Overzicht cyberaanvallen week 09-2022

Gepubliceerd op 7 maart 2022 om 16:43

Samsung slachtoffer geworden van cyberaanval, Nederlandse routers gehackt door Russische militaire hack groep en Toyota legt productie stil na gemelde cyberaanval op leverancier. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.500 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 7 maart 2022 : 4.738



Week overzicht

Product Prijs
Xiaomi AgainstTheWest www.mi.com China
Sany Heavy Industry Co., Ltd AgainstTheWest www.sanyglobal.com China
Central Huijin Investment AgainstTheWest www.huijin-inv.cn China
Cummins-Wagner Conti www.cummins-wagner.com USA
GlobalWafers Japan Pandora www.sas-globalwafers.co.jp Japan
LLC SIBERIAN HIGHWAY AgainstTheWest Unknown Russia
Unique Fiber Devices AgainstTheWest ufdcom.ru Russia
Jaffe Raitt Heuer & Weiss, P.C. Pandora Data Leak www.jaffelaw.com USA
Assimoco Group BlackCat (ALPHV) assimoco.it Italy
Dolgoprudnenskoe Scientific Production Plant AgainstTheWest Unknown Russia
Loepthien Maeder Treuhand AG Conti lm-treuhand.ch Switzerland
Dick Anderson Construction Conti www.daconstruction.com USA
Aquatech International Conti www.aquatech.com USA
4A Games STORMOUS www.4a-games.com Ukraine
SAMSUNG LAPSUS$ www.samsung.com South Korea
Delans AgainstTheWest delans.ru Russia
China's Prison system AgainstTheWest Unknown China
PAN AMERICAN ENERGY S.L. SUCURSAL ARGENTINA Hive www.pan-energy.com Argentina
freedomfarmspa.com LockBit freedomfarmspa.com USA
Prima Power Conti www.primapower.com Italy
A.J. Rose Conti ajrose.com USA
Gleason Corporation Conti www.gleason.com USA
Caledonian Conti www.caledonianmodular.com UK
Get Fresh Company Conti www.getfreshsales.com USA
IRGiT STORMOUS www.irgit.pl Poland
simatelex.com.hk LockBit simatelex.com.hk Hong Kong
MFT Automation STORMOUS mftautomation.com USA
sapulpaps.org LockBit sapulpaps.org USA
Sport Vision Conti www.sportvision.rs Serbia
GRUPPO ANGELANTONI Conti www.angelantoni.com Italy
Roosevelt School District STORMOUS www.rsd66.org USA
Instituto Federal Goiano STORMOUS sistemas.ifgoiano.edu.br Brazil
elitecorp.com LockBit elitecorp.com Hong Kong
wimmog.ch LockBit wimmog.ch Switzerland
haeny.com LockBit haeny.com Switzerland
tccm.com LockBit tccm.com Czech Republic
Unical Aviation AvosLocker unical.com USA
HOL-MAC Corp. Conti www.hol-mac.com USA
OJSC Ak Bars Holding AgainstTheWest Unknown Russia
Amtech Llc STORMOUS www.amtechorp.com USA
e-fmc.com.ar LockBit e-fmc.com.ar Argentina
Scanex.ru AgainstTheWest scanex.ru Russia
Waller Lansden Dortch & Davis, LLP BlackCat (ALPHV) wallerlaw.com USA
Lifetech Resources Conti www.lifetechresources.com USA
Buhck Gruppe Conti www.buhck.de Germany
Shapiro and Duncan Conti shapiroandduncan.com USA
United McGill Corporation Conti www.unitedmcgill.com USA
PromEngineering AgainstTheWest kbpe.ru Russia
Oblgazeta AgainstTheWest oblgazeta.ru Russia
Long Fence BlackCat (ALPHV) longfence.com USA
AMD Russia AgainstTheWest Unknown Russia
Ministry of Foreign Affairs STORMOUS mfa.gov.ua Ukraine
InfoTek Consulting Services Quantum infotek-consulting.com Canada
Rosatom AgainstTheWest www.rosatom.ru Russia
FPI Management STORMOUS fpimgt.com USA
GHI Hornos Industriales Ragnar_Locker www.ghihornos.com Spain
CTV Belarus AgainstTheWest www.ctvnews.ca Belarus
safed.in LockBit safed.in India
Government of the Sverdlovsk Region AgainstTheWest Unknown Russia
Tomsk State University AgainstTheWest en.tsu.ru Russia
jamailsmith.com LockBit jamailsmith.com USA
Caldwell Marine International, LLC Conti www.caldwellmarine.com USA

