Overzicht cyberaanvallen week 47-2022

Gepubliceerd op 28 november 2022 om 15:00

First click here and then choose your language with the Google translate bar at the top of this page ↑


Cybercriminelen maken meer dossiers met hiv-status Medibank-klanten openbaar, fabrikant van leidingsystemen en fittingen slachtoffer van cybercriminelen en de inmiddels beruchte Hive-ransomware heeft in nog geen anderhalf jaar tijd al 100 miljoen dollar aan losgeld geïncasseerd. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 28-november-2022


Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
28-11-2022 (tot nu toe) 6.774


Week overzicht

Slachtoffer Cybercriminelen Website Land
STGi Snatch www.stginternational.com USA
VANOSS Public School BianLian vanoss.k12.ok.us USA
Power Plant Services LLC BianLian ppsvcs.com USA
Samrin Services Pvt Ltd BianLian samrinservices.com India
Altec Engineering LLC BianLian altecengineering.com UK
Block Buildings LLC BianLian Unknown Unknown
Badger Truck Refrigeration, Inc BianLian btrac.com USA
Ta Chen Stainless Pipe Co., Ltd BlackCat (ALPHV) www.tachen.com Taiwan
GLEN DIMPLEX GROUP LV www.glendimplex.com Ireland
Law Firm of Friedman + Bartoumian Royal www.friedmanlawoffices.com USA
carone.com.mx LockBit carone.com.mx Mexico
Guilford College Hive www.guilford.edu USA
Essent company Ragnar_Locker www.essent.com USA
Maple Leaf Foods Black Basta www.mapleleaffoods.com Canada
Myton School BianLian www.mytonschool.co.uk UK
Modular Mining BianLian www.modularmining.com USA
Centura College BianLian www.centuracollege.edu USA
Versah BianLian www.versah.com USA
Gazelle International Ltd BianLian www.apcgazelle.co.uk UK
Boon Tool Co BianLian www.bontool.com USA
Netaş BianLian netas.com.tr Turkey
Rentz Management BianLian rentzmanagement.com USA
Harry Rosen BianLian www.harryrosen.com Canada
Los Angeles Business Journal Royal www.labusinessjournal.com USA
Pmc-group Cuba pmc-group.com USA
Cincinnati State Vice Society www.cincinnatistate.edu USA
Astra Daihatsu Motor (ID) DAIXIN www.astra-daihatsu.id Indonesia
Norman Public Schools Hive www.normanpublicschools.org USA
*u**** BianLian Unknown USA
lapiamontesa BlackByte lapiamontesa.com Argentina
SMB Solutions RansomHouse www.smbsolutions.com.au Australia
Aeronautics company Canada / UTC Aerospace Systems, Bombardier aerospace partners Everest Unknown Canada
Leak Announcement - IT company ITonCLOUD Ragnar_Locker www.itoncloud.com Australia
ryokikogyo.co.jp LockBit ryokikogyo.co.jp Japan
ssp-worldwide.com LockBit ssp-worldwide.com UK
Schrader-Pacific International Karakurt www.schrader-pacific.com USA
Stratus  Karakurt www.stratusunlimited.com USA

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1244 Nog actief
2 Conti 674 Niet meer actief
3 REvil 247 Opnieuw actief

