De bibliotheek voor de bestrijding van digitale criminaliteit

Overzicht cyberaanvallen week 52-2022

Gepubliceerd op 2 januari 2023 om 15:00


BEC-phishingaanval kost gemeente Haarlemmermeer 298.000 euro, Canadese kopermijn gesloten wegens ransomware-aanval en Lockbit eist ransomware aanval op Portugese haven. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 02-januari-2023


Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.

Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔

Meetmoment Aantal organisaties waar data van gelekt is op het darkweb
01-05-2019 (eerste slachtoffer) 1
01-05-2020 85
01-05-2021 2.167
01-05-2022 5.565
Nu 7.042


Week overzicht

Slachtoffer Cybercriminelen Website Land Publicatie datum
S??? PLAY Unknown USA 01-01-2023 23:29
CDER PLAY www.cder.fr France 01-01-2023 18:50
eds-automotive.de LockBit eds-automotive.de Germany 01-01-2023 00:09
sickkids.ca LockBit sickkids.ca Canada 31-12-2022 18:02
hacla.org LockBit hacla.org USA 31-12-2022 16:23
QUT Royal www.qut.edu.au Australia 31-12-2022 15:32
Centro Médico Virgen De La Caridad Hive cmvcaridad.com Spain 31-12-2022 14:45
AONTTAGL Royal www.agostini.com Spain 30-12-2022 19:09
presco.com LockBit presco.com USA 30-12-2022 15:08
Camst Group Hive www.camstgroup.com Italy 30-12-2022 13:25
amundson.co.nz LockBit amundson.co.nz New Zealand 30-12-2022 09:02
Iowa Public Television Royal www.iowapbs.org USA 29-12-2022 21:31
Waterloo Wellington Flight Centre Royal www.wwfc.ca Canada 29-12-2022 21:31
CPTM BlackByte www.cptm.sp.gov.br Brazil 29-12-2022 15:21
St. Rose Hospital BianLian www.strosehospital.org USA 29-12-2022 11:01
MITCON Consultancy & Engineering Services BianLian www.mitconindia.com India 29-12-2022 11:01
*********** E***** BianLian Unknown Unknown 29-12-2022 11:01
portodelisboa.pt LockBit portodelisboa.pt Portugal 29-12-2022 04:22
ELOTECH BlackCat (ALPHV) www.elotech.com.br Brazil 28-12-2022 21:28
JAKKS Pacific, Inc. BlackCat (ALPHV) www.jakks.com USA 28-12-2022 21:28
SUMITOMO BAKELITE USA BlackCat (ALPHV) www.sumibe.co.jp Japan 28-12-2022 21:28
NO LIMIT MARINE STORMOUS www.nolimitmarine.fr France 28-12-2022 21:17
Emoney Royal www.emoneyfinance.com.au Australia 28-12-2022 15:48
AOAL - Azienda Ospedaliera di Alessandria Ragnar_Locker www.ospedale.al.it Italy 28-12-2022 15:45
Einatec Snatch einatec.com Spain 27-12-2022 23:09
Centro Turistico Giovanile Snatch ctg.it Italy 27-12-2022 22:49
ET GLOBAL Snatch www.etglobal.com Germany 27-12-2022 22:49
Square Yards Snatch www.squareyards.com India 27-12-2022 22:49
TCL Chinese Theatres Snatch www.tclchinesetheatres.com USA 27-12-2022 22:49
Trubee, Collins & Co Snatch www.trubeecollins.com USA 27-12-2022 22:49
www.buildersmutual.com Royal www.buildersmutual.com USA 27-12-2022 22:29
INTRADO Royal www.intrado.com USA 27-12-2022 17:08
Inforlandia Royal www.inforlandia.com Portugal 27-12-2022 13:11
HELMA Eigenheimbau AG Royal www.helma.de Germany 27-12-2022 13:11
Grupo Ibiapina Ltda Royal www.grupoibiapina.com.br Brazil 27-12-2022 13:11
pu.edu.lb Cuba pu.edu.lb Lebanon 27-12-2022 09:07
FARMS.COM BlackCat (ALPHV) farms.com Canada 27-12-2022 00:48
CR&R BlackCat (ALPHV) crrwasteservices.com USA 27-12-2022 00:48
Meyer & Meyer Holding SE & Co. KG BlackCat (ALPHV) www.meyermeyer.com Germany 27-12-2022 00:48
SSI Schäfer Shop BlackCat (ALPHV) www.schaefer-shop.com Germany 27-12-2022 00:48
Empresas Públicas de Medellín BlackCat (ALPHV) www.epm.com.co Colombia 26-12-2022 21:28
Fantasy Springs Resort Casino Royal www.fantasyspringsresort.com USA 26-12-2022 20:28
Robinson Pharma Royal www.robinsonpharma.com USA 26-12-2022 20:12
STRESSER ASSOCIATES CPA BlackCat (ALPHV) www.stressercpa.com USA 26-12-2022 18:29

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Publicatie datum

In samenwerking met DarkTracer

Top 3 cybercrime groepen met de meeste slachtoffers

Groepering Aantal slachtoffers
1 LockBit 1.302 Nog actief
2 Conti 674 Niet meer actief
3 REvil 249 Opnieuw actief

Lockbit eist ransomware aanval op Portugese haven

De criminelen achter de Lockbit-ransomware hebben een aanval opgeëist op de haven van Lissabon. De Portugese haven werd tijdens eerste kerstdag aangevallen, al zou het werk niet plat zijn komen te liggen. De Administração do Porto de Lisboa, een van de grootste havens van Portugal, werd op eerste kerstdag getroffen door 'een cyberincident', maar de organisatie gaf daar aanvankelijk weinig details over. In een verklaring tegenover de Portugese krant Publico zei de havenautoriteit dat de aanval geen invloed had op de dagelijkse werkzaamheden in de haven. Wel werken verschillende diensten zoals de website niet goed. Aanvankelijk was niet duidelijk wat er precies was gebeurd, al lag het voor de hand dat er een ransomware-infectie had plaatsgevonden in de havensystemen. Dat wordt nu bevestigd door de criminelen achter Lockbit, een beruchte ransomwarebende. Volgens BleepingComputer heeft Lockbit de aanval opgeëist. Op de Lockbit-website dreigen de criminelen gestolen data openbaar te maken als de havenautoriteit niet betaalt. Op 18 januari verloopt de deadline. Volgens de criminelen is er veel informatie gestolen van zowel werknemers als uit de haven zelf. Het zou onder andere gaan om klantgegevens, al is niet bekend welke. Daarnaast zijn er financiële rapportages en andere bedrijfsgevoelige gegevens gestolen, samen met e-mails en verschepingsdocumenten. De criminelen willen anderhalf miljoen dollar om de data te vernietigen, maar de criminelen verkopen de gegevens ook aan iedereen die dat bedrag wil betalen. Het is niet bekend of de havenautoriteit van plan is te betalen. Volgens een woordvoerder had de haven protocollen klaarstaan voor precies zo'n situatie, waardoor de bedrijfsvoering niet in het gedrang is gekomen.


Canadese kopermijn gesloten wegens ransomware-aanval

Een Canadees mijnbouwbedrijf heeft wegens een ransomware-aanval besloten om één van de eigen kopermijnen te sluiten. De Copper Mountain Mining Corporation (CMMC) werd op 27 december getroffen door ransomware. Hierbij werden zowel de it-systemen van de kopermijn als kantoorsystemen geraakt. Naar aanleiding van de aanval besloot CMMC op handmatige bediening over te gaan en de kopermijn uit voorzorg te sluiten, om zo de gevolgen van de aanval op het controlesysteem te kunnen vaststellen. Het mijnbouwbedrijf stelt verder dat er "aanvullende maatregelen" worden genomen om verdere risico's tegen te gaan, maar wat die precies inhouden is niet bekendgemaakt. Ook wordt de oorzaak van de ransomware-aanval nog onderzocht. Volgens CMMC hebben zich vanwege de aanval geen milieu- of veiligheidsincidenten voorgedaan. CMMC produceert honderd miljoen pond koper per jaar.


VS waarschuwt voor actief aangevallen path traversal-lek in JasperReports

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt organisaties voor twee actief aangevallen kwetsbaarheden in JasperReports, rapportagesoftware van leverancier Tibco. Volgens Tibco is de JasperReports-library de meestgebruikte "open source reporting engine" die data van allerlei bronnen tot documenten verwerkt. De library wordt binnen allerlei toepassingen gebruikt, waaronder verschillende Jaspersoft-producten. Een path traversal-kwetsbaarheid in de library maakt het mogelijk voor een aanvaller om toegang te krijgen tot content van het host-systeem. Het kan dan ook gaan om inloggegevens voor andere systemen, zo waarschuwt Tibco. De impact van het beveiligingslek, aangeduid als CVE-2018-18809, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Tibco kwam op 6 maart 2019 al met een beveiligingsbulletin. Nu blijkt dat aanvallers actief misbruik van deze kwetsbaarheid maken, aldus het CISA. Dat geldt ook voor het tweede beveiligingslek (CVE-2018-5430), waarmee een ingelogde gebruiker toegang tot vertrouwelijke informatie kan krijgen, waaronder inloggegevens waar de JasperReports-server gebruik van maakt. De impact van dit lek is met een 7.7 lager ingeschaald. Voor deze kwetsbaarheid verscheen al op 17 april 2018 een update. Het CISA heeft Amerikaanse overheidsinstanties die van de software gebruikmaken opgedragen de patches voor 19 januari te installeren.


Amerikaanse stad getroffen door aanval met LockBit-ransomware

De Amerikaanse stad Mount Vernon is vorig week het slachtoffer geworden van een aanval met de LockBit-ransomware. De aanvaller wist binnen te komen via een niet nader genoemde "remote access tool" van de it-leverancier van de stad. Ook andere klanten van deze it-leverancier zijn getroffen, maar om wie het gaat is niet bekendgemaakt. Nadat de aanvaller toegang tot het stadsnetwerk had gekregen werd de LockBit-ransomware uitgerold. Dit raakte zowel het politiekorps van de stad, als de gemeentelijke rechtbank en openbare werken. De getroffen systemen konden dankzij back-ups worden hersteld. Daarnaast is de kwetsbare software van het stadsnetwerk verwijderd. Op dit moment zijn er geen aanwijzingen dat er persoonsgegevens van inwoners zijn buitgemaakt of bekeken, aldus de stad in een verklaring (pdf). Mount Vernon telt 17.000 inwoners.

12 27 22 Data Breach
PDF – 173,2 KB 34 downloads

Magazijninrichter Schäfer getroffen door cyberaanval

Schäfer Shop is getroffen door een cyberaanval. De logistieke tak is daarbij ook gerakt, De exacte omvang en schade is nog onduidelijk. De specialist in magazijninrichting is 23 december getroffen door een cyberaanval. De webshop, telefooncentrale en logistiek zijn daarbij getroffen. Mogelijk zijn er ook klantgegevens gestolen. Dat laat het bedrijf weten via Linkedin. Schäfer Shop heeft ‘passende beschermingsmaatregelen’ in gang gezet. Dit omvat onder meer de betrokkenheid van alle benodigde partijen voor strafrechtelijk onderzoek en de Gegevensbeschermingsautoriteit. Ook heeft het bedrijf een gespecialiseerd bedrijf ingehuurd om zijn systemen verder te analyseren, screenen en te herstellen. Tevens zijn alle externe verbindingen uit voorzorg losgekoppeld.


Grootste kinderziekenhuis van Canada getroffen door ransomware-aanval

Het grootste kinderziekenhuis van Canada worstelt al dagen met de gevolgen van een ransomware-aanval en verwacht dat het nog weken kan duren voordat alle getroffen systemen weer online komen. Vanwege de aanval hebben onder andere behandelingen en onderzoeken van zieke kinderen vertraging opgelopen. Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het gaat om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. In een update over het incident laat het ziekenhuis weten dat het nog weken kan duren voordat alle getroffen systemen zijn hersteld. Ook hebben artsen met vertragingen te maken bij het ophalen van onderzoeksresultaten en röntgenfoto's, wat weer voor langere wachttijden voor patiënten kan zorgen. In de laatste update meldt het Hospital for Sick Children dat de telefoonlijnen het inmiddels weer doen en ook de salarisadministratie voor het personeel weer online is. Sommige patiënten en gezinnen kunnen echter nog steeds te maken krijgen met vertragingen in behandelingen en onderzoeken. Het ziekenhuis spreekt van een "uitdagende situatie" voor patiënten, gezinnen en personeel. Op dit moment zijn er geen aanwijzingen dat persoonlijke informatie of gezondheidsgegevens bij de aanval zijn gestolen. Hoe de ransomware-aanval precies kon plaatsvinden is niet gemeld.


Website PVV weer bereikbaar na 'massale cyberaanval'

De website van de PVV doet het weer. Gisteravond lag deze er zo goed als uit. PVV-leider Geert Wilders meldde toen op Twitter dat een 'massale' cyberaanval de oorzaak was. Die kwam volgens hem vanuit het buitenland. Volgens de PVV-leider zaten Russische, Israëlische, Amerikaanse, Oekraïense of Britse hackers achter de aanval. Waar Geert Wilders dit op baseerde was niet duidelijk. "Website PVV offline door massale aanval vanuit/via Israël, Rusland, VS, Oekraïne en VK", twitterde Wilders. Inmiddels doet de site het dus weer. Wie naar de website van de PVV ging, kreeg een foutmelding te zien of kwam terecht op een slecht en traag werkende site.


Frankrijk gaat ziekenhuizen tegen ransomware-aanvallen beschermen

De Franse overheid gaat maatregelen nemen om ziekenhuizen tegen ransomware-aanvallen te beschermen. Aanleiding zijn recente ransomware-aanvallen op twee Franse ziekenhuizen waardoor het "witte plan" voor ernstige noodsituaties werd ingeschakeld en sommige patiënten in kritieke toestand moesten worden overgebracht naar andere ziekenhuizen. Ook werd besloten om operaties te annuleren. Vorig jaar registreerde de Franse overheid duizend ransomware-aanvallen op het eigen grondgebied. Na de aanval op een Frans ziekenhuis afgelopen zomer werd een extra 20 miljoen euro vrijgemaakt om de digitale beveiliging van gezondheidsinstanties te versterken. Om ervoor te zorgen dat ziekenhuizen en andere zorginstellingen beter zijn beschermd heeft de Franse overheid vorige week een nieuw programma gelanceerd. Het plan is dat alle belangrijke zorginstellingen volgend jaar mei nieuwe oefeningen hebben uitgevoerd om zich op cyberaanvallen voor te bereiden. Daarnaast wordt er in het eerste kwartaal van volgend jaar een nieuw actieplan met best practices opgesteld waarin staat wat ziekenhuizen kunnen doen als zich een cyberincident voordoet. Daarnaast moet dit plan ervoor zorgen dat zorginstanties eenvoudiger de beschikking over middelen krijgen.


BEC-phishingaanval kost gemeente Haarlemmermeer 298.000 euro

Een phishingaanval kost de gemeente Haarlemmermeer 298.000 euro, zo is vorige week bekendgemaakt. De aanval deed zich vorige maand voor. Twee medewerkers van de gemeente trapten in een phishingmail waardoor aanvallers toegang tot de mailaccounts van de ambtenaren kregen. De phishingmails waren afkomstig van de e-mailaccounts van relaties van de gemeente, die zelf ook het slachtoffer van een phishingaanval waren geworden. De aanvallers dienden vanuit één van de relaties een vervalste factuur in waarin het rekeningnummer was aangepast, zo meldt het Noordhollands Dagblad. Naar dat rekeningnummer maakte de gemeente 118.000 euro over. Het herstel van de phishingaanval kost de gemeente nog eens 180.000 euro. "Dit is iets dat je niet wil’’, zegt wethouder Charif El Idrissi. "We krijgen wekelijks tachtig meldingen van mogelijke phishing. We proberen die te voorkomen, maar het systeem is niet waterdicht." De gemeente heeft aangifte bij de politie gedaan.


Bitcoin mining pool BTCcom verliest $3 miljoen door cyberaanval

BTC.com is slachtoffer geworden van een cyberaanval van $3 miljoen. Naar eigen zeggen heeft het geen invloed op de tegoeden van klanten, ondanks dat die wel zijn gestolen. Het betreft de zevende grootste bitcoin mining pool. Individuele miners kunnen hun rigs en daarmee hun rekenkracht op deze groep aansluiten. Zo delen de deelnemers de risico's, maar worden ook de verdiensten verdeeld. BTC.com had 3 december te maken met een cyberaanval, zo is te lezen in een persbericht. Hierdoor zijn er veel klantenfondsen en ook tegoeden van het bedrijf zelf buit gemaakt. Naar verluidt kregen de aanvallers toegang tot ongeveer $700.000 aan activa van klanten en $2,3 miljoen aan activa van het bedrijf. Het moederbedrijf van de pool en blockexplorer is BIT Mining, een beursgenoteerd bedrijf aan de New York Stock Exchange. Ze waren de afgelopen week gemiddeld goed voor 2,5% van totale de rekenkracht. BIT Mining en BTC.com hebben een aanklacht ingediend bij de wetshandhavingsinstanties in Shenzhen in China. De lokale autoriteiten startten vervolgens een onderzoek naar het incident. Ze zijn begonnen met het verzamelen van bewijsmateriaal. "Het bedrijf zet zich in om de gestolen digitale activa terug te krijgen. We hebben ook nieuwe technologie ingezet om de hackers beter te blokkeren en te onderscheppen". Het voorval heeft naar wat schijnt geen invloed op de diensten van BTC.com en alles zal gewoon z'n gang blijven gaan.


Weer malafide Google-advertenties die naar malware wijzen

Weer zijn er malafide Google-advertenties verschenen die gebruikers naar malware wijzen. De advertenties lijken een advertentie voor TeamViewer te zijn, waarbij ook het officiële TeamViewer-domein wordt getoond, maar komen uit op een malafide website die bezoekers een zogenaamde TeamViewer-installatie aanbiedt. In werkelijkheid gaat het om malware die allerlei informatie van gebruikers steelt en aanvullende malware kan stelen. Eerder verschenen er ook malafide Google-advertenties voor AnyDesk en Slack die naar malware wezen. Vanwege deze werkwijze van criminelen kwam de FBI met een waarschuwing aan internetgebruikers, en adviseerde om bij het gebruik van zoekmachines een adblocker te installeren. "Hoewel zoekmachine-advertenties niet per definitie kwaadaardig zijn, is het belangrijk om voorzichtig te zijn met websites die via een geadverteerde link zijn geopend", aldus de FBI. Ondanks de aandacht voor deze advertenties meldt het Internet Storm Center dat ze nog steeds in de zoekresultaten van de Google-zoekmachine verschijnen. Google wordt dan ook opgeroepen om een mechanisme te ontwikkelen om de integriteit van advertenties te controleren. "Het is belachelijk dat een bedrijf van 1 biljoen dollar zo'n startpunt voor malware heeft", aldus critici.

Google advertentie die leidde naar de valse TeamViewer pagina


WordPress-websites met cadeaubon-plug-in doelwit van aanvallen

WordPress-websites die gebruikmaken van een cadeaubon-plug-in, die op ruim 56.000 sites is geïnstalleerd, zijn het doelwit van aanvallen geworden, zo stelt securitybedrijf Wordfence. De aanvallers maken misbruik van een kritieke kwetsbaarheid in YITH WooCommerce Gift Cards. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan 5 miljoen WordPress-sites geïnstalleerd. Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder YITH WooCommerce Gift Cards. Via deze plug-in is het mogelijk voor websites en webwinkels om cadeaubonnen te verkopen. Volgens de ontwikkelaar is de plug-in op 56.567 websites geïnstalleerd. Een kritiek beveiligingslek in de plug-in, aangeduid als CVE-2022-45359, maakt het mogelijk voor ongauthenticeerde aanvallers om uitvoerbare bestanden naar de website te uploaden. Zo kan een aanvaller een backdoor plaatsen, code uitvoeren en de website overnemen. Volgens Wordfence deden de meeste aanvallen zich voor de dag na de kwetsbaarheid openbaar werd gemaakt, gevolgd door een nieuwe piek op 14 december. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Aangezien de kwetsbaarheid eenvoudig is te misbruiken en volledige toegang tot kwetsbare websites biedt, verwachten we dat deze aanvallen nog lang blijven plaatsvinden", aldus onderzoeker Ram Gall. Websites die de plug-in gebruiken wordt aangeraden om te updaten naar versie 3.20.0 of nieuwer waarin het probleem is verholpen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Mei 2023
April 2023

«   »