In samenwerking met DarkTracer


VS waarschuwt voor tientallen actief aangevallen Cisco-kwetsbaarheden

De Amerikaanse overheid heeft federale instanties in het land gewaarschuwd voor bijna honderd actief aangevallen kwetsbaarheden, waarvan het grootste deel in producten van Cisco. Federale overheidsinstanties hebben tot 17 maart de tijd gekregen om de beveiligingslekken te verhelpen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De laatste toevoeging bestaat uit bijna honderd kwetsbaarheden. Niet eerder werden er zoveel beveiligingslekken in één keer aan de lijst toegevoegd. Wat opvalt is dat bijna veertig van de kwetsbaarheden in producten van Cisco aanwezig zijn. Het grootste deel daarvan is al vrij oud, maar het gaat ook om verschillende beveiligingslekken in de RV160, RV160W, RV260, RV260P, RV260W, RV340, RV340W, RV345 en RV345P vpn-routers waarvoor Cisco begin februari updates uitbracht. Het CISA wil dat federale overheidsinstanties een deel van de Cisco-lekken voor 17 maart heeft gepatcht. Voor een aantal andere kwetsbaarheden geldt een deadline van 24 maart. Naast de beveiligingslekken in producten van Cisco staan er ook kwetsbaarheden in Windows, Adobe Flash Player, Oracle Java, Exim en Apache Tomcat op de lijst.


Samsung slachtoffer geworden van cyberaanval

Het Zuid-Koreaanse elektronicaconcern Samsung zou zijn getroffen door een cyberaanval. De aanval is opgeëist door de ransomwaregroep Lapsus$. De hackers, die ook achter de cyberaanval op Nvidia zaten, hebben inmiddels veel vertrouwelijke gegevens online gelekt. Dit schrijft Bleepingcomputer. 190 GB data zou zijn gestolen. De cyberaanval op Samsung is opgeëist door de ransomwarebende Lapsus$. Deze hackgroep voerde vorige week nog een cyberaanval uit op Nvidia. Lapsus$ heeft inmiddels enkele screenshots van mogelijk vertrouwelijke data van Samsung online gedeeld. Het is niet bekend of Lapsus$ losgeld heeft geëist. Bij de cyberaanval op Nvidia was dit wel het geval.


Microsoft: hackers vielen ruim 20 Oekraïense overheden en banken aan

Sinds het begin van de oorlog in Oekraïne heeft Microsoft opgetreden tegen cyberaanvallen op meer dan 20 Oekraïense overheden, IT-organisaties en financiële instellingen. Microsoft zegt de autoriteiten in Oekraïne pro-actief te helpen met de verdediging tegen de 'destructieve of ontwrichtende' acties tegen Oekraïense instanties. Het Amerikaanse bedrijf zag ook cyberaanvallen op bedrijven in het land. Microsoft zegt dat een 'grote Oekraïense omroep' een van de doelwitten van de hackers was, maar noemt verder geen namen van de getroffen instanties. Microsoft zegt ook organisaties die hulp verlenen aan de Oekraïense vluchtelingen bij te staan. Ook deze NGO's en overheden worden door hackers aangevallen. Microsoft maakte vandaag ook bekend te stoppen met de verkoop van producten en diensten in Rusland. Het is daarmee een van de vele techbedrijven dat afstand neemt van Rusland na de invasie in Oekraïne. Naast het stopzetten van de verkoop staakt Microsoft ook andere activiteiten Rusland. Dat gebeurt volgens het bedrijf in overeenstemming met de sancties van westerse landen. "We zullen aanvullende stappen ondernemen naarmate de situatie zich verder ontwikkelt." "Net als de rest van de wereld zijn we geschokt, boos en bedroefd door de beelden en het nieuws uit de oorlog in Oekraïne en veroordelen we deze ongerechtvaardigde, niet-uitgelokte en onwettige invasie door Rusland", zegt Microsoft-topman Brad Smith.