Russische hackers hebben het gemunt op Nederlandse gasinstallaties

Hackers hebben interesse in de systemen van Nederlandse LNG-terminals. Ze onderzoeken of ze binnen kunnen komen en voeren andere verkennende operaties uit. Dat zien onderzoekers van cyberbeveiliger Dragos. Volgens de FBI en andere onderzoekers zijn de groepen gelieerd aan Rusland. Experts vrezen dat de terminals binnenkort digitaal worden aangevallen en mogelijk worden platgelegd. "We weten dat LNG-terminals een doelwit zijn. Het is alleen de vraag wanneer en hoe", zegt onderzoeker Casey Brooks van het Amerikaanse cyberveiligheidsbedrijf Dragos tegen RTL Z. Dragos, gespecialiseerd in het beveiligen van industriële bedrijven, ziet dat twee hackersgroepen, Xenotime en Kamacite, 'verkennend onderzoek' doen rond de digitale systemen van de LNG-terminal van Gasunie in Rotterdam. Daarnaast zouden ze de systemen van andere Europese LNG-terminals en infrastructuur in de energiesector analyseren. "Dit zijn tests om te kijken waar ze mogelijk impact kunnen hebben met een digitale aanval." De groepen hebben volgens de FBI en cyberonderzoekers banden met de Russische geheime diensten. Bovendien waarschuwde de FBI eerder dit jaar al dat Russische hackers op eenzelfde manier de systemen van Amerikaanse energiebedrijven onderzochten. Andere cybersecuritybedrijven zien ook meer activiteit rond vitale infrastructuur in Europa en in Nederland. Zoals het Nederlandse bedrijf EclecticIQ. Volgens dat bedrijf is het wel de eerste keer zijn dat Xenotime zich richt op Europa. Het is logisch dat Nederlandse LNG-terminals nu doelwit zijn van onderzoek door Russische hackers, zegt Joep Gommers, de oprichter van EclecticIQ. "Het ligt zeker binnen de modus operandi en focus van Rusland in deze tijd." Dat zegt ook Ralph Moonen, van cyberbeveiliger Secura. "Het is bekend dat Russische hackersgroepen dit soort onderzoeken uitvoeren." Door de oorlog in Oekraïne zien cybersecuritybedrijven dit jaar een flinke stijging van het aantal cyberaanvallen in het algemeen. In de maanden januari tot september ligt dat op gemiddeld ruim 5 miljoen unieke cyberaanvallen per maand, blijkt uit cijfers van cybersecuritybedrijf ESET. Dat is ruim 20 procent meer dan in 2021. Het gaat dan om bijvoorbeeld phishing-aanvallen, aanvallen met gijzelsoftware of andere vormen van kwaadaardige malware en DDoS-aanvallen om websites onbereikbaar te maken voor bezoekers. Beveiliger Fox-IT schat in dat door de energiecrisis er concrete dreiging is dat kwaadwillenden zich richten op bedrijven die actief zijn in de energiesector. "Met name in de toeleveringsketen voor de aanvoer en distributie van LNG", stelt een woordvoerder van Fox-IT. "De partijen die interesse hebben in deze sector zijn waarschijnlijk door een staat gesponsorde kwaadwillende groep, bijvoorbeeld de groepen die door de Russische FSB en GRU (geheime diensten, red.) geleid worden." Europarlementariër Bart Groothuis (VVD) kent de signalen van Russische hackersgroeperingen die de systemen van LNG-terminals onderzoeken. "Het wordt langzamerhand tijd dat we hierop handelen voordat het misgaat. Gas is het favoriete Russische wapen tegen de EU. Het veroorzaken van chaos op de energiemarkt en het manipuleren van die markt is een duidelijke geopolitieke doelstelling", zegt Groothuis. Gasunie wil niet zeggen of het op de hoogte is van Russische hackers die zoeken naar kwetsbaarheden bij het bedrijf. "In het kader van de veiligheid geven we daar geen informatie over." Gasunie wil ook niet zeggen of het de beveiligingsmaatregelen heeft aangescherpt. "Los van de oorlogssituatie staat veiligheid hoog in het vaandel en houden we rekening met allerlei situaties." Het bedrijf is eigenaar van de LNG-terminal in de Eemshaven en samen met Vopak eigenaar van de terminal in Rotterdam. Vopak wilde niet reageren op vragen van RTL Z. VVD-Kamerlid Queeny Rajkowski wil opheldering van minister Yeşilgöz van Justitie en Veiligheid en gaat Kamervragen te stellen. "Het is een potentiële crisissituatie. Ik wil weten wat de minister doet om te voorkomen dat er een digitaal infarct komt. Alle digitale muren moeten worden opgetrokken", zegt Rajkowski. 


