Overzicht cyberaanvallen week 46-2022

Gepubliceerd op 21 november 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Belgische gemeente slachtoffer, bedrijven betaalden Hive-ransomware 100 miljoen dollar losgeld en verdachte achter miljoenendiefstal met Zeus-malware opgepakt in Zwitserland. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 21-november-2022 | Aantal slachtoffers: 6.727


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ πŸ€”



Week overzicht

Slachtoffer Cybercriminelen Website Land
SAIPRESS Snatch www.saipress.com Unknown
McGRATH Snatch www.mgrc.com USA
Nok Air BlackCat (ALPHV) www.nokair.com Thailand
westmount.org LockBit westmount.org Canada
McAndrews Law Offices Royal mcandrewslaw.com USA
AirAsia Group DAIXIN www.airasia.com Malaysia
norseman.ca LockBit norseman.ca Canada
UNITEDAUTO.MX LV unitedauto.mx Mexico
Virginia Farm Bureau Royal www.vafb.com USA
Giambalvo, Stalzer & Co. BlackCat (ALPHV) www.gsco-cpas.com USA
KlamoyaCasino BlackCat (ALPHV) klamoyacasino.com USA
Naulty, Scaricamazza & McDevitt, LLC Royal naulty.com USA
Institute of Science and Technology Austria Vice Society www.ist.ac.at Austria
Motivating Graphics Black Basta www.motivatingraphics.com USA
ITM Black Basta www.itm.com Canada
M2S Electronics Royal www.m2selectronics.com Canada
Gemeente in Belgie *** *** Belgium
IMA Financial Group, Inc. Black Basta imacorp.com USA
Cristal Controls Royal www.cristalcontrols.com Canada
US GOVERNMENT Endurance In progress In progress
Lamtec Royal www.lamtec.com USA
Agri-Fab Hive www.agri-fab.com USA
Hydro-Gear Hive www.hydro-gear.com USA
LCMH Hive lcmh.com USA
Events DC BlackCat (ALPHV) eventsdc.com USA
*Π‘H*****-*A**F** International Karakurt Unknown Unknown
zagiel.pl LockBit zagiel.pl Poland
amend.com.br LockBit amend.com.br Brazil
linkplus.com.hk LockBit linkplus.com.hk Hong Kong
gulfcoastwindows.com LockBit gulfcoastwindows.com USA
itis-technology.com LockBit itis-technology.com Canada
Lantek Systems Inс RansomHouse www.lantek.com Spain
The Keenan Agency Inc Royal www.keenanins.com USA
Baysgarth School Vice Society www.baysgarthschool.co.uk UK
scottindustrialsystems.com LockBit scottindustrialsystems.com USA
THEW ASSOCIATES LV www.thewassociates.com USA
Nissan of Las Cruces Lorenz nissanoflascruces.com USA
Salud Family Health Lorenz saludclinic.org USA

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land
Gemeente in Belgie *** Belgium

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1241 Nog actief
2 Conti 674 Niet meer actief
3 REvil 247 Opnieuw actief

Bedrijven betaalden Hive-ransomware 100 miljoen dollar losgeld

De criminelen achter de Hive-ransomware hebben 100 miljoen dollar losgeld van getroffen organisaties ontvangen, zo stelt de FBI. Volgens de Amerikaanse opsporingsdienst zijn zeker dertienhonderd bedrijven slachtoffer van de ransomware geworden. De FBI heeft in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, en het Amerikaanse ministerie van Volksgezondheid een aparte waarschuwing voor de ransomware afgegeven (pdf). De Hive-ransomware hanteert een Ransomware-as-a-Service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de Hive-ransomware worden verschillende methodes gebruikt. Zo maken de aanvallers gebruik van bekende kwetsbaarheden in Microsoft Exchange Server en Fortinet FortiOS-server waarvoor organisaties beschikbare beveiligingsupdates niet hebben geïnstalleerd. Ook weten de aanvallers via het remote desktop protocol (RDP) en phishingmails binnen te komen. Zodra er toegang is verkregen schakelen de aanvallers beveiligingssoftware en back-upsoftware uit en verwijderen volume shadow copies en Windows event logbestanden. Hierna wordt de ransomware uitgerold en bestanden versleuteld. De aanvallers laten een losgeldboodschap achter, maar getroffen organisaties ontvingen ook e-mails en werden in enkele gevallen zelfs gebeld om over het losgeld te onderhandelen. Om aanvallen te voorkomen adviseren de Amerikaanse overheidsinstanties het direct installeren van beschikbare beveiligingsupdates, met name voor vpn-servers, remote access software en virtual machine-software. Ook wordt het gebruik van multifactorauthenticatie, beveiligen van RDP en maken van back-ups aangeraden.