 


Gratis decryptor vrijgegeven voor HermeticRansom slachtoffers in Oekraïne

Avast heeft de afgelopen tien dagen een decryptor uitgebracht voor de HermeticRansom ransomware-stam die wordt gebruikt bij gerichte aanvallen op Oekraïense systemen. De decryptor wordt aangeboden als een gratis te downloaden tool van de website van Avast en kan Oekraïners helpen hun gegevens snel en betrouwbaar te herstellen. De eerste tekenen van de verspreiding van HermeticRansom werden waargenomen door ESET-onderzoekers op 23 februari, slechts enkele uren voordat de invasie van Russische troepen zich in Oekraïne ontvouwde. Voor een stapsgewijze handleiding over het gebruik van de decryptor, kunt u vanaf hier beginnen.

Help For Ukraine
PDF – 1,5 MB 261 downloads

Oekraïense sites zagen een 10x toename van aanvallen toen de invasie begon

Internetbeveiligingsbedrijven hebben een enorme golf van aanvallen op Oekraïense WordPress-sites geregistreerd sinds Rusland Oekraïne binnenviel, met als doel de websites uit de lucht te halen en algemene demoralisatie te veroorzaken. Cyberbeveiligingsbedrijf Wordfence, dat 8.320 WordPress-websites van universiteiten, overheid, leger en wetshandhavingsinstanties in Oekraïne beschermt, meldt alleen al op 25 februari 144.000 aanvallen te hebben geregistreerd.

Ukraine Universities Hacked As Russian Invasion Started
PDF – 1,5 MB 273 downloads

Aanvallers gebruiken theoretisch onderzoek voor versterken ddos-aanvallen

Theoretisch onderzoek naar het versterken van ddos-aanvallen dat vorig jaar door onderzoekers werd gepresenteerd is voor het eerst in de praktijk toegepast, zo claimt internetbedrijf Akamai. Afgelopen augustus kwamen onderzoekers van verschillende Amerikaanse universiteiten met hun onderzoek naar "TCP Middlebox Reflection" (pdf). Bij een reflection-aanval worden systemen van een derde partij gebruikt voor het aanvallen van een doelwit. De aanvallers sturen verkeer naar deze derde systemen, die het vervolgens doorsturen naar het doelwit en daarbij ook het verkeersvolume vergroten. Daardoor krijgt het doelwit veel meer verkeer te verduren en is de kans groter dat bijvoorbeeld een website offline gaat. Bij TCP Middlebox Reflection wordt er gebruikgemaakt van zogeheten "middleboxes". Het gaat onder andere om firewalls en contentfilteringsystemen. Dergelijke apparaten kunnen verkeer in real-time monitoren, filteren of aanpassen. In tegenstelling tot traditionele apparatuur zoals routers en switches kijken middleboxes niet alleen naar headers van pakketten, maar gebruiken deep packet inspection om de inhoud te analyseren. De onderzoekers ontdekten een verkeerde tcp-implementatie bij sommige middleboxes, waardoor het mogelijk is om de apparaten tcp-verkeer naar een opgegeven doelwit te laten sturen. Daarbij hoeft een aanvaller slechts een beperkte hoeveelheid verkeer naar de middlebox te sturen om vervolgens veel meer verkeer naar het doelwit door te sturen. Een enkel syn-pakket met een payload van 33 byte zorgt voor een response van 2156 bytes. Dit is een versterkingsfactor van 65, aldus Akamai. Het bedrijf zag onlangs een ddos-aanval die van deze techniek gebruikmaakte en voor 11 Gbps verkeer zorgde. Volgens onderzoekers zijn er honderdduizenden kwetsbare middleboxes op internet te vinden die voor het versterken van ddos-aanvallen zijn te gebruiken. Akamai verwacht dan ook dat aanvallers vaker van de techniek gebruik zullen maken. Het bedrijf merkt op dat bestaande maatregelen om reflectie-aanvallen te voorkomen ook tegen TCP Middlebox Reflection werken.