Fabrikant van leidingsystemen en fittingen slachtoffer van cybercriminelen

Uponor, fabrikant van leidingsystemen en fittingen is deze maand aangevallen door cybercriminelen. Hierbij is een datalek ontstaan. Hierdoor heeft de volledige productie van het bedrijf een week stil gelegen. Bij de aanval is data van werknemers, partners en klanten gelekt. Deze data ligt op dit moment niet op straat, meldt het bedrijf. De productie in Europa en Amerika is inmiddels weer opgestart. Uponor verwacht dat klanten minimaal getroffen worden. Uponor zegt dat de aanval, die plaats vond op 5 november ransomware betrof. Ransomware is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het IT-systeem door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Uit voorzorg is de volledige productie van het bedrijf een week lang stilgelegd. Uponor is een Fins bedrijf dat actief is in meer dan 80 landen in Europa en Noord-Amerika. Bij het bedrijf werken 3900 mensen. In Nederland wordt het merk vertegenwoordigd door Nathan. Uponor is vooral bekend van de leidingsystemen voor verwarming en drinkwater. De productie is na een lockdown van een week wel weer opgestart, maar zit nog niet op het oude niveau. “We nemen alle mogelijke veiligheidsmaatregelen die nodig zijn. Onze focus ligt om productie weer op het oude niveau te krijgen”, stelt het bedrijf in een reactie. Uponor verwacht dat klanten minimaal last hebben van de aanval. Uponor heeft aangifte gedaan bij politie en de autoriteiten voor bescherming van persoonsgegevens. Het bedrijf doet in afwachting van het onderzoek geen inhoudelijke mededelingen. Wel heeft het Finse bedrijf, dat in Helsinki aan de beurs genoteerd staat, haar winstverwachting voor 2022 ingetrokken. Dat heeft vooral te maken met het feit dat de aanval aan het eind van het jaar plaatsvindt. Daardoor kan het opgedane omzetverlies van het laatste kwartaal dit jaar niet meer goedgemaakt worden.


130 miljoen dollar van cybercriminelen in beslag genomen

Bij een internationale politieoperatie die van eind juni tot en met afgelopen woensdag plaatsvond is 130 miljoen dollar van cybercriminelen in beslag genomen en 975 verdachten aangehouden, zo laat Interpol weten. De operatie richtte zich op verschillende delicten, waaronder phishing, datgingfraude, sextortion, investeringsfraude en het witwassen van geld verdiend met online gokken. Door de aanhouding van de 975 verdachten konden autoriteiten meer dan zestienhonderd zaken oplossen, aldus Interpol. Daarnaast werden bijna 2800 bankrekeningen en cryptowallets geblokkeerd die waren gelinkt aan het ontvangen van geld verkregen via cybercrime. Tijdens de operatie is er ook een nieuw protocol van Interpol gelanceerd, genaamd Anti-Money Laundering Rapid Response Protocol (ARRP), waarmee deelnemende landen verzoeken om criminelen tegoeden te bevriezen kunnen afhandelen.


Malware in populaire Roblox-extensie voor Chrome raakt 200.000 spelers

Aan een populaire Google Chrome-extensie voor het spel Roblox met meer dan 200.000 installaties is gisteren malware toegevoegd die wachtwoorden en virtuele goederen van spelers probeert te stelen. Google heeft de extensie inmiddels uit de Chrome Web Store én bij gebruikers verwijderd. Die worden onder andere aangeraden hun wachtwoorden te wijzigen. SearchBlox is een Chrome-extensie voor het zoeken en joinen van Roblox-servers. Meer dan 200.000 spelers installeerden de Chrome-extensie. Gisteren bleek dat er kwaadaardige JavaScript aan de extensie was toegevoegd die onder andere virtuele items van Roblox-spelers automatisch verhandelt en hun inloggegevens steelt. Volgens berichten op Twitter zou de malafide code door de ontwikkelaar van de extensie zijn toegevoegd, maar dat is nog niet bevestigd. Wel zou het account van de extensie-ontwikkelaar op het Roblox-handelsplatform Rolimons wegens verdachte activiteiten zijn opgeheven.