Lees ook: Cybercrime-as-a-Service zetten alle seinen op rood voor 2023!

221117
PDF – 852,2 KB 135 downloads

Amerikaanse scholen dagenlang gesloten wegens ransomware-aanval

Scholen in meerdere Amerikaanse schooldistricten zijn wegens een ransomware-aanval drie dagen lang gesloten geweest. De aanval deed zich afgelopen weekend voor en zorgde ervoor dat scholen in Jackson en Hillsdale counties van maandag tot en met woensdag de deuren moesten sluiten. Het Jackson County Intermediate School District telt meer dan vijftien scholen en 24.000 leerlingen. Om het herstel van de getroffen systemen niet te verstoren werd besloten de scholen te sluiten. Gisteren was de hersteloperatie afgelopen en konden leerlingen weer naar school. Het onderzoek naar de aanval is nog gaande. Zo is op dit moment nog onbekend of er gegevens van leerlingen zijn buitgemaakt. Hoe de aanvallers toegang tot het netwerk konden krijgen is nog niet bekendgemaakt.


Google Ads gebruikt voor verspreiding van ransomware

Een groep criminelen maakt onder andere gebruik van Google Ads voor de verspreiding van ransomware, zo stelt Microsoft. De groep wordt aangeduid als DEV-0569 en zit achter de verspreiding van de "Royal-ransomware". Meerdere groepen hebben de beschikking over deze ransomware. Volgens Microsoft valt DEV-0569 op door de gebruikte verspreidingsmethodes waardoor het meer organisaties kan bereiken. Zo maakt de groep gebruik van de contactformulieren op bedrijfswebsites om berichten met malafide links achter te laten. Ook maakt de groep gebruik van legitiem lijkende downloadsites die in werkelijkheid malafide bestanden aanbieden. Daarnaast heeft de groep ook Google Ads ingezet. De via Google getoonde advertentiecampagnes maken gebruik van het legitieme traffic distribution system (TDS) Keitaro om potentiële doelwitten te selecteren. Afhankelijk van bijvoorbeeld ip-adres of apparaat komt de advertentie uit op een legitieme downloadsite of een malafide versie. De malafide downloadsite biedt bijvoorbeeld het programma TeamViewer aan, maar in werkelijkheid gaat het om malware waarmee uiteindelijk de ransomware kan worden geïnstalleerd. Microsoft heeft het gebruik van het advertentiesysteem door de ransomwaregroep bij Google gerapporteerd.