Usenix Weaponizing Ddos
PDF – 664,0 KB 205 downloads

NVIDIA bevestigt diefstal van inloggegevens en bedrijfsinformatie

Aanvallers zijn er onlangs in geslaagd om op systemen van chipfabrikant NVIDIA in te breken en daar inloggegevens van medewerkers en bedrijfsinformatie te stelen. Een deel van de data is inmiddels op internet gepubliceerd. Volgens NVIDIA, dat de inbraak op 23 januari ontdekte, heeft de datadiefstal naar verwachting geen gevolgen voor de bedrijfsvoering of de dienstverlening aan klanten. Een groep aanvallers genaamd Lapsu$ heeft de verantwoordelijkheid voor de aanval opgeëist en claimt één terabyte aan data te hebben buitgemaakt. Naar aanleiding van de aanval heeft NVIDIA naar eigen zeggen het eigen netwerk verder beveiligd, incident response experts ingeschakeld en politie gewaarschuwd. "We hebben geen bewijs dat er ransomware binnen de NVIDIA-omgeving is uitgerold of dat dit te maken heeft met het conflict tussen Rusland en Oekraïne", aldus een woordvoerder tegenover Yahoo News. De koers van NVIDIA daalde gisteren met vijf procent. De groep achter de aanval op NVIDIA claimde eerder verantwoordelijk te zijn voor aanvallen op de Portugese mediagigant Impresa en het Braziliaanse ministerie van Volksgezondheid. Details over hoe de aanvallers toegang tot de systemen van NVIDIA konden krijgen is niet bekendgemaakt.


Camerafabrikant Axis Communications haalt netwerk offline na cyberaanval

Axis Communications, leverancier van beveiligingscamera's en andere security-oplossingen, is onlangs slachtoffer geworden van een cyberaanval waardoor het zich genoodzaakt zag het volledige netwerk offline te halen. Volgens Axis wisten aanvallers in de nacht van zaterdag 19 februari op zondag 20 februari door middel van social engineering in te loggen als een gebruiker, ook al werd er gebruik gemaakt van beveiligingsmaatregelen zoals multifactorauthenticatie. Zodra de aanvallers waren ingelogd wisten ze door "geavanceerde methodes" hun rechten te verhogen en kregen uiteindelijk toegang tot directory services. Een detectiesysteem waarschuwde it-personeel voor verdacht gedrag, waarop een onderzoek werd gestart. Op zondagochtend 20 februari besloot het it-management externe security-experts in te schakelen. Die bevestigden dat aanvallers toegang tot de netwerken van de camerafabrikant hadden gekregen. Daarop werd besloten om de netwerktoegang wereldwijd offline te halen zodat de aanvallers geen toegang meer hadden. De maatregel zorgde er ook voor dat Axis-personeel geen toegang meer had tot e-mail en partnerdiensten en extranetten onbeschikbaar waren. Uit onderzoek bleek dat delen van de serverinfrastructuur waren gecompromitteerd. De dagen na de aanval wist Axis de meeste diensten te herstellen. Wat betreft de services die vanaf het internet toegankelijk zijn draait het bedrijf in een "beperkte modus". Dit zal blijven zolang het forensisch onderzoek loopt en de opschoon- en hersteloperatie is afgerond. Volgens Axis heeft dit een zeer beperkte impact op klanten en partners. Bij de aanval zijn geen servers versleuteld. Wel is er malware aangetroffen en aanwijzingen dat directory services zijn gecompromitteerd. Verder zijn er geen aanwijzingen dat de aanvallers klantgegevens hebben buitgemaakt. Axis stelt dat de algehele schaamte en het productiviteitsverlies groter zijn dan de aangerichte schade. Hoe de aanvallers precies toegang wisten te krijgen wordt niet door Axis verteld. Wel laat de camerafabrikant weten dat de aanvallers verschillende manieren van social engineering gebruikten om toegang te krijgen. Om de kans op menselijke fouten te verkleinen en herhaling in de toekomst te voorkomen zijn er verdere technische beveiligingsmaatregelen genomen. Iets wat voor een "minder soepele werkflow" zorgt, aldus Axis in een post mortem van de aanval.