Criminelen profiteren nog steeds van niet gepatchte Log4J-gaten

Criminelen profiteren nog steeds van de kwetsbaarheid Log4j, een open source Java-logtool die voor veel applicaties wordt gebruikt. Veel organisaties blijken geen updates door te voeren, zo meldt G DATA CyberDefense in een persbericht. Het aantal nieuwe cyberaanvallen neemt af in het derde kwartaal van 2022, zegt het Duitse antivirusbedrijf. In plaats van nieuwe aanvalsgolven lanceren cybercriminelen momenteel gerichte aanvallen op bedrijven die ze eind vorig jaar al hadden geïnfiltreerd via de kwetsbaarheid. Aanvallers installeerden eerder ‘backdoors’ die onopgemerkt bleven. Ze maken daar nu misbruik van en smokkelen extra kwaadaardige code het netwerk in, inclusief ransomware. “Bijzonder verontrustend is het feit dat nog niet alle organisaties de kwetsbaarheid hebben opgelost. Dit betekent dat ze nog steeds een potentieel doelwit zijn voor cybercriminelen”, zo schrijft het bedrijf. "Wat we aan het begin van het jaar hadden voorspeld over de exploitatie van de Log4j-kwetsbaarheid komt nu uit,” zegt Eddy Willems, security-expert bij G DATA CyberDefense. “Dankzij Log4j was het voor cybercriminelen een fluitje van een cent om honderdduizenden systemen te infecteren. De tijd van oogsten is helaas nu aangebroken. Daarentegen daalt het aantal nieuwe aanvallen in vergelijking met het vorige kwartaal in 2022 wel, namelijk met zo’n 13,7%. Bij consumenten is de daling groter dan bij bedrijven. Het aantal afgewende aanvallen op zakelijke klanten daalde van het tweede kwartaal naar het derde kwartaal met 7,5% en voor particuliere klanten met bijna 15%.” Met name malware genaamd Berbew, Neojitt en Formbook wordt gebruikt om systemen aan te vallen. Berbew leest wachtwoorden en verstuurt deze naar een externe webserver, het fungeert ook als een webproxy waardoor criminelen het geïnfecteerde systeem kunnen gebruiken als een schakelaar voor externe toegang tot andere systemen. FormBook steelt informatie zoals inloggegevens, in de cache van webbrowsers of via screenshots. Dit wordt op diverse forums aangeboden als een Malware-as-a-Service (MaaS).


Digitale diensten bij voedingsgroothandel Metro opnieuw zwaar verstoord

Na een eerdere cyberaanval eind oktober zijn de digitale diensten bij voedingsgroothandel Metro opnieuw zwaar verstoord: de kassa’s werken enkel offline en er is hinder in de webshops.Metro heeft opnieuw een aantal digitale diensten moeten afsluiten als gevolg van een cyberaanval. Dat heeft een impact op de toegang tot computers, e-mailcommunicatie en digitale diensten in de winkels. In de Belgische winkels van Metro en Makro – die nog steeds draaien op de infrastructuur van Metro AG – werken de kassa’s momenteel enkel in de offline modus. De winkels zijn enkel telefonisch bereikbaar en de bezorgdienst is tijdelijk stopgezet. Dat melden ons bronnen binnen het bedrijf. Het is niet duidelijk of het gaat om een nieuwe cyberaanval, of om de nasleep van een vorige grootschalige actie door hackers. Een cyberaanval die Metro trof op 17 oktober, veroorzaakte namelijk hinder die meer dan een week aanhield. Ook toen werden de kassasystemen, de elektronische prijsetiketten en de e-commercediensten verstoord, in alle landen waar de foodservicegroothandel actief is. Pas op 24 oktober waren de problemen achter de rug, volgens het bedrijf, dat aanvankelijk uit voorzichtigheid niet over de problemen communiceerde.


