De bibliotheek voor de bestrijding van digitale criminaliteit

Overzicht cyberaanvallen week 48-2022

Gepubliceerd op 5 december 2022 om 16:23

First click here and then choose your language with the Google translate bar at the top of this page ↑


Frans ziekenhuis annuleert operaties wegens cyberaanval, Cuba-ransomware ontving 60 miljoen dollar losgeld van slachtoffers en cyberaanval kostte Belgische Defensie 2,25 miljoen euro. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 05-december-2022


Cybercriminelen hebben interne gegevens van meer dan 6.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 6.818


Week overzicht

Slachtoffer Cybercriminelen Website Land
Austria Presse Agentur PLAY www.apa.at Austria
brunoy.fr LockBit brunoy.fr France
sentenia.net LockBit sentenia.net USA
handrhealthcare.com LockBit handrhealthcare.com USA
Grupo NGN BlackCat (ALPHV) grupongn.com USA
Philippine Economic Zone Authority (PEZA) BlackCat (ALPHV) peza.gov.ph Philippines
Cappagh Contractors Construction (London) Ltd BlackCat (ALPHV) www.cappagh.co.uk UK
abilways.com LockBit abilways.com France
Trussbilt LLC Royal www.trussbilt.com USA
Duplicator Sales & Service Royal www.duplicatorsales.net USA
All Seasons Global Solutions Royal allseasonglobalsolutions.com USA
Summit Royal www.yoursummit.com USA
PGT Innovations Royal www.pgtinnovations.com USA
thorntontomasetti.com LockBit thorntontomasetti.com USA
ckfinc.com LockBit ckfinc.com Canada
adamjeeinsurance.com LockBit adamjeeinsurance.com Pakistan
8x8.com LockBit 8x8.com USA
hildinganders.com LockBit hildinganders.com Sweden
smithsinterconnect.com LockBit smithsinterconnect.com UK
st-group.com LockBit st-group.com Denmark
menziesaviation.com LockBit menziesaviation.com Singapore
ENPPI BlackCat (ALPHV) www.enppi.com Egypt
Jubilant BlackCat (ALPHV) www.jubilantpharma.com USA
pro office Büro + Wohnkultur GmbH BlackCat (ALPHV) www.prooffice.de Germany
PANOLAM Black Basta panolam.com USA
Landaumedia Cuba www.landaumedia.de Germany
Generator-power Cuba generator-power.co.uk UK
Boss-inc Cuba www.boss-inc.biz USA
Holler-Classic Lorenz www.hollerclassic.com USA
Shenzhen INVT Electric Co.,Ltd BlackCat (ALPHV) www.invt.com China
Patton Cuba www.patton.com USA
Plascar Participacoes Industriais Vice Society www.plascar.com.br Brazil
Stibbs & Co BlackCat (ALPHV) www.stibbsco.com USA
colonialgeneral.com LockBit colonialgeneral.com USA
??? PLAY Unknown Austria
RMCLAW Royal www.rmclaw.net USA
Cates Control Systems Royal www.cates.com USA
kusd.edu Sodinokibi (REvil) kusd.edu USA
Vision Technologies BlackCat (ALPHV) www.visiontechnologies.com USA
Sunknowledge Services Inc Sodinokibi (REvil) sunknowledge.com India
bankseta.org.za LockBit bankseta.org.za South Africa
Itsgroup PLAY www.itsgroup.com France
Ministry of Transport and Public Works PLAY www.mtop.gub.uy Uruguay
Alcomet PLAY www.alcomet.eu Bulgaria
Origin Property Company Limited PLAY www.origin.co.th Thailand
???? ????? PLAY Unknown USA
Conseil departemental - Alpes-Maritimes PLAY www.departement06.fr France
Verity cloud PLAY www.veritycloud.com India
PVFCCo PLAY www.dpm.vn Vietnam
??????????? PLAY Unknown Canada
Leadtek PLAY www.leadtek.com Taiwan
IKEA Morocco Vice Society www.ikea.com Morocco
IKEA Kuwait Vice Society www.ikea.com Kuwait
Tubular Steel Inc Royal tubularsteel.ca Canada

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1257 Nog actief
2 Conti 674 Niet meer actief
3 REvil 249 Opnieuw actief

