van SentinelOne ontdekt nieuwe threat-groep: Agrius

SentinelOne heeft een nieuwe groep ontdekt die het SentinelLabs-onderzoeksteam aanduidt als Agrius en die vanaf het begin van 2020 actief is in Israël. Agrius was aanvankelijk betrokken bij spionageactiviteiten, maar voerde daarna een reeks destructieve wiper-aanvallen uit op Israëlische doelen, waarna de activiteit werd vermomd als ransomware aanvallen.

Evol Agrius
PDF – 6,2 MB 410 downloads

27 mei

Slachtoffer Cybercriminele organisatie Datum
Sharafi Group Investments XING LOCKER 2021-05-27
ALMA-SAS.FR LV 2021-05-27
Gosiger Sodinokibi (REvil) 2021-05-27
Balade Farms Food Industries / Grako Prometheus 2021-05-27
Sullestad Prometheus 2021-05-27
Archus Prometheus 2021-05-27
Grako Prometheus 2021-05-27
Comune di Porto Sant'Elpidio Grief 2021-05-27
La Concha (MATERIAS PRIMAS LA CONCEPCIÓN S.A. de C.V.) Grief 2021-05-27
Mobile County, Alabama Grief 2021-05-27

Qnap helpt slachtoffers Qlocker-ransomware uit de brand met QRescue

In april werd bekend dat er een nieuw soort ransomware rondgaat, dat specifiek Qnap-nas-apparaten in het vizier heeft. Er waren toen al zo'n 350 genoteerde slachtoffers. De Taiwanese nas-maker verklaart getroffen systemen nu te kunnen helpen.

Er is nu een handleiding voor getroffenen, waarin wordt beschreven hoe sommige gebruikers hun bestanden terug kunnen halen zonder de aanvallers te hoeven te betalen in Bitcoin. Er zijn een aantal voorwaarden. De versleutelde .7z-bestanden mogen niet zijn verwijderd of aangepast, de schijfruimte die gebruikt is door de originele bestanden zijn niet overgeschreven, je moet een extern opslagmedium hebben met anderhalf tot twee keer de opslagruimte voor de data  die je wilt overzetten en je moet de Qnap-voorwaarden accepteren.

Je kunt hiervoor inloggen op je Qnap-account op de ondersteuningspagina. Linksboven staat de knop 'ondersteuning', waarna je kunt klikken op 'ondersteuningsticket maken'. Zelfstandigere nas-eigenaren kunnen ook zelf aan de gang gaan met behulp van de Qrescue-software. Daarvoor heeft Qnap een uitgebreide handleiding op zijn website staan.


Verzekeraars deinzen terug voor ransomware

Het begint nu in Frankrijk: de internationale verzekeraar AXA weigert in dat Europese land om nieuwe polissen uit te schrijven die ransomware dekken. AXA gaat niet langer Franse slachtoffers van ransomware vergoeden voor hun betaling van losgeld aan cybercriminelen. Andere verzekeraars zouden hun beleid heroverwegen, en ondertussen is AXA zelf geraakt door een ransomware-aanval.

De aanval op AXA is uitgevoerd op Aziatische vestigingen van het bedrijf. De IT-activiteiten in Thailand, Maleisië, Hong Kong en de Filipijnen zijn getroffen door gijzelingssoftware, hebben diverse media al gemeld. De daders claimen ook 3TB aan zeer gevoelige gegevens te hebben gestolen, en ze dreigen met DDoS-aanvallen op het netwerk van de verzekeraar.


Canada Post getroffen door datalek na ransomware-aanval

Canada Post heeft 44 van zijn grote commerciële klanten geïnformeerd dat een ransomware-aanval op een externe serviceprovider verzendgegevens voor hun klanten heeft blootgelegd. Canada Post is de belangrijkste postoperator in Canada en bedient 16,5 miljoen Canadese woon- en zakenadressen. Gisteren maakte Canada Post bekend dat een externe leverancier, Commport Communications genaamd, een ransomware-aanval heeft ondergaan waarbij bedreigingsactoren toegang kregen tot gegevens die op hun systemen waren opgeslagen. Bron


Avaddon: buit van minstens een miljoen dollar sinds begin mei

Deze ransomware wordt sinds maart steeds populairder bij cybercriminelen. Het aantal slachtoffers dat niet betaalt neemt toe. Maar de sporen van betalingen wijzen op een zorgwekkende situatie. Bron