Cyberaanval op Europees Parlement door ’pro-Russisch’ hackerscollectief

Het Europees Parlement is het doelwit van een cyberaanval. Volgens parlementsvoorzitter Roberta Metsola heeft een pro-Russisch hackerscollectief de verantwoordelijkheid opgeëist. Uit een interne e-mail blijkt dat de website van de EU-instelling kampt met een DDoS (Website aanval). Cybercriminelen sturen dan een lawine van ’gebruikers’ om te zorgen dat een website urenlang onbereikbaar is. De aanval begon na een symbolische stemming over Rusland: het Europees Parlement noemt het land voortaan een ’sponsor van terrorisme’. Parlementsvoorzitter Metsola legt een link met deze stemming. „Mijn reactie: Slava Ukraini”, twittert ze. „Onze it-experts proberen het op te lossen.” Het platgooien van de website zorgt achter de schermen voor grote problemen bij politici en hun medewerkers. Veel documenten zijn digitaal en kunnen door de aanval niet worden geraadpleegd. Ironisch genoeg stemde het Parlement woensdag ook over begrotingsplannen om de eigen cyberveiligheid te verbeteren. Verschillende politici reageren woest op de actie van cybercriminelen.. „Dit is een schandalige aanval op onze democratie. Dit bewijst dat Rusland inderdaad een sponsorstaat van terrorisme is”, reageert SGP-politicus Bert-Jan Ruissen. De Europese Commissie veroordeelt de aanval.


FBI helpt Duitsers bij onderzoek naar cyberaanval op Continental

De FBI sluit zich aan bij een onderzoek naar een cyberaanval op de Duitse fabrikant van onder meer autobanden Continental. Bij de aanval eerder dit jaar is data buitgemaakt, die inmiddels online te koop is aangeboden. In totaal zou het gaat om 40TB aan data. De aanval is door Continental in augustus bekend gemaakt. Het bedrijf meldde toen de aanval met succes te hebben afgeslagen. De schade lijkt echter toch groter dan tot nu toe gedacht. Zo meldt Handelsblatt dat in totaal 40TB aan data is buitgemaakt bij het bedrijf. Een inhoudsopgave van de gestolen data is inmiddels online gedeeld door de groepering Lockbit 3.0. Het gaat onder meer om strategische plannen, investeringsplannen en budgetinformatie. Denk echter ook aan informatie over klanten van Continental. De aanvallers bieden de data te koop aan voor 50 miljoen dollar. Handelsblatt en Reuters melden dat de Amerikaanse FBI zich op verzoek van de Duitse autoriteiten de FBI aansluit bij het onderzoek naar de aanval op Continental. Dit houdt mogelijk verband met een aantal fabrieken in de Verenigde Staten (VS) waarover Continental beschikt, waarmee de aanval ook de VS raakt. Zowel Continental als de FBI hebben vooralsnog niet gereageerd op de berichtgeving.


Gokplatform DraftKings is getroffen door een credential stuffing-aanval

Het online gokplatform DraftKings is getroffen door een credential stuffing-aanval waarbij aanvallers op accounts van gebruikers wisten in te breken en zo'n 300.000 dollar buitmaakten. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. In een verklaring op Twitter meldt DraftKings dat aanvallers met inloggegevens die bij andere websites zijn gestolen toegang tot de accounts van gebruikers hebben gekregen. Vervolgens werd het geld dat deze gebruikers in hun account hadden buitgemaakt. De schade bedraagt zo'n 300.000 dollar. DraftKings zegt dat het getroffen gebruikers schadeloos zal stellen. Verder krijgen gebruikers het advies om unieke wachtwoorden voor hun DrafKings-account en andere websites te gebruiken en met niemand hun wachtwoord te delen. DraftKings heeft naar eigen zeggen twee miljoen unieke, betalende gebruikers per maand. Het bedrijf had vorig jaar een omzet van zo'n 1,3 miljard dollar. Voor dit jaar verwacht het gokplatform een omzet van 2,1 miljard dollar.