Hostingbedrijf Rackspace slachtoffer van ProxyNotShell-lek

Hostingbedrijf Rackspace heeft al een aantal dagen te maken met een storing in de hosted Exchange-omgeving die is veroorzaakt door een beveiligingsincident. Op 2 december meldde Rackspace dat er een probleem was met de hosted Exchange-omgevingen waardoor klanten problemen met de toegang hadden. De wachttijden van klanten met vragen werd zo groot dat Rackspace naar eigen zeggen duizend man extra personeel inzette om support te verlenen. Na verschillende updates meldde Rackspace op 3 december dat de storing is veroorzaakt door een beveiligingsincident. Om wat voor soort incident het precies gaat laat het hostingbedrijf niet weten. Gisteren waren er nog steeds problemen met de Exchange-omgevingen waardoor klanten niet bij hun mail konden, tenzij ze verschillende workarounds doorvoerden. Tevens is Rackspace begonnen om alle getroffen klanten te bellen. Volgens beveiligingsonderzoeker Kevin Beaumont draaide één van de Rackspace-servers mogelijk een kwetsbare versie van Exchange. Dit is niet door Rackspace bevestigd en Beaumont weet het ook niet met zekerheid, aangezien Exchange-buildnummers niet altijd betrouwbaar zijn, maar het is wel opvallend, aldus de onderzoeker. De server in kwestie zou op basis van het buildnummer sinds augustus niet meer zijn bijgewerkt met patches en daardoor kwetsbaar zijn voor het actief aangevallen ProxyNotShell-lek waarvoor Microsoft in november met updates kwam. Rackspace laat vanochtend weten dat het de e-maildiensten al voor duizenden klanten heeft hersteld en bezig is om dit voor alle getroffen klanten te doen.


Frans ziekenhuis annuleert operaties wegens cyberaanval

Een ziekenhuis in Versailles heeft dit weekend wegens een cyberaanval operaties geannuleerd, patiënten uit de intensive care overgeplaatst en de opname van nieuwe patiënten beperkt. De aanval op het André Mignot hospital deed zich afgelopen zaterdagavond voor. Om wat voor aanval het precies gaat is niet bekendgemaakt, maar er is sprake van afpersing, zo meldt France 24. Uit voorzorg besloot het ziekenhuis om het computernetwerk uit te schakelen. Doordat het netwerk offline is zijn patiënten niet meer centraal te monitoren, wat inhoudt dat zorgpersoneel in elke kamer aanwezig moet zijn om de schermen te monitoren, aldus de Franse minister van Volksgezondheid François Braun. Die stelt dat de aanval voor een complete herorganisatie van het ziekenhuis heeft gezorgd. Het Franse openbaar ministerie is een onderzoek naar de aanval gestart en afpersing door de aanvallers. Dat zou op de diefstal van data of ransomware kunnen duiden. Meerdere Franse ziekenhuizen zijn het afgelopen jaar door ransomware getroffen.


Grote ict-storing Pantar door hack

Pantar, het grootste werk-leerbedrijf van Amsterdam, heeft te maken gekregen met een grote ict-storing die waarschijnlijk door een inbraak op het systeem is veroorzaakt. Door de storing zijn sinds afgelopen maandag kantoorsystemen, waaronder de planningssoftware, niet of beperkt toegankelijk, zo laat het bedrijf aan de gemeente Amsterdam weten. Vanwege de waarschijnlijke inbraak is uit voorzorg een groot aantal systemen uitgeschakeld. Een gespecialiseerd digitaal forensisch onderzoeksbureau onderzoekt op dit moment de situatie. "Dit bureau onderzoekt de systemen en herstelt deze op een veilige manier. Het herstel van de systemen kan enkele dagen duren", aldus Pantar in een brief aan de gemeente (pdf). Pantar heeft inmiddels ook de medewerkers geïnformeerd over de mogelijke inbraak en wat de gevolgen zijn mochten er gegevens zijn gestolen. Het onderzoek naar de waarschijnlijke inbraak zal twee tot drie weken duren. De werkprocessen zijn op dit moment nog min of meer normaal aan de gang. Pantar is het grootste sociaal ontwikkelbedrijf in de regio Amsterdam en Diemen. Het biedt aan ruim drieduizend mensen met een arbeidsbeperking werk en begeleiding. De Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten ondersteunt Pantar.