Nationale dreigingsanalyse Kaspersky openbaar gemaakt

Minister Yesilgöz van Justitie en Veiligheid heeft de dreigingsanalyse van antivirusbedrijf Kaspersky openbaar gemaakt na een uitspraak van de Hoge Raad in januari. De documenten zijn nu openbaar in te zien op de website van de Rijksoverheid. Het gaat om documenten binnen het dossier ‘Dreigingsanalyse Kaspersky Lab‘. Yesilgöz legt in een bijgaande brief de context van de analyse uit: “Het document ‘Dreigingsanalyse Kaspersky Lab’ is een analyse gebaseerd op open bronnen en is één van de stukken op basis waarvan in 2018 bovenbedoelde voorzorgsmaatregel met betrekking tot het gebruik van antivirussoftware van Kaspersky Lab is genomen. Naast deze analyse is destijds daartoe ook gebruik gemaakt van informatie van de inlichtingen- en veiligheidsdiensten.”

Wob Besluiten Inzake Kaspersky
Word – 106,2 KB 213 downloads

Nederlandse routers gehackt door Russische militaire hackgroep

Tientallen routers van Nederlandse particulieren en bedrijven zijn gehackt door een beruchte Russische militaire hackgroep. Dit ontdekte de Nederlandse Militaire Inlichtingendienst (MIVD), aldus de Volkskrant. De MIVD kwam de gehackte routers tijdens een onderzoek op het spoor. De alarmbellen gingen rinkelen toen de dienst veel Nederlandse IP-adressen zag. Het zou naar schatting gaan om enkele tientallen routers. De routers zijn onderdeel van een wereldwijd netwerk van duizenden gehackte apparaten. Ze zijn in handen van de Russische eenheid 74455, ook wel bekend als Sandworm of BlackEnergy. Deze gevaarlijke hackgroep is onderdeel van de Russische Militaire Inlichtingendienst GRU. De GRU kan de gehackte routers misbruiken om cyberoperaties tegen Nederlandse of bondgenootschappelijke belangen uit te voeren. De gehackte particulieren en bedrijven zijn inmiddels door de MIVD op de hoogte gesteld. De inlichtingendienst heeft de slachtoffers geadviseerd om de routers te vervangen. Het is opvallend dat de MIVD de hack openbaar maakt. Het komt niet vaak voor dat inlichtingendiensten details geven over dreigingen. MIVD-directeur Jan Swillens laat aan de Volkskrant weten dat transparantie belangrijk is. Het MIVD wil Nederlanders bewust maken van dit soort cybercriminaliteit. “De dreiging is soms dichterbij dan je denkt. Nederlandse routers, van zeg maar de bakker op de hoek, worden gebruikt door een statelijke actor”, aldus Swillens tegen de Volkskrant. Het is niet bekend of er een verband bestaat met de oorlog in Oekraïne.