Malafide helpdesk steelt via 'support' chat cryptovaluta van slachtoffers

Onderzoekers waarschuwen voor een malafide helpdesk die cryptovaluta van slachtoffers steelt. De aanvallers hebben het voorzien op gebruikers van cryptobeurzen en cryptowallets, zo stelt securitybedrijf PIXM. De aanval begint met een phishingpagina waarop gebruikers wordt gevraagd om op hun account in te loggen en de tweefactorauthenticatie (2FA) te doorlopen. De phishingpagina laat vervolgens een foutmelding zien waarbij er binnen de browser een chatvenster van de zogenaamde helpdesk verschijnt. Een "helpdeskmedewerker" vraagt gebruikers in de chat om hun gebruikersnaam, wachtwoord en 2FA-code. Mocht het met deze gegevens niet lukken om op het account van het slachtoffer in te loggen gaan de aanvallers over naar fase drie. Het slachtoffer wordt dan gevraagd TeamViewer te installeren, zodat zijn computer op afstand door de oplichters kan worden overgenomen. Vervolgens vraagt de "helpdeskmedewerker" of het slachtoffer op het e-mailaccount wil inloggen dat aan het exchange- of wallet-account is gekoppeld. Daarna wordt het slachtoffer gevraagd om in te loggen op het crypto-account. De aanvaller, die via TeamViewer controle over de computer heeft, voegt een willekeurig karakter toe wanneer het slachtoffer zijn wachtwoord invult. Hierdoor zal de inlogpoging mislukken. Vervolgens wordt het slachtoffer opnieuw gevraagd om in te loggen, maar dit keer heeft de aanvaller vanaf het systeem van het slachtoffer op de TeamViewer-chat geklikt, waardoor die het wachtwoord in het chatvenster invoert. Met deze gegevens logt de malafide helpdeskmedewerker in. Vaak zal de betreffende cryptodienst een mail naar de gebruiker versturen of die het nieuwe apparaat waarvandaan wordt ingelogd via een aparte link wil bevestigen. De aanvaller gebruikt zijn toegang tot het systeem van het slachtoffer om de bevestigingslink te bemachtigen, zodat er toegang tot het gebruikersaccount kan worden verkregen. Daarna wordt de cryptovaluta gestolen. De zogenaamde helpdeskmedewerker blijft net zolang met het slachtoffer in gesprek totdat de diefstal is afgerond.


Criminelen stelen 675.000 wachtwoorden van Nederlandse computers

Criminelen zijn er in geslaagd om in de eerste zeven maanden van dit jaar elfduizend Nederlandse computers met malware te infecteren en zo 675.000 wachtwoorden te stelen. Wereldwijd raakten in totaal 890.000 computers besmet en werden meer dan vijftig miljoen wachtwoorden buitgemaakt. Dat stelt securitybedrijf Group-IB op basis van eigen onderzoek. Onderzoekers van het bedrijf identificeerden 34 bendes die achter de aanvallen zitten en gebruikmaken van bekende malware zoals RedLine en Raccoon Infostealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, browsercookies en auto-fill content. Verder kan de malware data van cryptowallet-extensies stelen, inloggegevens en chatlogs van Telegram en Discord, inloggegevens voor het Steam-platform en Amazon, vpn-wachtwoorden voor NordVPN, OpenVPN en ProtonVPN, FTP-inloggegevens die in FileZilla zijn opgeslagen en tekst uit specifieke bestanden. Naast 675.000 wachtwoorden werden ook gegevens voor 4500 cryptowallets van Nederlandse computers buitgemaakt. De gestolen gegevens worden door de criminelen vervolgens doorverkocht of zelf gebruikt om mee te frauderen. De RedLine-malware is volgens Group-IB het populairst en wordt door 23 van de 34 groepen ingezet. Voor de verspreiding van de wachtwoordstelers maken de aanvallers gebruik van links die ze onder andere plaatsen in reacties op YouTube. Ook wordt de malware toegevoegd aan software of op forums geplaatst. Group-IB adviseert gebruikers om geen software van verdachte bronnen te downloaden, voor de installatie van aparte virtual machines of alternatieve besturingssystemen gebruik te maken, geen wachtwoorden in browsers op te slaan en geregeld cookies uit de browser te verwijderen. Eerder dit jaar wist de Nederlandse politie een Oekraïense man aan te houden die door de Verenigde Staten wordt gezocht en een sleutelrol zou hebben gespeeld bij de verspreiding en ontwikkeling van de Raccoon Infostealer. De malware werd van 2018 tot begin van dit jaar aangeboden als malware-as-a-service of "MaaS". Voor het gebruik van de malware werd zo'n tweehonderd dollar per maand betaald.