2022 12 02 Brief ICT Storing Pantar Brief Rv T Aan Wth RGW
PDF – 70,7 KB 21 downloads

Cybercrimineel weet met $5 miljoen van Ankr Protocol te ontsnappen

Het DeFi-protocol Ankr heeft geleden onder een cyberaanval. Een hacker wist biljoenen van het beloningsdragende token voor BNB (aBNBc) te stelen, die hij later had omgezet in BNB en later in USDC. In eerste instantie kwam Peckshield achter de manipulatie. Zij brachten het vervolgens onder de aandacht van de ontvanger. Sindsdien zijn er snel stappen ondernomen om de nasleep van de hack in te dammen. Volgens statistieken heeft aBNBc geen waarde meer en heeft Ankr bevestigt dat ze bovenop de situatie zitten. Cryptocurrency gerelateerde hacks komen helaas regelmatig voor. Veel leden van de crypto-community zijn berucht omdat ze aangeven dat de gemakkelijkste manier om rijk te worden in de crypto-ruimte is door middel van hacking of manipulatie. Naar verluidt heeft de hacker een kwetsbaarheid in de code gevonden die zo misbruikt kon worden dat er ongelimiteerd tokens gemined konden worden. Volgens Peckshield wist de hacker 20 biljoen Ankr (aBNBc) weg te werken, die hij vervolgens voor BNB tokens kon inwisselen. Deze BNB tokens wisselde de hacker vervolgens in voor USDC. In de tussentijd probeerde de hacker zijn spoor in te dekken. Het is benoemingswaardig dat het team van Ankr volop de situatie zit en heeft aangegeven dat de getroffen gebruikers gecompenseerd gaan worden. Hiernaast is het als slot ook benoemingswaardig dat Binance de opnames van Ankr en Hay momenteel gezien de situatie heeft stopgezet. Binance heeft hierbij voor ongeveer $3 miljoen aan geld bevroren dat door de hackers naar de exchange was overgemaakt. De exchange wordt sindsdien geprezen om zijn acties en het uitkijken naar kleinere bedrijven in de crypto-industrie.


Ikea Marokko slachtoffer cyberaanval 'Vice Society-cybercriminelen'

Op zaterdag 19 november kregen Ikea Marokko en Koeweit te maken met een cyberaanval, met de verstoring van een aantal besturingssystemen tot gevolg. De Zweedse meubelgigant Ikea heeft bevestigd dat zijn franchises in Koeweit en Marokko het slachtoffer zijn geworden van een cyberaanval die een storing op een aantal besturingssystemen heeft veroorzaakt. "Ikea Marokko en Koeweit werden op zaterdag 19 november geconfronteerd met een cyberaanval, waardoor sommige besturingssystemen werden verstoord", aldus een verklaring van het bedrijf. Volgens de verklaring worden Ikea Marokko en Koeweit "onafhankelijk geëxploiteerd door een in Koeweit gevestigde franchisenemer. De activiteiten en ontmoetingspunten voor klanten zijn dan ook onafhankelijk van andere Ikea-winkels." In samenwerking met de bevoegde autoriteiten en cyberbeveiligingspartners is een onderzoek ingesteld, aldus dezelfde bron.


Cuba-ransomware ontving 60 miljoen dollar losgeld van slachtoffers

De criminelen achter de Cuba-ransomware hebben meer dan 60 miljoen dollar losgeld van slachtoffers ontvangen, zo stelt de FBI. Volgens de Amerikaanse opsporingsdienst zijn het afgelopen jaar meer dan honderd organisaties wereldwijd met de ransomware besmet geraakt. Die heeft ondanks de naam geen connectie met het land Cuba, aldus de FBI in een nieuwe waarschuwing voor de ransomware. Om toegang tot de netwerken van slachtoffers te krijgen maken de aanvallers gebruik van phishingmails, bekende kwetsbaarheden in software, gestolen inloggegevens en legitieme remote desktop protocol (RDP) tools. Zodra er toegang is verkregen installeren de aanvallers malware en gebruiken verschillende tools en exploits om zich lateraal door de organisatie te bewegen. Voor het uitrollen van de ransomware stelen de aanvallers eerst allerlei gegevens om de getroffen organisatie mee af te persen mocht die het gevraagde losgeld niet willen betalen. Om infecties met de ransomware te voorkomen geeft de FBI verschillende adviezen, zoals netwerksegmentatie, het verplichten van multifactorauthenticatie voor alle diensten waar mogelijk, installeren van beveiligingsupdates, auditen van gebruikersaccounts en het uitschakelen van ongebruikte poorten, hyperlinks in e-mails en command-line en scriptingactiviteiten. Hieronder een overzicht van de slachtoffers van Cuba die weigerenden te betalen, waardoor de cybercriminelen de data op het darkweb publiceerden.