Cybercrime kost bedrijfsleven veel meer dan in andere landen

De financiële schade van cybercrime is voor een Nederlands bedrijf veel hoger in vergelijking met bedrijven in andere landen. Uit onderzoek van IT-beveiliger ESET Nederland kost een cyberincident bij een mkb-bedrijf in Nederland gemiddeld zo'n 270.000 duizend euro, een halve ton meer dan het wereldwijde gemiddelde. Daar zijn verschillende redenen voor, denkt Dave Maasland, CEO van ESET Nederland. 'Nederlandse bedrijven hebben een grote afhankelijkheid van IT. De kosten lopen dan snel op als daar iets mee gebeurt of als de computers niet meer werken.' Daarnaast denkt Maasland dat de krapte op de arbeidsmarkt een rol speelt. 'De lonen liggen in Nederland hoog. Dus als iemand gebeld moet worden om een incident te verhelpen, dan loopt dat ook snel in de kosten.' Van de ondervraagde bedrijven heeft twee derde ervaring met cybercrime. Die verhouding is in Nederland ook te zien, zegt Maasland. 'De financiële impact is dus groter terwijl de hoeveelheid cyberaanvallen gelijk is.' Uit het onderzoek komt ook naar voren dat veel mkb-ondernemers weinig vertrouwen hebben in hun eigen digitale weerbaarheid. Zorgelijk, denkt Maasland, maar enigszins ook wel te verklaren. 'Mkb-bedrijven staan voor een onmogelijke opgave. Er zijn al personeelstekorten, er is vaak financiële stress en technisch zijn ze minder volwassen dan grote bedrijven.' Volgens Maasland kan een cyberaanval op een mkb-bedrijf dan ook in veel gevallen nare gevolgen hebben. 'Als je, in deze tijd, ruim een kwart miljoen euro moet ophoesten, dan kan dat best het laatste duwtje over de rand zijn. Want dit zijn echt flinke kosten.'


Magento webshops worstelen met golf aan TrojanOrders-aanvallen

Minstens zeven misdaadgroepen zijn verantwoordelijk voor een toename van TrojanOrders-aanvallen op Magento 2-websites. Dat stelt securitybedrijf Sansec in een onderzoeksrapport. Naar verluidt maken de cybercriminelen misbruik van een oude kwetsbaarheid om servers te infecteren. Sansec stelt dat de aanvallen worden gericht op bijna 40 procent van alle Magento 2-websites. Volgens het securitybedrijf concurreren hackers onderling om controle te krijgen over getroffen servers. Tijdens het populaire Black Friday- en Cyber Monday-seizoen worden de aanvallen gebruikt om kwaadaardige JavaScript-code te injecteren in online winkels, waardoor webshops op schaal worden verstoord door creditcardfraude. De trend zet naar verwachting door nu de kerstdagen naderen. Webshops zijn op hun drukst en kwetsbaarst. De TrojanOrders-aanval is vernoemd naar de CVE-2022-24086-kwetsbaarheid in Magento 2. De kwetsbaarheid stelt niet-gemachtigde aanvallers in staat om code uit te voeren en remote access trojans (RAT’s) te injecteren op niet-gepatchte websites. Adobe, de eigenaar van Magento 2, patchte CVE-2022-24086 in februari 2022. Sansec beweert dat veel Magento-sites nog steeds kwetsbaar zijn. Volgens het bedrijf ontbreekt de patch op ongeveer een op de drie Magento- en Adobe Commerce-winkels. Analisten van Sansec noemden verschillende oorzaken voor de recente piek. Ten eerste zijn veel websites nog steeds niet gepatcht, terwijl de updates tien maanden geleden werden uitgebracht. Ten tweede zijn er in die tien maanden steeds meer exploits ontwikkeld. Ontwikkelaars van exploit kits nemen de kwetsbaarheden op in tools die worden verkocht aan ongeschoolde hackers. Volgens Sansec zijn de tools vanaf 2.500 dollar verkrijgbaar. Naar verluidt kostten de tools eerder dit jaar tussen de 20.000 en 30.000 dollar. De stijging wijst op een toename in het aanbod. Tot slot is de timing optimaal. Websites zien meer verkeer in de aanloop naar Kerstmis, waardoor de signalen van een aanval langer onopgemerkt blijven.