Symantec ontdekt geavanceerde backdoor gebruikt voor cyberspionage

Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne die tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse. De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken. Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen. Hiervoor monitort Daxin al het inkomend tcp-verkeer op bepaalde patronen. Wanneer de backdoor een dergelijk patroon herkent, verbreekt het de verbinding met de legitieme ontvanger en neemt de verbinding over. De gekaapte tcp-verbinding wordt vervolgens voor de communicatie gebruikt en laat de aanvallers ook communiceren met netwerken waarvoor strengere firewalleregels gelden. Ook voorkomt het de kans dat analisten van een security operations center (SOC) de malware ontdekken. Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is. De eerste versie van Daxin dateert van 2013, de laatste aanvallen met de malware werden afgelopen november waargenomen. Pas de latere varianten beschikken over alle geavanceerde features. Hoe doelwitten precies besmet raken laat Symantec niet weten. Ook de connectie met China wordt niet verduidelijkt. Het securitybedrijf zegt binnenkort met meer informatie te komen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties op om de analyse van Daxin te bekijken.

Daxin
PDF – 316,6 KB 264 downloads

Verzekeringsgigant AON afgelopen weekend getroffen door een cyberaanval

Verzekeringsmaatschappij AON is slachtoffer geworden van een cyberincident dat het vorige week ontdekte, zo heeft het bedrijf aan de Amerikaanse beurstoezichthouder SEC laten weten. Volgens de melding had het incident gevolgen voor een "beperkt aantal" systemen, hoewel er geen aantallen worden genoemd. Om wat voor incident het precies gaat laat AON niet weten. Wel stelt de verzekeringsmaatschappij dat het na ontdekking van het incident een onderzoek is gestart en verschillende externe partijen heeft ingeschakeld. Hoewel het onderzoek naar het incident nog in de beginfase is, verwacht AON op basis van huidige informatie dat het incident geen grote gevolgen voor het bedrijf, de bedrijfsvoering en financiële situatie zal hebben. AON levert verzekeringsdiensten in honderdtwintig landen en telt zo'n 50.000 medewerkers. De verzekeraar had vorig jaar een omzet van 12,2 miljard dollar. Verdere details zijn niet gegeven.


Toyota legt productie stil na gemelde cyberaanval op leverancier

Autofabrikant Toyota heeft de autoproductie in veertien Japanse fabrieken na een ransomware-aanval op een leverancier tijdelijk stilgelegd. Het bedrijf hoopt de productie morgen weer te hervatten, aldus een persbericht. Toyota maakte gisteren bekend dat het vanwege "systeemfalen" bij de binnenlandse leverancier Kojima had besloten om 28 productielijnen van veertien fabrieken stil te leggen. Verdere details werden niet gegeven. In een tweede persbericht meldt Toyota dat het de productie woensdag 2 maart zal hervatten. De website van Kojima is op het moment van schrijven offline. Volgens Nikkei Asia en Bloomberg heeft de leverancier bevestigd dat het om een ransomware-aanval op een server gaat en de aanvallers losgeld eisen. "Het klopt dat we door een soort cyberaanval zijn getroffen. We zijn nog steeds de schade aan het vaststellen en maken haast met een reactie, met als hoogste prioriteit het zo snel mogelijk hervatten van Toyotas productiesystemen", aldus een woordvoerder tegenover Nikkei. Hoe de server besmet kon raken en wie erachter de aanval zit wordt nog onderzocht. Volgens Reuters zorgt de sluiting van de fabrieken ervoor dat Toyota de productie van zo'n 13.000 auto's mist.

March Production Plan As Of February 28 Corporate Global Newsroom Toyota Motor Corporation Official Global Website
PDF – 45,9 KB 199 downloads