Slachtoffer Cybercriminelen Website Land Publicatie op het darkweb
Landaumedia Cuba www.landaumedia.de Germany 01-dec-22
Generator-power Cuba generator-power.co.uk UK 01-dec-22
Boss-inc Cuba www.boss-inc.biz USA 01-dec-22
Patton Cuba www.patton.com USA 30-nov-22
Pmc-group Cuba pmc-group.com USA 24-nov-22
waltersandwolf Cuba waltersandwolf.com USA 09-nov-22
bfw Cuba www.bfw.de Germany 25-okt-22
Dialogsas Cuba www.dialogsas.fr France 18-okt-22
Ville-chaville Cuba www.ville-chaville.fr France 18-okt-22
Murphyfamilyventures Cuba www.murphyfamilyventures.com USA 16-okt-22
Ginspectionservices Cuba www.ginspectionservices.com Spain 27-sep-22
Skupstina Cuba www.skupstina.me Montenegro 30-aug-22
Site-technology Cuba www.site-technology.com United Arab Emirates 21-jul-22
Stm.com.tw Cuba stm.com.tw Taiwan 07-jul-22
R1group Cuba r1group.it Italy 27-jun-22
Etron Cuba www.etron.com Taiwan 13-jun-22
Upskwt Cuba upskwt.com Kuwait 17-mei-22
Fronteousa Cuba legal.fronteousa.com USA 16-mei-22
Metrobrokers Cuba www.metrobrokers.com USA 22-apr-22
Prophoenix Cuba www.prophoenix.com USA 22-apr-22
Tavistock Cuba www.tavistock.com USA 12-apr-22
Metagenics Cuba www.metagenics.com.au Australia 08-apr-22
Bcintlgroup.com Cuba bcintlgroup.com USA 30-mrt-22
Trant.co.uk Cuba trant.co.uk UK 30-mrt-22
Haltonhills Cuba www.haltonhills.ca Canada 23-mrt-22
Powertech Cuba www.powertech.co.kr South Korea 23-mrt-22
Get-integrated Cuba www.get-integrated.com USA 07-mrt-22
Ids97 Cuba ids97.com USA 25-feb-22
Muntons Cuba www.muntons.com UK 18-feb-22
Heritage-encon Cuba www.heritage-encon.com USA 18-feb-22
Edgo Cuba www.edgo.com Jordan 04-feb-22
Cmmcpas Cuba www.cmmcpas.com USA 04-feb-22
Shoesforcrews Cuba www.shoesforcrews.com USA 04-feb-22
Mtlcraft Cuba www.mtlcraft.com USA 25-jan-22
Superfund Cuba www.superfund.com Austria 13-jan-22
Fdcbuilding Cuba fdcbuilding.com.au Australia 13-jan-22
Strongwell Cuba www.strongwell.com USA 10-jan-22
Regulvar Cuba www.regulvar.com Canada 10-jan-22
Delinebox Cuba www.delinebox.com USA 10-jan-22
Cle Cuba cle.com USA 10-jan-22
Ncmutuallife Cuba www.ncmutuallife.com USA 14-dec-21
Lahebert Cuba www.lahebert.ca Canada 14-dec-21
Sonomatic Cuba sonomatic.com UK 14-dec-21
Atlasdie Cuba www.atlasdie.com USA 14-dec-21
Otip Cuba www.otip.com Canada 24-nov-21
Bakertilly Cuba www.bakertilly.com USA 27-okt-21
Landofrost Cuba landofrost.com USA 20-okt-21
Ohagin Cuba ohagin.com USA 29-sep-21
Schultheis-ins Cuba schultheis-ins.com USA 29-sep-21
Meriplex Cuba meriplex.com USA 29-sep-21

Cyberaanval op websites van Vaticaan nadat paus Fransiscus “Russische wreedheid” aanklaagt