Amerikaanse overheid via Log4j-lek besmet met cryptominer en proxytool

Een federale Amerikaanse overheidsinstantie is begin dit jaar via de Log4j-kwetsbaarheid besmet geraakt met een cryptominer. Ook installeerden de aanvallers software voor het stelen van inloggegevens en een proxytool om op afstand toegang tot de systemen te behouden. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. De Log4j-kwetsbaarheid was aanwezig in een VMware Horizon-server. De niet nader genoemde overheidsinstantie had de beschikbaar gestelde beveiligingsupdate niet tijdig geïnstalleerd. Nadat de aanvallers via het beveiligingslek toegang tot de server hadden gekregen installeerden ze eerst de cryptominer. Vervolgens gebruikten ze een ingebouwd Windows-account om via RDP verbinding met een VMware VDI-KMS host te maken. Op deze host installeerden de aanvallers verschillende tools, waaronder PsExec, Mimikatz voor het stelen van inloggegevens en de reverse proxytool Ngrok. Via de inloggegevens die met Mimikatz werden gestolen maakten de aanvallers een malafide domeinbeheerder aan. Dit account werd vervolgens gebruikt om via RDP op andere systemen in te loggen, waar Windows Defender handmatig werd uitgeschakeld en Ngrok geïnstalleerd. Ook wijzigden de aanvallers op verschillende systemen het wachtwoord van het lokale beheerdersaccount, mocht het malafide domeinbeheerdersaccount worden ontdekt en verwijderd. Om vanaf buiten toegang tot de systemen te krijgen maakten ze gebruik van de Ngrok-proxytool. Het CISA en de FBI adviseren organisaties om updates voor VMware Horizon te installeren. Mocht dat niet zijn gedaan in december 2021 toen de VMware-updates uitkwamen, dan moeten de systemen als gecompromitteerd worden beschouwd. Volgens de Amerikaanse overheidsinstanties is de aanval het werk van een door de Iraanse overheid gesponsorde groep.


Twitter onder cyberattack

Met de recente veranderingen bij Twitter is er een toename van het aantal Twitter-gerelateerde phishing-campagnes waargenomen, met als doel het stelen van Twitter-inloggegevens. Deze campagnes zijn meestal gericht op bekende personen uit de media- en entertainmentwereld, waaronder journalisten, en gebruikers die geverifieerd lijken te zijn op Twitter. Vaak komt het e-mailadres overeen met de gebruikte Twitter-handle of is de e-mail zichtbaar in de Twitter-biografie van de gebruiker. Hoewel we in het verleden wel vaker Twitter-gerelateerde credential phishing hebben gezien met accountverificatie als thema, is de hoeveelheid aanvallen de afgelopen weken toegenomen. Het is niet verrassend dat cybercriminelen Twitter als thema gebruiken voor hun aanvallen. Cybercriminelen gebruiken regelmatig thema's die aansluiten bij de actualiteit en relevant zijn voor mensen, omdat dat de kans vergroot dat iemand in de social engineering trapt. Hoewel er momenteel veel gebeurt bij Twitter, is het nog steeds lucratief om toegang te krijgen tot accounts. Geverifieerde Twitter-accounts hebben doorgaans een groter publiek dan de gemiddelde gebruiker, en gecompromitteerde accounts kunnen worden gebruikt om desinformatie te verspreiden, gebruikers aan te sporen om op schadelijke content te klikken, zoals frauduleuze cryptocurrency-scams, of kunnen worden gebruikt voor verdere phishing-campagnes naar andere gebruikers. Sherrod DeGrippo, Vice President, Threat Research and Detection bij Proofpoint: "Proofpoint heeft een opmerkelijke toename gezien van het aantal Twitter-gerelateerde phishing-aanvallen waarbij geprobeerd wordt om Twitter-inloggegevens te stelen. In meerdere campagnes worden berichten gebruikt die te maken hebben met Twitter-verificatie of het nieuwe product Twitter Blue, zoals "Twitter blue badge Billing Statement Available". We hebben gezien dat deze campagnes zowel Google Forms en URL's gebruiken om data te verzamelen en door te sturen naar servers van de criminelen."


Australië overweegt verbod op betalen van losgeld bij ransomware-aanvallen

De Australische overheid overweegt om een verbod in te voeren op het betalen van losgeld bij ransomware-aanvallen. Ook wordt er een nieuwe taskforce bestaande uit de politie en inlichtingendienst opgericht die zich gaat bezighouden met de aanpak van cybercriminelen. Dat liet de Australische minister van Binnenlandse Zaken Clare O'Neil afgelopen weekend tegenover ABC weten. Australië heeft de afgelopen weken met twee grote datalekken te maken gekregen, waarbij de gegevens van miljoenen Australiërs werden gestolen. Bij een aanval op telecomprovider ging het om de gegevens van 9 miljoen mensen. Een aanval op zorgverzekeraar Medibank leverde criminelen de gevoelige gegevens van 9,7 miljoen Australiërs op. De aanvallers eisten 15 miljoen dollar van Medibank voor het niet publiceren van de gestolen data. Het bedrijf weigerde dat, waarop medische dossiers met zeer gevoelige gegevens online werden gezet. "Het idee dat we deze mensen vertrouwen om de data te verwijderen die ze hebben gestolen en mogelijk een miljoen keer hebben gekopieerd is gewoon onnozel", aldus O'Neil. Ze wil dan ook het businessmodel van ransomwaregroepen verstoren, waarbij er ook wordt gekeken naar een verbod op het betalen van losgeld. Daarnaast wil de minister de nieuw op te richten taskforce proactief offensieve operaties tegen deze groepen laten uitvoeren. Aan de andere kant wil O'Neil dat bedrijven straks nog alleen klantgegevens in bezit mogen hebben die op dat moment nodig zijn. Wanneer bedrijven niet goed omgaan met klantgegevens moeten ze hogere privacyboeteskunnen krijgen.


Criminelen maken psychische klachten Medibank-klanten openbaar

De criminelen die wisten in te breken op systemen van de Australische zorgverzekeraar Medibank en daar gegevens van 9,7 miljoen mensen buitmaakten zijn nu ook begonnen om informatie over psychische klachten van klanten openbaar te maken, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Dat laat The Sydney Morning Herald weten en is ook door Medibank bevestigd. De aanvallers dreigden de gestolen data openbaar te maken tenzij Medibank losgeld zou betalen. Vorige week liet de zorgverzekeraar weten dat het dit niet zou doen. Daarop begonnen de criminelen met het publiceren van gestolen medische dossiers. Daarin staat onder andere dat mensen zijn gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en HIV. Vanwege de publicatie van gestolen medische gegevens die aan Medibank waren toevertrouwd zouden verschillende klanten een massaclaim overwegen. Vandaag hebben de aanvallers meer dossiers online geplaatst, onder andere met informatie over mentale gezondheidsproblemen van Medibank-klanten. Later deze week staat een aandeelhoudersvergadering van de zorgverzekeraar gepland. Hoe de aanvallers op de systemen konden inbreken is nog altijd onbekend. Naar aanleiding van de aanval heeft de Australische politie bedrijven opgeroepen om ervoor te zorgen dat hun systemen zijn beveiligd en criminelen geen losgeld te betalen. Het datalek bij Medibank is het tweede grote gevoelige datalek waar Australië in korte tijd mee te maken krijgt. Daar wist een aanvaller, volgens de Australische overheid op kinderlijk eenvoudige wijze, de gegevens van zo'n tien miljoen Australiërs in handen te krijgen, zo'n veertig procent van de totale bevolking.


"Verdachte achter miljoenendiefstal met Zeus-malware opgepakt in Zwitserland"

De Zwitserse autoriteiten hebben een veertigjarige Oekraïense man aangehouden die samen met anderen door middel van de Zeus-malware 70 miljoen dollar van bedrijven in Europa en de Verenigde Staten zou hebben gestolen. De man werd al begin 2014 door de Amerikaanse autoriteiten aangeklaagd en wordt al geruimde tijd gezocht door de FBI. Dat meldt it-journalist Brian Krebs op basis van verschillende anonieme bronnen. Zeus is een zogenoemde 'banking Trojan'. Dit is malware speciaal ontwikkeld om gegevens voor internetbankieren te stelen, om daar vervolgens mee te frauderen. Naar schatting zou de bende achter de Zeus-malware zo zeventig miljoen dollar hebben gestolen (pdf). De FBI loofde een beloning van drie miljoen dollar uit voor de ontwikkelaar van de Zeus-malware. De nu aangehouden verdachte zou verantwoordelijk zijn voor het regelen van katvangers en het uitwisselen van gestolen inloggegevens voor internetbankieren. De Oekraïner werd volgens bronnen drie weken geleden in Genève aangehouden toen hij zijn vrouw bezocht. Hij wordt verdacht van 'racketeering', computerfraude, identiteitsfraude en bankfraude. Zowel de FBI als Zwitserse autoriteiten hebben nog niets over de aanhouding bekendgemaakt. Eerder deze maand werd bekend dat een andere door de VS gezochte malware-ontwikkelaar begin dit jaar in Nederland is aangehouden.