26 mei

Slachtoffer Cybercriminele organisatie Datum
Webhelp's company - XtraSource Ragnar_Locker 2021-05-26
Ballas Capital Limited Avaddon 2021-05-26
Servilex Advocaten Avaddon 2021-05-26
Johann Kupp GmbH & Co. KG Avaddon 2021-05-26
Carlos Federspiel & Co SA Avaddon 2021-05-26
Buckeye International Inc Avaddon 2021-05-26
LE VOLCAN Avaddon 2021-05-26
Syndex Avaddon 2021-05-26
Inventec Appliances Corp Avaddon 2021-05-26
Imperial Printing and Paper Box Mfg Avaddon 2021-05-26
Accounts IQ Avaddon 2021-05-26
Ludwig Pfeiffer Ragnar_Locker 2021-05-26
Möbelstadt Sommerlad Sodinokibi (REvil) 2021-05-26
Tulsa Cardiovascular Center of Excellence Prometheus 2021-05-26

25 mei

Slachtoffer Cybercriminele organisatie Datum
Coastal Family Health Center XING LOCKER 2021-05-25
SEVES GROUP SPA Conti 2021-05-25
FUNBREAK Conti 2021-05-25

Audiobedrijf Bose informeert personeel over datalek na ransomware-aanval

Audiobedrijf Bose heeft huidig en voormalig personeel geïnformeerd over een datalek nadat het slachtoffer van een ransomware-aanval was geworden. Op 7 maart ontdekte Bose dat systemen van het bedrijf in de Verenigde Staten besmet waren geraakt met ransomware.

Het audioconcern was na de aanval eerst bezig met het herstellen van de getroffen systemen. Vervolgens werd een forensisch onderzoek ingesteld. Daaruit bleek eind april dat de aanvallers, voordat ze de ransomware uitrolden, mogelijk eerst interne hr-bestanden hebben buitgemaakt.

Deze bestanden bevatten namen, social-securitynummers en salarisgerelateerde gegevens van huidige en voormalige medewerkers van Bose. Getroffen medewerkers kunnen nu een jaar lang kosteloos gebruikmaken van een identiteitsbeschermingsdienst, zo blijkt uit een brief die Bose vorige week naar het personeel stuurde. Tevens heeft het bedrijf het datalek bij het Amerikaanse ministerie van Justitie van de staat New Hampshire gemeld (pdf). In deze melding staan ook verschillende maatregelen die Bose naar aanleiding van de aanval heeft genomen.

Bose 20210519
PDF – 289,5 KB 441 downloads

Zscaler Ransomware rapport belicht groei double-extortion aanvallen

Zscaler, speler in cloud-native beveiliging, kondigt zijn Ransomware Report aan, met onder andere een analyse van belangrijke ransomware-trends en -details over de meest effectieve ransomware-actoren, hun aanvalstactieken en de meest kwetsbare sectoren die hier doelwit van zijn. Om opkomende ransomware-varianten, hun oorsprong en informatie over hoe zij gestopt kunnen worden te identificeren, analyseerde het Zscaler ThreatLabZ-team meer dan 150 miljard platform-transacties en 36,5 miljard geblokkeerde aanvallen tussen november 2019 en januari 2021. Het rapport bespreekt daarnaast het groeiende risico van ‘double-extortion’-aanvallen. Deze aanvallen worden steeds vaker ingezet door cybercriminelen om disruptie te veroorzaken en data gegijzeld te houden.

Threatlabz Ransomware Review
PDF – 1,7 MB 500 downloads

24 mei


Slachtoffer Cybercriminele organisatie Datum
STAM Conti 2021-05-24
CEFCO Marketo 2021-05-24
Axis Communications Marketo 2021-05-24
TECHNICAL UNIVERSITY OF BERLIN Conti 2021-05-24
T.I.S. Group XING LOCKER 2021-05-24

Zeppelin ransomware komt weer tot leven met bijgewerkte versies

De ontwikkelaars van de Zeppelin-ransomware hebben hun activiteiten hervat na een periode van relatieve stilte. Een recente variant van de malware kwam eind vorige maand beschikbaar op een hacker forum, waardoor cybercriminelen in de ransomware-business volledige onafhankelijkheid kregen. Het bedrijf Advanced Intel ( AdvIntel ) ontdekte dat de ontwikkelaars van Zeppelin-ransomware hun activiteiten in maart nieuw leven hebben ingeblazen.


De ransomware-hackers van de koloniale pijplijn hadden een geheim wapen: cyberbeveiligingsbedrijven die zichzelf promoten

Door de tool te publiceren, waarschuwde Bitdefender DarkSide voor de fout, waarbij dezelfde digitale sleutels opnieuw werden gebruikt om meerdere slachtoffers te vergrendelen en ontgrendelen. De volgende dag verklaarde DarkSide dat het het probleem had verholpen en dat "nieuwe bedrijven niets te hopen hebben". "Speciale dank aan BitDefender voor het helpen oplossen van onze problemen", zei DarkSide.“Hier worden we nog beter van.”Bron


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).


Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Meer weten over de historie van Ransomware klik dan hier.


Doxware

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.



Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »

Ransomware nieuws


Alle het nieuws