Woensdagavond is een cyberaanval gelanceerd op de websites van het Vaticaan. Volgens de Heilige Stoel was er sprake van “abnormale toegangspogingen”. Woordvoerder Matteo Bruni liet weten dat een onderzoek is geopend. Meer details gaf hij niet. De aanval komt enkele dagen nadat Paus Franciscus zich had uitgelaten over de “wrede” Russische invasie in Oekraïne. Woensdagavond waren verschillende websites van het Vaticaan, waaronder ook de officiële website vatican.va, onbereikbaar. Hoewel nog niet bekend is wie achter de cyberaanval zit, beschuldigt de Oekraïense ambassadeur van het Vaticaan Rusland. “Russische terroristen hebben vandaag websites van het Vaticaan getroffen (...)”, tweette Andrii Yurash. “De hackers tonen opnieuw het ware gezicht van de Russische politiek”, voegde hij eraan toe. Volgens de ambassadeur was de aanval een “reactie op de recente uitspraken” van paus Franciscus. Franciscus heeft al meermaals kritiek geuit op de Russische invasie in Oekraïne. In een interview dat afgelopen maandag werd gepubliceerd door het Amerikaanse jezuïetenblad ‘America’ sprak de paus onder meer over de “wreedheid van Rusland” en de vermeende rol van Russische etnische minderheden, onder wie de Tsjetsjenen, in de oorlog. Zo wordt Rusland ervan beschuldigd onevenredig veel soldaten uit die minderheidsgroepen naar de frontlinie te sturen.


LastPass waarschuwt gebruikers voor hack met klantgegevens

Wachtwoordmanager LastPass heeft gebruikers gewaarschuwd voor een beveiligingsincident waarbij aanvallers toegang tot klantgegeven hebben gekregen. LastPass zegt dat het onlangs verdachte activiteit in een third-party cloudopslagdienst ontdekte die het deelt met partner GoTo. De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Bij de aanval in augustus werd onder andere broncode en vertrouwelijke technische informatie van LastPass buitgemaakt. De verantwoordelijke aanvaller wist via het systeem van een ontwikkelaar toegang tot de ontwikkelomgeving van de wachtwoordmanager te krijgen. Volgens LastPass zijn de wachtwoorden van gebruikers bij het nu gemelde incident niet in gevaar. Op dit moment wordt de omvang van het datalek en welke informatie precies is gestolen onderzocht. Verdere details zijn niet gegeven. Vanwege de succesvolle inbraak op de ontwikkelomgeving liet LastPass afgelopen augustus weten dat het de beveiliging ging aanscherpen, waaronder extra "endpoint security controls" en monitoring van systemen. Ook in de aankondiging van het nu onthulde datalek wordt gemeld dat het bedrijf beveiligingsmaatregelen en monitoring in de infrastructuur blijft uitrollen, maar exacte details ontbreken.


Cyberaanval kostte Belgische Defensie 2,25 miljoen euro

De cyberaanval van december vorig jaar tegen het ministerie van Defensie, die nadien aan Chinese piraten werd toegeschreven, heeft het departement rechtstreeks 2,25 miljoen euro gekost. Dat heeft minister van Defensie Ludivine Dedonder (PS) geantwoord op een vraag van Michael Freilich (N-VA), schrijft La Libre Belgique woensdag. Meer dan een jaar later “zijn alle systemen opnieuw operationeel, met uitzondering van videoconferenties via het internet met externe partijen”, preciseert minister Dedonder. Defensie moest daarvoor wel diep in de buidel tasten. “In totaal heeft dat Defensie op vandaag 2,25 miljoen euro gekost aan rechtstreekse kosten (materiaal, personeel en diensten)”, aldus de minister. Het departement heeft geen beroep gedaan op andere diensten dan diegene waarmee het al samenwerkt. Het is niet de bedoeling de kosten die Defensie heeft gemaakt te verhalen. Dat laatste is niet naar de zin van Freilich. “Straf dat de regering-De Croo China benoemt als schuldige voor de cyberaanvallen, maar dat ze vervolgens geen aanstalten maakt om de schadekosten op hen te verhalen.” Hij merkt op dat er naast de cyberaanval op Defensie, ook één was op Binnenlandse Zaken, die 1,6 miljoen euro heeft gekost. “Ik hoop dat onze regering meer moed aan de dag zal leggen, anders nodigen we enkel nog meer cyberaanvallen uit”, aldus Freilich.


Aanvallers zoeken op grote schaal naar back-ups van WordPress-sites

Aanvallers zoeken op grote schaal naar back-ups van WordPress-sites om zo inloggegevens te verkrijgen waarmee de website kan worden overgenomen. Dat stelt securitybedrijf Wordfence dat de afgelopen maand zeventig miljoen pogingen waarnam. WordPress beschikt over het bestand wp-config.php dat onder andere inloggegevens voor de database en secret keys bevat. Informatie in het bestand kan aanvallers helpen om een website over te nemen. Het bestand is standaard binnen WordPress beschermd en niet toegankelijk. Een veelgebruikte methode om een back-up van wp-config.php te maken is door het bestand te kopieren en van een nieuwe extensie te voorzien, zoals .txt, .bak, of .html. Wanneer beheerders dit bestand in de webdirectory achterlaten is het relatief eenvoudig voor aanvallers om deze bestanden te vinden. Dit kan bijvoorbeeld via Google, maar er zijn ook speciale scanners voor. Beheerders wordt dan ook aangeraden om hun back-ups niet in de webdirectory achter te laten. Volgens cijfers van marktvorser W3Techs draait 43 procent van alle websites op internet op WordPress.


Nieuwe DATAF Locker ransomware


De Belgische Pechverhelper Touring slachtoffer van cyberaanval

Pechverhelper Touring is vrijdagochtend slachtoffer geworden van een cyberaanval. Door de aanval was de bijstandsverlener afgelopen weekend moeilijk bereikbaar. De politie is een onderzoek gestart en spoort de daders op. Het was vrijdagochtend schrikken voor de werknemers van Toruing toen plots hun volledig systeem verstoord werd door een cyberaanval. “We hebben onmiddellijk ons geheel datacenter afgesloten en geïsoleerd om zo de schade te beperken”, vertelt woordvoerder Joost Kaesemans. “Door de noodmaatregel konden mobilisten met pech ons de eerste uren niet telefonisch of per mail bereiken. Nadien waren we echter moeilijk bereikbaar. Sommige telefoonlijnen werkten wel, maar konden enkel manueel beantwoord worden waardoor bellers vaak lang aan de lijn moesten blijven.” Het probleem is intussen grotendeels verholpen, al zijn de gevolgen van de cyberaanval nog steeds voelbaar. “Onze website bleef gelukkig operatief. Met een online contactformulier konden we toch nog enkele klanten uit de nood helpen. Onze telefoonlijnen zijn inmiddels allemaal omgeleid waardoor we weer telefonisch bereikbaar zijn. Het aantal oproepen is bijna terug op hetzelfde niveau als voordien.” Waarom de bijstandsverlener slachtoffer is geworden van een cyberaanval blijft een groot vraagteken. “We hebben nooit contact gehad met de daders en er is nooit losgeld geëist”, bevestigt Kaesemans. Touring heeft de aanval meteen bij de politie gemeld. Zij zijn een onderzoek gestart naar de daders. “Je hoort het tegenwoordig steeds meer en meer én in alle richtingen: grote winkelketens, woonzorgcentra, zelfs het Europees Parlement kon er niet aan ontkomen. Niemand is nog veilig. We willen graag nog onze excuses aanbieden aan alle klanten die daardoor afgelopen weekend minder goed geholpen werden”, aldus Touring.


Hackers gebruiken usb-sticks bij spionageaanvallen

Een groep aanvallers die zich met cyberspionage bezighoudt maakt gebruik van usb-sticks als primaire infectiemethode, zo waarschuwt securitybedrijf Mandiant. De groep heeft het voorzien op private en publieke organisaties in voornamelijk Zuidoost-Azië, maar ook in Europa en de Verenigde Staten. Ook al bevonden aangevallen organisaties zich in andere locaties, de aanvallen begonnen met het infecteren van computers in de Filipijnen. Hiervoor maakt de groep, door Mandiant aangeduid als UNC4191, gebruik van usb-sticks. De infectie begint wanneer gebruikers handmatig een exe-bestand vanaf de besmette usb-stick laden. Het gaat hier om een legitieme applicatie genaamd USB Network Gate waarmee de aanvallers een malafide dll-bestand op de usb-stick laden. De malware biedt de aanvallers toegang tot het besmette systeem en zal nieuw aangesloten usb-sticks infecteren. Zo verspreiden besmette usb-sticks zich door de aangevallen organisatie en kunnen ook air-gapped machines die niet direct met internet verbonden zijn besmet worden. Mandiant, dat dit jaar voor 5,4 miljard dollar door Google werd overgenomen, denkt dat het hier om een Chinese operatie gaat om toegang tot publieke en private organisaties te krijgen om zo inlichtingen te verzamelen voor de politieke en commerciële belangen van China.


Middelburgse woningcorporatie schakelt systemen uit na hack op mailaccount

De Middelburgse woningcorporatie Woongoed heeft systemen uitgeschakeld nadat een aanvaller toegang had gekregen tot een e-mailaccount van de corporatie. Hierdoor was Woongoed afgelopen maandag en vrijdag telefonisch niet bereikbaar. De inbraak werd vorige week donderdag ontdekt. Vervolgens verstuurde de aanvaller een phishingmail binnen de corporatie, die door een oplettende medewerker werd opgemerkt. "Omdat dit een beveiligingsincident betreft zijn de reguliere systemen uit voorzorg gestopt. Er is geen aanleiding om te vrezen dat deze getroffen zijn, maar tot wij het kunnen uitsluiten nemen we het zekere voor het onzekere", aldus de woningcorporatie. Die riep huurders op om bij dringende vragen een e-mail te sturen. Verder onderzoek heeft uitgewezen dat er geen gevoelige gegevens zijn gestolen, aldus de corporatie tegenover PZC. Wel heeft Woongoed het incident bij de Autoriteit Persoonsgegevens gemeld. Hoe de aanvaller toegang tot het mailaccount kon krijgen is niet bekendgemaakt.


Overheidsdiensten op eilandengroep Vanuatu liggen al bijna maand plat door cyberaanval

Door een cyberaanval zijn de overheidswebsites op Vanuatu, een eilandengroep in de Stille Oceaan, al bijna een maand lang niet meer bereikbaar. Wie er de overheid wil contacteren zoekt op dit moment dus beter het telefoonnummer van de bevoegde dienst even op in het telefoonboek. Ambtenaren hebben ook geen toegang meer tot hun e-mails, waardoor ze soms genoodzaakt zijn om hun werk op een traditionelere manier verder te zetten: met pen en papier. Begin november is Vanuatu, een eilandengroep in de Stille Oceaan, slachtoffer geworden van een cyberaanval. Onder meer de websites van het parlement, de politie en de premier werden getroffen. Oorspronkelijk kwam er geen nieuws over de aanval vanuit de overheid zelf, maar ambtenaren meldden wel wijdverspreide e-mailstoringen. Op 9 november bevestigde het Office of the Vanuatu Government Chief Information Officer (OGCIO) dat het "breedbandnetwerk van de regering sinds zondag 6 november gecompromitteerd is". Het OGCIO verklaarde aan de lokale media dat als gevolg van de aanval álle online diensten van de regering en daardoor ook alle ministeries buiten werking waren. Ook essentiële internetdiensten zoals e-mail bleken niet meer beschikbaar.


VS waarschuwt voor actief aangevallen lek in Oracle Fusion Middleware

De Amerikaanse overheid heeft een waarschuwing gegeven voor een actief aangevallen kwetsbaarheid in Oracle Fusion Middleware. Via het beveiligingslek kan een aanvaller kwetsbare installaties op afstand overnemen. De kwetsbaarheid, aangeduid als CVE-2021-35587, bevindt zich specifiek in de Oracle Access Manager. Dit is een onderdeel van Oracle Fusion Middleware en is een Single Sign-On-oplossing voor authenticatie en autorisatie. Oracle Fusion Middleware bestaat uit een reeks producten waarmee bedrijven applicaties kunnen ontwikkelen en draaien. Begin dit jaar kwam Oracle met een beveiligingsupdate voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8. Oracle waarschuwt geregeld dat het berichten ontvangt van organisaties die zijn gecompromitteerd omdat beschikbare patches niet zijn geïnstalleerd. In het geval van de nu aangevallen kwetsbaarheid heeft het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, federale overheidsinstanties opgedragen om de update voor 19 december te installeren.


Ziekenhuis India slachtoffer van ransomware

Een grote medische en onderzoeksuniversiteit in India is getroffen door een ernstige ransomware-aanval. Dat schrijft de lokale financiële krant genaamd LiveMint. De hackers eisen maar liefst ₹ 200 crore ($24,5 miljoen) in cryptovaluta. Het gaat om All India Institute of Medical Sciences (AIIMS), het grootste ziekenhuis in Delhi waar patiënten na onderzoek worden doorgestuurd naar specialisten. Volgens het rapport doen de autoriteiten momenteel onderzoek naar het ransomware-incident. De politie van Delhi registreert het als een geval van cyberterrorisme en afpersing. AIIMS behoort naar verluidt tot een van de topziekenhuizen ter wereld. Al zes dagen lang heeft het problemen met haar servers. Hackers kregen toegang tot de database van de bank en ze hebben alle gegevens versleuteld. Pas als het miljoenenbedrag wordt afgetikt, zullen ze het ziekenhuis weer toegang geven tot de data. Intussen probeert men met man en macht om de servers zelf weer online te krijgen. Dit gaat naar verluidt minimaal vijf dagen duren. Naar wat schijnt wordt er momenteel zorg gegeven bij de spoedeisende hulp, laboratorium, poliklinische en intramurale afdelingen zónder computers. Heel geleidelijk aan worden de diensten weer opgestart. De database bevat informatie van 40 miljoen patiënten, waaronder premiers en rechters. Hackers kiezen vaak voor cryptovaluta omdat ze denken dat het geld anoniem is en moeilijk te confisceren. In de praktijk dat het wel anders ligt, omdat de desbetreffende adressen onder de tap komen te staan. Analysebedrijven kunnen geldstromen volgen waardoor hackers vaak - al zij het jaren later - alsnog door de mand vallen.


Vitale infrastructuur aangevallen via lek in end-of-life Boa-webserver

Vitale infrastructuur in India is het doelwit van aanvallen geweest waarbij aanvallers door middel van kwetsbaarheden in de Boa-webserver wisten binnen te dringen, zo stelt Microsoft op basis van eigen onderzoek. De Boa-webserver wordt echter sinds 2005 niet meer door de ontwikkelaar met beveiligingsupdates ondersteund. Desondanks maken nog allerlei Internet of Things-leveranciers er gebruik van, aldus Microsoft. De webserver maakt het mogelijk om op afstand toegang te krijgen tot instellingen, managementconsoles en inlogschermen van apparaten. De software wordt voor allerlei apparaten gebruikt, van routers tot camera's. Volgens Microsoft is de populariteit van de Boa-webserver mogelijk te verklaren doordat de software in allerlei populaire software development kits (SDK's) aanwezig is waar IoT-fabrikanten binnen hun producten gebruik van maken. Er zitten twee kwetsbaarheden in de Boa-webserver waarbij een aanvaller de inloggegevens van gebruikers kan achterhalen om vervolgens in te loggen en code uit te voeren. Misbruik van de kwetsbaarheden vereist geen authenticatie, waardoor ze een aantrekkelijk doelwit zijn, laat Microsoft weten. Via een gecompromitteerd apparaat zijn vervolgens verdere aanvallen op het achterliggende netwerk uit te voeren. "De populariteit van de Boa-webserver laat het potentiële risico van een onveilige toeleveringsketen zien, zelfs wanneer security best practices worden toegepast voor apparaten in het netwerk", stelt Microsoft. "Het updaten van firmware van IoT-apparaten helpt niet altijd voor SDK's of specifieke chip-onderdelen en er is een beperkte zichtbaarheid in onderdelen en of ze te updaten zijn." He techbedrijf adviseert dan ook om IoT-apparaten door middels van firewalls te isoleren.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Februari 2023
Januari 2023

Overzicht cyberaanvallen week 02-2023

NortonLifeLock waarschuwt klanten voor hack wachtwoordmanager, Royal Mail slachtoffer van Lockbit ransomware, geen internationale post verstuurd en de rechter heeft besloten dat Nederland de verdachte cybercrimineel mag uitleveren aan de Verenigde Staten. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 01-2023

Kosten cyberaanval stad Antwerpen kunnen oplopen tot 70 miljoen euro, cybercriminelen hacken WordPress-sites via dertig kwetsbare plug-ins en The Guardian laat personeel wegens ransomware nog weken thuiswerken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Overzicht cyberaanvallen week 52-2022

BEC-phishingaanval kost gemeente Haarlemmermeer 298.000 euro, Canadese kopermijn gesloten wegens ransomware-aanval en Lockbit eist ransomware aanval op Portugese haven. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

«   »