NCSC adviseert organisaties voorbereid te zijn op wiper-aanval

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties voorbereid te zijn op aanvallen met wiper-malware en ransomware, aangezien die vergaande gevolgen kunnen hebben. Ook de Amerikaanse autoriteiten hebben een waarschuwing voor wiper-malware gegeven. De afgelopen weken rapporteerden antivirus- en securitybedrijven over twee wiper-exemplaren, WhisperGate en HermeticWiper, die tegen Oekraïense organisaties zijn ingezet. Wiper-malware maakt systemen onklaar, bijvoorbeeld door de Master Boot Record (MBR) te overschrijven, waardoor systemen niet meer opstarten. Dit kan vergaande gevolgen voor de bedrijfscontinuïteit hebben. Cyberaanvallen in relatie tot de oorlog in Oekraïne hebben op dit moment geen impact op Nederland, aldus het NCSC. De overheidsinstantie voegt toe dat eventuele gevolgen en aanvallen in Nederland in de toekomst niet zijn uit te sluiten. Een bekend voorbeeld van schadelijke malware is NotPetya, die in eerste instantie tegen Oekraïense organisaties leek te zijn gericht, maar uiteindelijk wereldwijd bedrijven raakte en systemen onklaar maakte. De schade bedroeg miljarden euro's. Het NCSC roept Nederlandse organisaties op om in ieder geval de "digitale weerbaarheid" op orde te hebben en de basismaatregelen op te volgen. Daarnaast adviseert de overheidsinstantie verschillende maatregelen die op korte termijn zijn te nemen, onder andere gericht op specifieke dreigingen. Het gaat dan om een aanval door ransomware of wiper-malware. "Houd rekening in uw incident response plannen met een mogelijk succesvolle ransomware- of wiperware-aanval", adviseert het NCSC. Ook moeten organisaties voorbereid zijn op de stappen die moeten worden doorlopen om te herstellen van een ransomware- of wiperware-aanval. In het geval van dergelijke aanvallen wordt organisaties opgeroepen om aangifte te doen. Verder raadt het NCSC aan om voorbereid te zijn op ddos-aanvallen, desinformatiecampagnes en spearphishing. Zo kunnen organisaties hun personeel bewust maken dat ongebruikelijke communicatie van professionele contacten op spearphishing kan duiden en kan medewerkers worden gevraagd om verdachte e-mails te melden. Naast het NCSC hebben het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de FBI een waarschuwing voor wiper-malware afgegeven met een reeks adviezen die organisaties kunnen nemen om zich te beschermen. Zo worden getroffen organisaties aangeraden om zich als eerste te richten op het beperken van de omvang van het aantal geraakte machines. Daarnaast roepen ook het CISA en de FBI getroffen organisaties op om aangifte te doen.


STORMOUS ransomware-bende heeft officieel aangekondigd de Russische regeringen te steunen


PartyTicket Ransomware gericht op Oekraïense entiteiten

Op 23 februari 2022 werden destructieve aanvallen uitgevoerd op Oekraïense entiteiten. De rapportage heeft de Go-gebaseerde ransomware genaamd PartyTicket (of HermeticRansom) geclaimd) werd geïdentificeerd bij verschillende organisaties die door de aanval zijn getroffen, onder andere families waaronder een geavanceerde ruitenwisser CrowdStrike Intelligence tracks als DriveSlayer (HermeticWiper). Analyse van de PartyTicket ransomware geeft aan dat het oppervlakkig versleutelt bestanden en niet goed initialiseert de encryptiesleutel, waardoor het versleutelde bestand met de bijbehorende .encryptedJB extensie herstelbaar.


Oekraïense vluchtingen in NAVO-landen doelwit van cybercriminelen

Wit-Rusland sponsorde waarschijnlijk cybercriminele activiteiten tegen Europese overheidsmedewerkers. De activiteiten zijn met name gericht op logistieke processen rond de vluchtelingenstroom vanwege het conflict in Oekraïne. Proofpoint wijst op een gerichte phishing-campagne, waarbij malware wordt verspreid die bekendstaat als 'SunSeed'. Deze malware is afkomstig van een gecompromitteerd e-mailaccount van een Oekraïense militair. Proofpoint schrijft deze activiteit voorlopig toe aan een cybercriminele groep die bekendstaat als TA445 (Ghostwriter/ UNC1151). Deze groep lijkt vanuit Wit-Rusland te opereren en heeft in het verleden met name desinformatie verspreid met als doel het Europese sentiment rond de verplaatsing van vluchtelingen binnen NAVO-landen te beïnvloeden.