Yakubets Complaint Filed 111419 Ne 0
PDF – 905,6 KB 163 downloads

VS klaagt verdachte aan voor wereldwijde aanvallen met LockBit-ransomware

De Amerikaanse overheid heeft een Canadees-Russische man aangeklaagd voor wereldwijde aanvallen met de LockBit-ransomware. De 33-jarige verdachte werd eind oktober in Canada aangehouden en wacht nu op uitlevering aan de Verenigde Staten. De LockBit-ransomware verscheen begin 2020 en heeft volgens de openbaar aanklager sindsdien zeker duizend slachtoffers wereldwijd gemaakt. Onder andere de Brabantse logistiek dienstverlener Van der Helm Logistics, de Nederlandse politie- en defensieleverancier Abiom, Bangkok Airways, bandenfabrikant Bridgestone, BPO-dienstverlener Atento, Belgische ziekenhuizen van zorggroep Vivalia en de Belgische gemeente Maldegem. De criminelen achter de ransomware hebben meer dan honderd miljoen dollar losgeld van slachtoffers geëist en tientallen miljoenen dollars losgeld daadwerkelijk ontvangen, aldus de aanklager. De FBI is sinds maart 2020 met een onderzoek naar de LockBit-ransomware bezig. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De nu aangeklaagde man wordt verdacht van het uitvoeren van aanvallen met de LockBit-ransomware. Op zijn laptop werd een lijst met aangevallen organisaties en potentiële slachtoffers ontdekt, alsmede screenshots van gesprekken van LockBit-operators, een tekstbestand met instructies voor het uitrollen van de ransomware, broncode voor het versleutelen van data op Linux-systemen, foto's met informatie van LockBit-slachtoffers. De man werd eind oktober in zijn garage door de Canadese autoriteiten aangehouden, nog voordat hij zijn laptop kon vergrendelen. Op de laptop stond het inlogscherm van de LockBit-datalekwebsite open. Via deze website maakt de ransomwaregroep bij slachtoffers gestolen data openbaar. De verdachte is aangeklaagd voor het opzettelijk beschadigen van beveiligde computers en het eisen van losgeld. Indien veroordeeld kan hij een gevangenisstraf van maximaal vijf jaar krijgen.


Cybercriminelen stelen 2 miljard dollar van cryptobeurs FTX

FTX moest afgelopen vrijdag uitstel van betaling aanvragen omdat de cryptobeurs was aangevallen door hackers. FTX had slechts beperkte liquide middelen en door de hack is mogelijk 2 miljard dollar aan tegoeden van klanten gestolen. De overgebleven cryptomunten zijn overgeboekt naar een digitale kluis. FTX werd door beleggers gezien als een stabiel en betrouwbaar platform om cryptomunten te verhandelen. Lange tijd was dat ook geval, tot vorige week dinsdag. Toen namen beleggers massaal hun investeringen op toen bleek dat cryptomiljonair Sam Bankman-Fried risico’s afdekte met de FTX-munt die hij zelf uitgaf. Tegelijkertijd bleek dat het cryptohandelsplatform kampte met een tekort van 10 miljard dollar. Achter de schermen zou Bankman-Fried miljarden hebben overgemaakt van FTX naar Alameda, zijn persoonlijke handelsbedrijf. Binance, de grootste concurrent van FTX, probeerde de cryptobeurs nog te redden, maar haakte uiteindelijk af. Zodoende was FTX genoodzaakt om een zogeheten chapter 11 aan te vragen. Dat is een uitstel van betaling dat in praktijk vaak resulteert in een faillissement. Bankman-Fried is door politie opgepakt en verhoord. Agenten onderzoeken of de neergang van FTX het gevolg is van slecht management, of dat er sprake van is criminele praktijken. Het nieuws over de val van FTX en het verhoor van de topman, was niet het enige waar de cryptobeurs die vanuit de Bahama’s werd gerund te verwerken kreeg. Volgens Coindesk is er vrijdagavond laat meer dan 600 miljoen dollar verdwenen uit de cryptowallets van FTX. Ingewijden zeggen persbureau Reuters dat er tussen de 1 en 2 miljard dollar uit het niets is verdwenen. “FTX is gehackt. FTX-apps zijn malware. Verwijder ze. De chat [op Instagram, red.] is geopend. Ga niet naar de website van FTX, mogelijk download je daar Trojaans paarden”, zo waarschuwde Ryne Miller, het hoofd van de afdeling juridische zaken. Ook gaf hij iedereen het advies om geen updates van de FTX-apps te installeren en alle apps te verwijderen. Enkele uren na het bovenstaande bericht kondigde Miller het faillissement van FTX aan. De resterende digitale middelen van het cryptohandelsplatform zijn toen overgesluisd naar een digitale kluis. In een statement bevestigde John Ray, de CEO van FTX, dat er sprake is geweest van “ongeoorloofde toegang tot digitale middelen”. Hoeveel geld daarbij is buitgemaakt, laat de algemeen directeur in het midden. Janet Yellen, de Amerikaanse minister van Financiën, zei zondag dat cryptomunten geen gevaar vormen voor het financiële systeem. Wel pleitte ze voor “zeer zorgvuldige regulering” voor de markt van digitale munten. Het debacle met FTX brengt volgens haar de zwakheden van de cryptosector zien, zo zei ze tegen Bloomberg. Door de gang van zaken bij FTX daalde over de gehele linie de waarde van diverse cryptomunten. Zo lag de koers van de Bitcoin afgelopen weekend onder de 16.000 euro, de laagste koers sinds november 2020.


Zorginstellingen VS gewaarschuwd voor ransomware-aanvallen via RDP

Het Amerikaanse ministerie van Volksgezondheid heeft zorginstellingen gewaarschuwd voor ransomware-aanvallen waarbij de aanvallers door middel van het remote desktop protocol (RDP) weten binnen te dringen. Het gaat dan specifiek om aanvallen met de Venus-ransomware, die volgens het ministerie sinds augustus wereldwijd slachtoffers heeft gemaakt (pdf). Om toegang tot organisaties te krijgen maken de aanvallers gebruik van RDP, waarmee het mogelijk is om op afstand op systemen in te loggen. Dit is mogelijk door middel van gestolen inloggegevens of bruteforce-aanvallen. Zodra de aanvallers toegang hebben schakelen ze 39 processen van databaseservers en Microsoft Office-applicaties uit. Vervolgens worden logbestanden en shadow copy volumes verwijderd en de beveiligingsmaatregel Data Execution Prevention uitgeschakeld. Recentelijk is zeker één Amerikaanse zorginstelling door de ransomware getroffen, aldus het ministerie. Zorginstellingen worden door het Health Sector Cybersecurity Coordination Center (HC3) van het ministerie geadviseerd om verschillende maatregelen te nemen. Aangezien de RDP-aanvallen ook op niet-standaard TCP-poorten plaatsvinden wordt geadviseerd om RDP achter een firewall te plaatsen. Verder wordt aangeraden om multifactorauthenticatie in te schakelen en RDP alleen via een vpn-verbinding toegankelijk te maken. Ook adviseert het ministerie rate limiting in te stellen, om zo bruteforce-aanvallen tegen te gaan.

Venus Ransomware Analyst Note
PDF – 189,1 KB 96 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Maart 2024
Februari 2024