Cybercriminelen maken meer dossiers met hiv-status Medibank-klanten openbaar

De criminelen die wisten in te breken op systemen van de Australische zorgverzekeraar Medibank en daar gegevens van 9,7 miljoen mensen buitmaakten hebben een nieuwe reeks medische dossiers openbaar gemaakt, met daarin informatie over de hiv-status van personen, alsmede of ze hepatitis en psychische aandoeningen hebben. Het gaat om vijftienhonderd medische dossiers. Van vier klanten kwam dit weekend hun dossier met hiv-status online. Eerder waren er al ruim twaalfhonderd dossiers openbaar gemaakt, onder andere van vrouwen die een abortus lieten plegen, zo meldt The Australian Financial Review. Medibank werd begin oktober het doelwit van een ransomware-aanval. Dit deel van de aanval mislukte, aangezien er geen bestanden werd versleuteld. Zoals bij veel andere ransomware-aanvallen hadden de aanvallers voor het uitrollen van de ransomware allerlei gegevens van het netwerk gestolen. Ze dreigden deze data openbaar te maken tenzij Medibank het gevraagd losgeld zou betalen. De zorgverzekeraar liet weten dat het dit niet zou doen, aangezien er geen garantie was dat de gegevens ook daadwerkelijk na betaling door de criminelen zouden worden vernietigd. Daarop begonnen de criminelen met het publiceren van gestolen medische dossiers. Getroffen klanten zeggen dat ze niet door Medibank zijn ingelicht of kunnen de verzekeraar niet via het opgegeven telefoonnummer bereiken. Hoe de aanvallers op de systemen van Medibank konden inbreken is nog altijd niet bekendgemaakt. Wel verklaarde de verzekeraar dat de eenmalige kosten van de cyberaanval zeker 25 miljoen dollar zullen bedragen.


De inmiddels beruchte Hive-ransomware heeft in nog geen anderhalf jaar tijd al 100 miljoen dollar aan losgeld geïncasseerd

Deze gijzelingssoftware wordt door een  cybercrimebende aangeboden als een service aan de daadwerkelijke uitvoerders. Dit blijkt dus een lucratief businessmodel te zijn, waarbij in datzelfde tijdsbestek zo'n 1300 organisaties zijn afgeperst. In de periode van juni vorig jaar tot november dit jaar hebben wereldwijd meer dan 1300 organisaties in totaal ongeveer 100 miljoen dollar aan losgeld opgehoest. Dit meldt de Amerikaanse politiedienst FBI in een cybersecuritywaarschuwing die wordt afgegeven samen met andere overheidsinstanties. De Hive-afpersers hanteren een breed bereik aan bedrijven als 'doelgroep' voor hun cybercriminele werk, maar hebben een voorkeur voor partijen in kritieke infrastructuren. Dit omvat naast overheidsdiensten, communicatiesystemen, kritieke productie en ICT vooral de gezondheidszorg. In de alarmmelding geven de FBI, de Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie voor gezondheidszorg ook informatie over hoe deze ransomware te herkennen. Daarvoor dragen de overheidsinstanties technische details aan waaronder softwaredoelwitten zoals Microsoft Exchange, plus werkmethodes en de zogeheten indicators of compromise (IOC's). Laatstgenoemden tonen aan dat Hive binnen is in een ICT-omgeving. Sommige van de IOC's voor Hive zijn legitieme applicaties, die dan door de afpersers worden gebruikt voor hun niet-legitieme werk. De FBI, CISA en het Department of Health and Human Services (HHS) komen dan ook met het ingrijpende advies om elke applicatie te verwijderen die niet strikt noodzakelijk is voor de dagelijkse bedrijfsvoering. Met name organisaties in de gezondheidszorg worden nu opgeroepen om beschermende maatregelen te nemen. Deze omvatten het toepassen van patches voor gebruikte applicaties en besturingssystemen, wat verder gaat dan veel standaardopvattingen. De Hive-ransomware neemt namelijk naast Windows ook systemen met Linux, FreeBSD en VMware ESXi op de korrel. Andere beschermende maatregelen die worden geadviseerd, zijn het implementeren van multifactorauthenticatie als tegengif voor phishing, het beter beveiligen en monitoren van RDP-verbindingen (Remote Desktop Protocol), het versleutelen van back-ups plus het offline bewaren van back-ups. De lijst van stappen met malware-inperkend effect (mitigations) is flink lang en bevat ook links naar externe bronnen met meer informatie.


VS klaagt tiental aan voor stelen van 11,1 miljoen dollar via e-mailfraude

De Amerikaanse overheid heeft tien personen aangeklaagd die worden verdacht van het stelen van 11,1 miljoen euro door middel van e-mailfraude, waarbij onder andere zorgverzekeraars werden opgelicht. De tien hebben zich volgens de openbaar aanklager schuldig gemaakt aan Business Email Compromise (BEC). Hierbij weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails. Zo doen de oplichters zich bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen. De aanklacht stelt dat de verdachten zich tegenover zorgverzekeraars voordeden als ziekenhuizen en zo de betalingen bedoeld voor het verlenen van medische zorg naar hun eigen rekening lieten overmaken. Zeker twee Amerikaanse zorgverzekeraars en de Medicaid-programma's van vijf Amerikaanse staten, die zorgverzekeringen bieden voor mensen met een laag inkomen, werden op deze manier voor 4,7 miljoen dollar opgelicht. De overige 6,4 miljoen dollar werd bij andere overheidsinstellingen en bedrijven buitgemaakt. De tien verdachten kunnen indien veroordeeld gevangenisstraffen van maximaal twintig en dertig jaar krijgen.


Cyberaanval kost zorgverzekeraar Medibank zeker 25 miljoen dollar

De cyberaanval op de Australische zorgverzekeraar Medibank, waar criminelen gevoelige gegevens van 9,7 miljoen mensen wisten te stelen, kost het bedrijf tussen de 25 miljoen en 35 miljoen dollar, zo heeft de verzekeraar tijdens de jaarlijkse algemene aandeelhoudersvergadering bekendgemaakt. Dit is nog exclusief de kosten die schadeclaims, boetes, verdere herstelwerkzaamheden en klanten met zich kunnen meebrengen. Medibank werd begin oktober het doelwit van een ransomware-aanval. Dit deel van de aanval mislukte, aangezien er geen bestanden werd versleuteld. Zoals bij veel andere ransomware-aanvallen hadden de aanvallers voor het uitrollen van de ransomware allerlei gegevens van het netwerk gestolen. Ze dreigden deze data openbaar te maken tenzij Medibank het gevraagd losgeld zou betalen. De zorgverzekeraar liet weten dat het dit niet zou doen, aangezien er geen garantie was dat de gegevens ook daadwerkelijk na betaling door de criminelen zouden worden vernietigd. Daarop begonnen de criminelen met het publiceren van gestolen medische dossiers. Het ging onder andere om dossiers waarin staat dat mensen zijn gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en HIV. Vervolgens werd begonnen met het openbaar maken van informatie over psychische klachten van klanten, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Vanwege de cyberaanval besloot Medibank de financiële vooruitzichten voor volgend jaar in te trekken. In februari zal het bedrijf nu met een update komen. Hoe de aanvallers toegang tot de systemen konden krijgen is nog altijd niet bekendgemaakt. Het datalek bij Medibank is het tweede grote gevoelige datalek waar Australië in korte tijd mee te maken krijgt. Daar wist een aanvaller, volgens de Australische overheid op kinderlijk eenvoudige wijze, de gegevens van zo'n tien miljoen Australiërs in handen te krijgen, zo'n veertig procent van de totale bevolking.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Maart 2024
Februari 2024