Asylum Ambuscade
PDF – 2,0 MB 200 downloads

Chats van beruchte ransomwarebende uitgelekt na steun aan Rusland

Chatberichten van de beruchte ransomwarebende Conti zijn openbaar gemaakt. Aanleiding lijkt de onenigheid binnen de groep over de Russische aanval op Oekraïne. De oorlog in Oekraïne zorgt ook voor onrust onder grote cybercrime-bendes met vaak Oost-Europese wortels en leden uit de hele regio. Zo is er ruzie binnen Conti, een gijzelsoftware-bende van vermoedelijk Oekraïense oorsprong. Afgelopen vrijdag zei de leiding van de groep de Russische overheid te steunen. "Wij zullen met al onze middelen terugslaan tegen wie een cyberaanval of andere oorlogsdaad tegen Rusland start", klinkt het dreigement. Die pro-Russische toon valt verkeerd bij een Oekraïens lid van de bende. Zondag deelde dat anonieme lid de chatgeschiedenis van de bende van het afgelopen jaar, meldt The Record. De chatlogs zijn door cyberveiligheidsbedrijf IntelligenceX openbaar online gezet en beslaan de periode van 29 januari 2021 tot 27 februari 2022.  De echtheid van de berichten is bevestigd door onder meer Dmitry Smilyanets, een veiligheidsanalist die eerder contact had met de Conti-bende.

Https Intelx Io Did 51 Fbf 19 B 91 F 5 4 D 2 D B 4 E 7 504477 Ebe 916
PDF – 68,6 KB 270 downloads

Microsoft: Oekraïne getroffen door FoxBlade-malware uren voor invasie

Microsoft melde dat Oekraïense netwerken het doelwit waren van onlangs gevonden malware enkele uren voor de Russische invasie van Oekraïne op 24 februari. Onderzoekers van het Microsoft Threat Intelligence Center (MSTIC) observeerden destructieve aanvallen gericht op Oekraïne en zagen een malwarestam die ze FoxBlade noemden (VirusTotal-scan hier beschikbaar). Deze malware werd eerder opgemerkt door cyberbeveiligingsbedrijven Symantec en ESET een dag voordat de invasie begon en hermeticwiper genoemd door SentinelOne belangrijkste bedreigingsonderzoeker Juan Andres Guerrero-Saade. "Enkele uren voor de lancering van raketten of de beweging van tanks op 24 februari, detecteerde het Threat Intelligence Center (MSTIC) van Microsoft een nieuwe ronde van offensieve en destructieve cyberaanvallen gericht tegen de digitale infrastructuur van Oekraïne," zei Microsoft President en vice-voorzitter Brad Smith. "We hebben de Oekraïense regering onmiddellijk op de hoogte gebracht van de situatie, inclusief onze identificatie van het gebruik van een nieuw malwarepakket (dat we FoxBlade hebben genoemd), en technisch advies gegeven over stappen om het succes van de malware te voorkomen."


Website van Oekraïense ambassade is uit de lucht

De website van de Oekraïense ambassade is maandag uit de lucht. Het is nog niet duidelijk of er sprake is van een cyberaanval, al is dat wel waarschijnlijk. Ook de Nederlandse tak van de website is niet te bereiken. Daarnaast laden verschillende andere pagina's van de overheid niet. De afgelopen dagen zijn verschillende websites van zowel de Oekraïense als Russische overheid onbereikbaar geweest door cyberaanvallen. In Rusland gaat het om onder meer de website van het Kremlin en die van de Staatsdoema, het lagerhuis van de Russische Federatie. De websites zijn al sinds zaterdag offline en ook in de dagen daarvoor waren ze regelmatig niet bereikbaar. Vermoedelijk zit hackersgroep Anonymous achter die aanvallen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten