Kosten cyberaanval stad Antwerpen kunnen oplopen tot 70 miljoen euro, cybercriminelen hacken WordPress-sites via dertig kwetsbare plug-ins en The Guardian laat personeel wegens ransomware nog weken thuiswerken. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Laatste wijziging op 09-januari-2023
Cybercriminelen hebben interne gegevens van meer dan 7.000 organisaties gelekt op het darkweb. In de onderstaande lijst staan de organisaties die geweigerd hebben het losgeld te betalen. Als het losgeld wordt betaald, worden er geen gegevens gelekt op het darkweb.
Opmerking: ‘Zo'n 80% van de organisaties betaalt losgeld’. Kun je dan zeggen dat onderstaande lijst slecht 20% is van het totale aantal slachtoffers van ransomware bendes? 🤔
| Meetmoment | Aantal organisaties waar data van gelekt is op het darkweb |
|---|---|
| 01-05-2019 (eerste slachtoffer) | 1 |
| 01-05-2020 | 85 |
| 01-05-2021 | 2.167 |
| 01-05-2022 | 5.565 |
| Nu | 7.075 |
Week overzicht
| Slachtoffer | Cybercriminelen | Website | Land | Publicatie datum |
|---|---|---|---|---|
| Arizona Labor Force | AvosLocker | azlaborforce.com | USA | 09-01-2023 02:24 |
| asianrecorp.com | LockBit | asianrecorp.com | Thailand | 08-01-2023 17:43 |
| Koo Wee Rup Secondary College | BlackCat (ALPHV) | www.kwrsc.vic.edu.au | Australia | 08-01-2023 16:09 |
| millennia.pro | LockBit | millennia.pro | USA | 08-01-2023 10:42 |
| Fruttagel | BlackCat (ALPHV) | www.fruttagel.it | Italy | 07-01-2023 19:29 |
| Buffco Production, Inc. | BlackCat (ALPHV) | www.buffcoproduction.com | USA | 07-01-2023 13:08 |
| Grupo Estrategas EMM | BlackCat (ALPHV) | estrategas.com.mx | Mexico | 07-01-2023 13:08 |
| Pendulum Associates | BlackCat (ALPHV) | pendulumassociates.com | USA | 07-01-2023 13:08 |
| Duty Free Philippines | Vice Society | www.dfp.com.ph | Philippines | 07-01-2023 10:52 |
| Swift Academies | Vice Society | www.swiftacademies.org.uk | UK | 07-01-2023 10:52 |
| juarez.gob.mx | LockBit | juarez.gob.mx | Mexico | 07-01-2023 09:27 |
| 100x100banco.com | LockBit | 100x100banco.com | Venezuela | 07-01-2023 09:22 |
| takamiya.co | LockBit | takamiya.co | Japan | 07-01-2023 08:42 |
| Park View | Vice Society | www.parkview.haringey.sch.uk | UK | 06-01-2023 20:56 |
| Bay Area Rapid Transit | Vice Society | www.bart.gov | USA | 06-01-2023 20:56 |
| City Lit | Vice Society | www.citylit.ac.uk | UK | 06-01-2023 20:56 |
| LEK / HABO | Royal | lekhabo.nl | Netherlands | 06-01-2023 15:31 |
| Consulate Health Care | Hive | consulatehc.com | USA | 06-01-2023 12:51 |
| Bevolution Group | Royal | bevolutiongroup.com | USA | 06-01-2023 11:28 |
| PROQUINAL Spradling Group | Vice Society | www.proquinal.com | USA | 06-01-2023 09:16 |
| Sub-drill Supply | Vice Society | www.sub-drill.com | UK | 06-01-2023 09:16 |
| LetMeRepair | Vice Society | www.letmerepair.com | UK | 06-01-2023 09:16 |
| Hayward | BlackByte | www.hayward-pool.com | USA | 05-01-2023 15:21 |
| Kansas City Homes | BlackByte | kansascityhomes.com | USA | 05-01-2023 15:21 |
| Ellison Technologies | BlackByte | www.ellisontechnologies.com | USA | 05-01-2023 15:01 |
| DSBJ | Royal | www.dsbj.com | China | 05-01-2023 05:25 |
| Corporate Interiors Inc | AvosLocker | www.corporate-interiors.com | USA | 05-01-2023 02:39 |
| CGMLLC.NET | CL0P | cgmllc.net | USA | 05-01-2023 00:24 |
| UNISALLE.EDU.CO | CL0P | unisalle.edu.co | Colombia | 04-01-2023 22:24 |
| CAPMC | BlackByte | maderacap.org | USA | 04-01-2023 15:41 |
| Aeronautics company Canada | UTC Aerospace Systems, Bombardier, NASA partners | Everest | Unknown | Canada | 03-01-2023 17:42 |
| telarespg.com | Bl00dy | telarespg.com | Venezuela | 03-01-2023 03:19 |
| Dental One | BlackCat (ALPHV) | dental1.com.au | Australia | 02-01-2023 21:28 |
| Nexon Asia Pacific | Nokoyawa | nexon.com.au | Australia | 02-01-2023 05:30 |
| G.R. Sponaugle | Unsafe | grsponaugle.com | USA | 02-01-2023 05:03 |
| Horwitz Horwitz & Associates | Unsafe | www.horwitzlaw.com | USA | 02-01-2023 05:03 |
| Wings Etc | Unsafe | wingsetc.com | USA | 02-01-2023 05:03 |
| Dooly County School System | Unsafe | dooly.k12.ga.us | USA | 02-01-2023 05:03 |
| Whatcom County Library System | Unsafe | wcls.org | USA | 02-01-2023 05:03 |
| The Chedi Muscat | Unsafe | chedimuscat.com | Oman | 02-01-2023 05:03 |
| Barakat Travel Co | Unsafe | barakattravel.com | Kuwait | 02-01-2023 05:03 |
| Ucar | Unsafe | ucar.fr | France | 02-01-2023 05:03 |
Slachtoffers Belgie en Nederland
| Slachtoffer | Cybercriminelen | Website | Land | Publicatie datum |
|---|---|---|---|---|
| LEK / HABO | Royal | lekhabo.nl | Netherlands | 06-01-2023 15:31 |
In samenwerking met DarkTracer
Top 3 cybercrime groepen met de meeste slachtoffers
| Groepering | Aantal slachtoffers | ||
|---|---|---|---|
| 1 | LockBit | 1.307 | Nog actief |
| 2 | Conti | 674 | Niet meer actief |
| 3 | REvil | 249 | Opnieuw actief |
Rackspace: ransomwaregroep had toegang tot e-mail van klanten
De criminelen die de hosted Exchange-omgeving van Rackspace met ransomware infecteerden hebben toegang gehad tot de e-mail van tientallen klanten, zo heeft het bedrijf bekendgemaakt. Eerder werd al duidelijk dat de aanval had plaatsgevonden via een bekende kwetsbaarheid in Exchange waarvoor Rackspace had nagelaten de beschikbare beveiligingsupdate te installeren. Een woordvoerder stelde dat er was besloten de patch niet te installeren omdat er operationele problemen mee zouden zijn. Volgens Rackspace hebben de criminelen van 27 klanten de Personal Storage Table (PST) bestanden benaderd. Deze bestanden kunnen e-mails, contacten, notities, taken en kalenderafspraken bevatten. Hoewel de criminelen toegang tot de PST-bestanden hadden claimt Rackspace dat er geen bewijs is dat e-mails of gegevens in de PST-bestanden zijn bekeken, bemachtigd of misbruikt. Getroffen klanten zijn door Rackspace ingelicht. Verder heeft Rackspace besloten om de hosted Exchange-omgeving niet te herbouwen. Het bedrijf stelt dat er al plannen waren om naar Microsoft 365 te migreren. De afgelopen weken is Rackspace bezig geweest met het herstellen van de gegevens van klanten. Deze operatie is nog altijd niet afgerond en wanneer dit precies zal zijn is onbekend. Rackspace zegt verder dat het met klanten en vakgenoten in de securitygemeenschap informatie over de aanval zal delen.
Bitdefender publiceert gratis decryptietool voor MegaCortex-ransomware
Antivirusbedrijf Bitdefender heeft een gratis decryptietool voor de LockerGoga-ransomware gepubliceerd, nadat de Zwitserse autoriteiten tal van decryptiesleutels in handen kregen. Eerder verscheen er ook al een gratis decryptor voor slachtoffers van de LockerGoga-ransomware. Vorige maand meldden de Zwitserse autoriteiten dat ook de MegaCortex-encryptie was gekraakt. Eind 2021 vond er een internationale politieoperatie plaats tegen verdachten die van de LockerGoga- en MegaCortex-ransomware gebruik zouden hebben gemaakt. Eerder waren de Nederlandse autoriteiten al een onderzoek naar de bende achter de ransomware-aanvallen gestart. Die wordt verantwoordelijk gehouden voor het maken van achttienhonderd slachtoffers in meer dan zeventig landen. De hierbij veroorzaakte schade wordt op 104 miljoen dollar geschat. Tijdens het onderzoek wist het Team High Tech Crime (THTC) van de politie informatie te achterhalen over systemen van bedrijven die wereldwijd waren geïnfecteerd, maar waar de ransomware nog niet was geactiveerd. Vervolgens werden deze bedrijven door het THTC en Nationaal Cyber Security Centrum (NCSC) gewaarschuwd, zodat ze maatregelen konden nemen om de ransomware te verwijderen. Het Zwitserse openbaar ministerie liet vorig jaar september weten dat het tijdens het onderzoek naar een verdachte in deze zaak op een onderzochte datadrager tal van decryptiesleutels heeft aangetroffen. Deze sleutels zijn met Bitdefender gedeeld, zodat het gratis decryptietools voor getroffen organisaties kon ontwikkelen.
→ Als u of uw bedrijf door MegaCortex is getroffen, kunt u nu de onderstaande tool gebruiken om uw bestanden gratis te herstellen. Bitdefender heeft een stapsgewijze tutorial over hoe de decodering in zowel single-computer- als netwerkmodi moet worden bediend.
MacOS-ransomware komt vooral via besmette applicaties binnen
De meeste infecties met ransomware op macOS vinden plaats doordat gebruikers besmette applicaties downloaden, zo stelt Microsoft in een analyse van vier ransomware-exemplaren voor Apples besturingssysteem. De vier ransomware-exemplaren die Microsoft analyseert, KeRanger, FileCoder, MacRansom en EvilQuest, zijn al jaren oud, iets dat ook het techbedrijf erkent. Naar eigen zeggen is de analyse dan ook vooral bedoeld als technische referentie om Mac-dreigingen te begrijpen en detectie te verbeteren. Het is ook de vraag hoe succesvol ransomware voor macOS is. Zo meldt Microsoft dat er de afgelopen jaren "veel varianten" van EvilQuest zijn ontdekt waar het ransomware-onderdee juist is verwijderd. Dit kan een aanwijzing zijn waar deze malware zich in de toekomst op zal richten. Om macOS-ransomware te voorkomen adviseert Microsoft om apps alleen van betrouwbare bronnen te installeren, zoals de officiële appstore van het platform. "De initiële vector van Mac-rasnomware is meestal afhankelijk van methodes waarbij de gebruiker assisteert, zoals het downloaden en uitvoeren van nep of getrojaniseerde applicaties", aldus Microsoft. Verder wordt ook aangeraden om toegang tot LaunchDaemons of LaunchAgents folders en sudoers bestanden te beperken.
Cybercriminelen misbruiken Windows Problem Reporting tool
Een groep onbekende cybercriminelen misbruikt de Windows Problem Reporting tool (WerFault.exe) om systemen te infecteren met trojans. Website BleepingComputer laat weten dat de hackcampagne werd ontdekt door K7 Security Labs, een Indiaas securitybedrijf. De onderzoekers konden de cybercriminelen niet identificeren, maar K7 Security Labs vermoedt dat de groep in China is gevestigd. De aanval is gebaseerd op DLL sideloading, waarover later meer. WerFault.exe stelt de hackers in staat om malware in het memory van getroffen systemen te laden. De legitieme Windows executable maakt het mogelijk om onder de radar te blijven. Het aanvalsproces begint met een e-mail. Doelwitten ontvangen een bericht met een ISO-bijlage. Klikt het doelwit op de bijlage, dan mount de ISO zichzelf op een drive met een legitieme kopie van de WerFault.exe, een DLL-bestand (‘faultrep.dll’), een XLS-bestand (‘File.xls’) en een snelkoppelingsbestand (‘inventory & our specialties.lnk’). Zodra WerFault.exe wordt uitgevoerd maakt een kwetsbaarheid het mogelijk om een schadelijke DLL (‘faultrep.dll’) in de ISO te laden. De techniek staat bekend als DLL sideloading, waarbij kwaadaardige DLL’s worden aangemaakt onder dezelfde naam als legitieme DLL’s. Het systeem verwart de twee en laadt de kwaadaardige kopie. Vervolgens wordt Pupy DLL (‘dll_pupyx64.dll’) in het memory geïnjecteerd. Pupy is een bekende remote access trojan (RAT). Hackers gebruiken de RAT voor volledige toegang tot apparaten, vaak met gegevensdiefstal en netwerkaanvallen als gevolg. Malwarevariant QBot werd in de zomer van 2022 met een vergelijkbaar aanvalsproces verspreid. Een groep aanvallers gebruikte de legitieme Windows Calculator-applicatie om antivirussoftware te omzeilen.
Clop-ransomware valt ziekenhuizen aan via malafide medische documenten
De Clop-ransomware, waar onder andere de Universiteit Maastricht slachtoffer van werd, was vorig jaar zeer actief, ook al werden halverwege 2021 zes personen met betrekking tot de ransomware aangehouden. Dat laat het Amerikaanse ministerie van Volksgezondheid weten (pdf). Volgens het ministerie hebben de criminelen achter Clop honderden miljoenen dollars met hun ransomware verdiend en zijn ziekenhuizen een populair doelwit. Zorginstellingen worden onder andere via malafide medische documenten aangevallen. In juni 2021 werden in Oekraïne zes personen aangehouden die worden verdacht van betrokkenheid bij de Clop-ransomware. Securitybedrijf Intel 471 stelde destijds dat de operatie gericht was tegen personen die zich bezighielden met het witwassen van het losgeld dat slachtoffers betaalden. De daadwerkelijke ontwikkelaars en beheerders zouden buiten schot zijn gebleven. "Het was de verwachting dat de activiteit van de Clop-ransomware in 2021, na de aanhouding van zes ransomware-operators, zou afnemen. De malware was in 2022 echter non-stop actief", aldus het ministerie in een melding aan de Amerikaans zorgsector. Voor de verspreiding van de Clop-ransomware wordt onder andere gebruikgemaakt van besmette e-mailbijlagen. "De groep had moeite om slachtoffers te laten betalen, wat heeft geleid tot een verandering in hun tactieken, die direct invloed op de zorgsector hebben", zo stelt het ministerie. Zo maakt de groep gebruik van malafide medische documenten die in werkelijkheid besmette bestanden zijn. Vervolgens worden deze "documenten" naar ziekenhuizen en zorginstellingen gestuurd voor het maken van een "afspraak". De aanvallers hopen zo dat het document door een zorgverlener wordt geopend. "Deze aanvallen hebben een grotere kans van slagen vanwege de uitbreiding van de eHealth-omgeving door corona", gaat het ministerie verder.
Een cybercrimineel steelt softwarecode van Slack
Een aanvaller is erin geslaagd om softwarecode uit de private GitHub-repositories van Slack te stelen, zo laat het bedrijf weten. Slack werd naar eigen zeggen op 29 december gewaarschuwd voor verdachte activiteit in het GitHub-account. Verder onderzoek door de zakelijke communicatietool wees uit dat de tokens van verschillende medewerkers waren gebruikt om toegang tot private GitHub-repositories te krijgen. GitHub is een populair platform voor softwareontwikkelaars, die het onder andere gebruiken voor de opslag van broncode. Slack stelt dat de aanvaller op 27 december verschillende private code repositories heeft gedownload. Welke repositories het precies zijn wordt niet gemeld. Het bedrijf claimt dat de repositories geen klantgegevens of middelen bevatten om toegang tot klantgegevens te krijgen. Ook bevatten deze repositories niet de primaire codebase van Slack, zo stelt het bedrijf verder. Wat er dan wel precies is gestolen laat Slack niet weten. Ook maakt het bedrijf niet duidelijk hoe de tokens van medewerkers konden worden gestolen en wordt er ook geen verdere informatie toegezegd. Wel zegt het dat het de gestolen tokens onbruikbaar heeft gemaakt en inloggegevens geroteerd. Bleeping Computer meldt dat Slack in bepaalde regionale versies van de blogposting de tag "noindex" heeft opgenomen, om zo te voorkomen dat het bericht over het beveiligingsincident door zoekmachines wordt geïndexeerd. Slack telt naar schatting achttien miljoen gebruikers.
Rackspace raakte via bekend Exchange-lek besmet met ransomware
Hostingbedrijf Rackspace raakte vorige maand via een bekende kwetsbaarheid in Microsoft Exchange, waarvoor het had nagelaten de beschikbare beveiligingsupdate te installeren, met de Play-ransomware besmet. De ransomware-aanval vond op 2 december plaatst en raakte de hosted Exchange-omgeving van Rackspace. Daardoor hadden klanten geen toegang meer tot hun e-mail. Een maand na de aanval is het bedrijf nog steeds bezig met het herstel van klantdata. Volgens Rackspace maakten de aanvallers gebruik van een bekende kwetsbaarheid in Exchange om op 29 novbember toegang tot de bedrijfsomgeving te krijgen. Een aantal dagen later werd de ransomware uitgerold. Op 8 november kwam Microsoft met beveiligingsupdates voor kwetsbaarheden in Microsoft Exchange. De beveiligingslekken waren eerder al gebruikt bij zeroday-aanvallen, zo waarschuwde Microsoft eind september. Om organisaties te beschermen in de tijd dat er nog geen updates beschikbaar waren kwam het techbedrijf met tijdelijke mitigatiemaatregelen die uit url-rewrites bestonden. Via deze url-rewrites moest misbruik van de beveiligingslekken worden voorkomen. Het ging hier om een tijdelijke maatregel, waarbij Microsoft op 8 november adviseerde om de beschikbare patches als echte oplossing te installeren. Rackspace besloot de updates niet te installeren omdat er operationele problemen mee zouden zijn, aldus een woordvoerder. Het vertrouwde daardoor alleen op de url-rewrites. Twee weken geleden liet securitybedrijf CrowdStrikeweten, dat ook betrokken is bij het onderzoek naar de aanval op Rackspace, dat aanvallers een manier hadden gevonden om de url-rewrites van Microsoft te omzeilen. De nieuwe exploitmethode waarover CrowdStrike berichtte maakt gebruik van CVE-2022-41080 en CVE-2022-41082 om via Outlook Web Access kwetsbare Exchange-servers over te nemen. De methode wordt gebruikt door de criminelen achter de Play-ransomware. Een anonieme bron laat tegenover San Antonio Express News weten dat Rackspace dacht dat de door Microsoft geadviseerde mitigatiemaatregel voldoende was. Het was echter al na het uitkomen van de url-rewrites duidelijk dat die in eerste instantie niet waterdicht waren. Microsoft kwam meerdere keren met aangepaste url-rewrites omdat eerdere versies niet goed werkten. Op 8 november riep Microsoft organisaties op om de Exchange-update meteen te installeren én dat de eerder genoemde url-rewrites niet meer werden aanbevolen.
Kosten cyberaanval stad Antwerpen kunnen oplopen tot 70 miljoen euro
De stad Antwerpen ontdekte in de nacht van 5 op 6 december dat het slachtoffer was geworden van een ransomware-aanval. Hackersgroep Play had daarbij iets meer dan 500 gigabyte aan data gestolen en dreigde die vrij te geven tenzij er werd betaald. Als bij wonder gebeurde dat vooralsnog niet, ook al beweert de stad nooit te hebben betaald. Maar dat lost de impact van de aanval niet op. Volgens De Standaard schat het stadsbestuur dat de extra kosten van het incident tot zeventig miljoen euro kunnen oplopen. Later deze maand hoopt het meer duidelijkheid te hebben over de werkelijke kostprijs.Het gaat deels om misgelopen inkomsten, zoals 1,2 miljoen euro aan parkeerboetes (los van foutparkeerders, die wel een GAS-boete kunnen krijgen). Maar ook boetes voor wie met een vervuilende wagen in de lage-emissiezone rijdt of door misgelopen verkopen van dagpassen of vergunningen hiervoor, dat is normaal goed voor 870.000 euro in de maand sinds de start van de aanval tot vandaag. Aan de kostenkant gaat het onder meer om de overuren die Digipolis, de ICT-organisatie van de stad, heeft gemaakt en om de kosten van externe experts die de stad helpen bij het onderzoeken en herstellen van haar infrastructuur. Hoeveel die extra kosten bedragen is momenteel nog niet duidelijk. Intussen zijn we een maand verder en komen verschillende digitale toepassingen voor de Antwerpenaren weer online, maar nog lang niet alles is hersteld. Ook welke gegevens exact zouden gestolen zijn, en in welke mate daar burgerdata bij zit, is niet duidelijk. Die informatie is, in tegenstelling tot wat de daders aanvankelijk beweerden, nog niet uitgelekt. Al kan niet worden uitgesloten dat dat alsnog gebeurt.
In Nederland nog zo'n 1.500 Microsoft Exchange servers kwetsbaar!
Cybersecurityonderzoeksbureau Shadowserver Foundation heeft onderzocht dat er in Nederland nog zo'n 1.500 Microsoft Exchange servers kwetsbaar zijn voor de ProxyNotShell-aanval. Deze kwetsbaarheid wordt aangeduid als CVE-2022-41082. Het overgrote deel van de Nederlandse bedrijven met een kwetsbare Exchange Server heeft de afgelopen weken een waarschuwingsbericht ontvangen van het Digital Trust Center. Hierin worden technisch beheerders opgeroepen om zo snel mogelijk de beschikbare beveiligingsupdates te (laten) installeren om aanvallen op bedrijven (of ketens) te voorkomen. Lees meer over dit soort waarschuwingsberichten en het belang van een up-to-date security.txt-bestand voor het ontvangen van waarschuwingsberichten.
Algerijnen hacken website van Nationale Bibliotheek van Marokko
Algerijnse hackers zouden een cyberaanval hebben uitgevoerd op de website van de Nationale Bibliotheek van het Koninkrijk Marokko (BNRM). De website was meerdere uren onbereikbaar. Op de homepage van de website stond de Algerijnse vlag en een boodschap van de hackers. De aanval werd opgeëist door een groep "hackers" die zichzelf "Team 1962" noemen. Ze stellen erin te zijn geslaagd de website van de Marokkaanse nationale bibliotheek te hacken. Deze website bevat een database met gegevens over duizenden boeken, tijdschriften, onderzoeksverslagen, proefschriften en scripties. Opgemerkt moet worden dat Marokkaanse overheidswebsites sinds enkele weken het slachtoffer zijn van hacking-aanvallen vanuit Algerije. Afgelopen week werd een hack gepleegd op het platform "Tawjihi" van het ministerie van Hoger Onderwijs. Er werden gegevens van bijna een miljoen Marokkaanse studenten gepubliceerd. Er is momenteel geen informatie dat Marokkaanse hackers een tegenaanval plannen of al hebben uitgevoerd op Algerijnse websites, zoals dat in december het geval was.
Marokkaanse hackers reageren op Algerijnse aanval
Als reactie op de aanval door Algerijnse hackers op de websites van Marokkaanse ministeries begin december, heeft een groep Marokkaanse hackers meerdere Algerijnse institutionele websites gehackt. De elektronische oorlog tussen Marokkaanse en Algerijnse hackers woedde in december na de aanval door Algerijnse hackers op de website van het Marokkaanse ministerie van Hoger Onderwijs. De persoonlijke gegevens van Marokkaanse studenten werden toen gepubliceerd in een forum. In totaal werden 23 databases gehackt en openbaar gemaakt. De aanval werd uitgevoerd door een groep hackers met de naam "1 2 3 viva l’Algérie". Voor deze aanval waren ook al de persoonsgegevens van bijna een miljoen Marokkaanse studenten te koop aangeboden op een website. In een snel offensief hebben Marokkaanse hackers Algerijnse institutionele websites aangevallen. In de afgelopen dagen zijn 58.000 e-mailadressen en wachtwoorden van studenten, met name van de universiteit van Oran, online gezet. Verschillende andere Algerijnse sites, zoals die van het officiële persagentschap (APS), werden eveneens gehackt.
The Guardian laat personeel wegens ransomware nog weken thuiswerken
De Britse krant The Guardian laat personeel wegens een ransomware-aanval waardoor het vorige maand werd getroffen nog weken thuiswerken. Op 21 december meldde de krant via de eigen website weten dat het vermoedelijk het slachtoffer van ransomware was geworden. In een interne memo werd personeel opgeroepen thuis te blijven en niet via het vpn in te loggen. Het personeel dat nog wel op het hoofdkantoor aanwezig was moest werken via laptops en de internetverbinding van hun mobiele telefoon. Twee weken later is de situatie nog altijd problematisch en kan personeel niet terugkeren. Afgelopen maandag stuurde de directeur van de Guardian Media Group een bericht naar personeel dat ze nog zeker tot 23 januari moeten thuiswerken, tenzij medewerkers specifiek wordt verzocht om op kantoor te komen werken. Vanwege de aanval zijn belangrijke systemen offline gehaald en nog altijd onbruikbaar, zo meldt de PressGazette. Door personeel thuis te laten werken wil The Guardian de belasting op het interne netwerk verminderen en het it-personeel ontzien. "Het werk om onze systemen helemaal te herstellen is gaande en zal nog een aantal weken in beslag nemen. We hebben de meeste medewerkers gevraagd om de komende drie weken thuis te werken, zodat onze technische teams zich op het belangrijkste technische werk kunnen richten", aldus een woordvoerder tegenover The Telegraph.
Antwerpen kan door ransomware al maand lang geen parkeerboetes uitschrijven
Parkeerwachters in Antwerpen kunnen door de ransomware-aanval die de stadssystemen raakte al een maand lang geen parkeerboetes uitschrijven. Mogelijk is de stad daardoor 1,2 miljoen euro aan parkeerboetes misgelopen, zo meldt Het Laatste Nieuws. "Controleren of mensen betaald hebben, loopt vandaag moeilijker omdat de systemen niet gekoppeld zijn", bevestigt wethouder mobiliteit Koen Kennis. Het gaat om een app waarmee parkeerwachters controleren of iemand het parkeergeld heeft betaald. Volgens HLN is de gemeente zo 1,2 miljoen euro misgelopen. "Maar dat is slechts een raming", reageert Kennis tegenover VRT NWS. "Het is zeer moeilijk om vast te stellen hoeveel het gaat kosten, omdat er veel veranderd is op vlak van parkeren ten opzichte van andere jaren. Er zijn andere parkeerzones gekomen en ook de tarieven zijn gewijzigd." Daarnaast zijn er mensen die wel parkeergeld betalen, waardoor het misgelopen bedrag lastig is in te schatten. De stad hoopt dat het probleem binnenkort is verholpen. Door de aanval werd de dienstverlening aan burgers op allerlei vlakken beperkt en ontregelt. De gemeente werd in de nacht van 5 op 6 december getroffen door een ransomware-aanval. De aanvallers claimen dat ze persoonlijke informatie, paspoorten, identiteitskaarten, financiële documenten en andere gegevens in bezit hebben. Het zou om 557 gigabyte aan data gaan die de aanvallers naar eigen zeggen vandaag zouden publiceren als de gemeente het gevraagde losgeld niet betaalt. De stad liet vanaf het begin weten niet met de criminelen te zullen onderhandelen of het losgeld te betalen. Vorige maand liet de gemeente weten dat het herstel naar verwachting tot eind januari zou duren. Hoe de aanval kon plaatsvinden is niet bekendgemaakt.
Hooggerechtshof VS: ransomware niet gedekt door verzekeringspolis
Een leverancier van medische software die het slachtoffer werd van een ransomware-aanval kan niet bij de verzekering aankloppen, aangezien er geen sprake is van "directe fysieke schade", zo heeft het hooggerechtshof in de Amerikaanse staat Ohio geoordeeld. Een Amerikaans advocatenkantoor spreekt van de belangrijkste uitspraak op het gebied van polisdekking in 2022. Softwareleverancier EMOI werd eind 2019 getroffen door een ransomware-aanval, waarbij de aanvaller bestanden van software en databases versleutelde. Het bedrijf betaalde 35.000 dollar losgeld voor een decryptiesleutel. Daarmee konden alle systemen worden hersteld, op één geautomatiseerd telefoonsysteem na. EMOI had een verzekering afgesloten en diende een claim in, maar de verzekeraar weigerde te betalen. Volgens de verzekeraar was er geen sprake van direct fysiek verlies of schade. Daarop stapte de softwareleverancier naar de rechtbank. Die gaf de verzekeraar gelijk en stelde dat de data was gecompromitteerd, maar dat elektronische apparatuur niet fysiek was beschadigd. In hoger beroep trok de softwareleverancier echter aan het langste eind. Volgens het hof van beroep zou de claim van EMOI wel door de verzekeringspolis zijn gedekt als de leverancier kan aantonen dat de software door de versleuteling is beschadigd. Daarop stapte de verzekeraar naar het Ohio Supreme Court en kreeg gelijk dat de verzekeringspolis alleen geldt voor "direct fysiek verlies of schade" aan eigendom, en daarom geen ransomware-aanval dekt. "Aangezien software een immaterieel voorwerp is dat geen direct fysiek verlies of directe fysieke schade kan ervaren, is de verzekering in dit geval niet van toepassing", aldus het vonnis. De rechter stelde dat de beschrijving van directe fysieke schade en verlies, zoals opgenomen in de verzekeringspolis, alleen geldt voor echt fysieke schade en verlies. Het hooggerechtshof vernietigde dan ook de beslissing van het hof van beroep. Volgens advocatenkantoor Hinshaw & Culbertsonis het misschien wel de belangrijkste beslissing met betrekking tot polisdekking van 2022. Advocatenkantoor Kohrman Jackson & Krantz roept bedrijven dan ook op om te controleren of hun verzekeringspolis ook ransomware-aanvallen dekt.
Systemen onderwijsinstelling Nova College deels hersteld na cyberaanval
De systemen van onderwijsinstelling Nova College zijn deels hersteld van de cyberaanval waar het voor de kerstvakantie door werd getroffen. Vanwege de aanval werd besloten om uit voorzorg het systeem voor de buitenwereld af te sluiten. Daardoor hadden de ongeveer 12.500 studenten en 1200 medewerkers van de onderwijsinstelling geen toegang tot interne systemen. Zo konden studenten via het studentenportaal geen cijfers of roosters opvragen. Het onderzoek naar de aanval is nog gaande. Om wat voor soort aanval het gaat kon een woordvoerder niet aan het Financieele Dagblad laten weten. Via de eigen website meldt het Nova College dat studenten sinds vorige week weer op het Nova Portal kunnen inloggen en het ict-systeem deels beschikbaar is. Het Nova College telt ongeveer 1200 medewerkers en ruim 12.500 studenten vanaf 16 jaar. Het heeft campussen in Beverwijk, Haarlem en Haarlemmermeer en colleges in onder andere Hoofddorp, IJmuiden en Harlingen.
Rackspace maand na ransomware-aanval nog steeds bezig met herstel klantdata
Hostingbedrijf Rackspace is een maand na de ransomware-aanval waardoor het werd getroffen nog steeds bezig met het herstel van klantgegevens. De aanval raakte de hosted Exchange-omgeving van Rackspace en zorgde ervoor dat klanten geen toegang meer tot hun e-mail hadden. Voor de kerstdagen liet Rackspace weten dat het klanten proactief informeerde van wie meer dan vijftig procent van hun mailboxes was hersteld. Deze klanten kunnen de PST-bestanden via het klantenportaal downloaden. "We begrijpen hoe belangrijk dataherstel is voor onze klanten. Bij ransomware-aanvallen kunnen pogingen tot dataherstel, vanwege de aard van de aanval en noodzaak om extra beveiligingsprotocollen te volgen, de nodige tijd in beslag nemen", aldus Rackspace in een update over het incident. Wanneer de gehele hersteloperatie is afgerond kan Rackspace nog niet zeggen. Ook is nog altijd niet bekendgemaakt hoe de aanvallers toegang tot de hosted Exhange-omgeving konden krijgen. Zowel de FBI als securitybedrijf CrowdStrike doen onderzoek naar de ransomware-aanval. Verder hebben verschillende klanten Rackspace in de Verenigde Staten vanwege de aanval aangeklaagd.
Duitse stad Potsdam al aantal dagen offline wegens cyberaanval
De gemeentesystemen van de Duitse stad Potsdam zijn al een aantal dagen wegens een cyberaanval offline, wat allerlei gevolgen voor inwoners heeft. Op 29 december ontving het stadsbestuur een waarschuwing van de veiligheidsautoriteiten dat er een serieuze dreiging voor de stadssystemen was. Er zou sprake zijn van een op handen zijnde aanval op de it-omgeving en data van de gemeente. Uit voorzorg werden vervolgens de internetverbinding en systemen van het gemeentelijke apparaat offline gehaald en een veiligheidsonderzoek ingesteld. Naast de waarschuwing van de veiligheidsautoriteiten ontdekte de hoofdstad van de Duitse deelstaat Brandenburg dat het op 29 december doelwit was geworden van een bruteforce-aanval. Als de systemen van de Duitse stad de veiligheidsonderzoeken doorstaan zullen ze geleidelijk deze week weer online komen. Ambtenaren van de deelstaathoofdstad zijn nog steeds niet per e-mail bereikbaar en ook de internetverbinding blijft voorlopig offline. De dienstverlening van de deelstaathoofdstad is daardoor slechts in beperkte mate beschikbaar. Het is op dit moment bijvoorbeeld niet mogelijk om voertuigen in en uit te schrijven, een spoedpaspoort te bestellen en een verklaring omtrent gedrag af te geven. Ook het documentenloket van de burgerlijke stand, burgerportalen en het gemeentelijk informatiesysteem zijn momenteel niet beschikbaar. Het is ook niet mogelijk om zaken als kindermishandeling via e-mail te melden. In deze gevallen wordt inwoners gevraagd om dit telefonisch of via fax door te geven.
‼️Internetverbindung zum Rathaus bleibt vorerst abgeschaltet. Eine schrittweise Inbetriebnahme ab der nächsten Woche ist geplant. Enge Zusammenarbeit mit den Sicherheitsbehörden und gute Kooperation mit den IT-Abteilungen der städtischen Unternehmen ✅ https://t.co/Zx7XwWHu6f
— Potsdam (@LH_Potsdam) January 2, 2023
Ransomwaregroep lekt gestolen data via nagemaakte website slachtoffer
De criminelen achter de BlackCat-ransomware, ook bekend als ALPHV, hebben gegevens van een accountantskantoor via een nagemaakte website van het slachtoffer gelekt. De website is via het 'gewone' internet bereikbaar en gebruikt een domeinnaam die erg op dat van het getroffen accountantskantoor lijkt. Dat laten beveiligingsonderzoekers Dominic Alvieri en Brett Callow weten. Het is inmiddels voor veel ransomwaregroepen standaard om bij een aanval ook gevoelige data van een getroffen organisatie te stelen. Als de organisatie het gevraagde losgeld niet betaalt wordt de gestolen informatie via de eigen website van de ransomwaregroep openbaar gemaakt. Deze websites worden gehost op het Tor-netwerk en vereisen het gebruik van Tor-browser om te worden bezocht. Eind december maakte de groep bekend dat een Amerikaans accountkantoor slachtoffer was geworden. In plaats van de gestolen gegevens via de eigen website te lekken, creëerde de ransomwaregroep een bijna identieke website van het accountkantoor en registreerde hiervoor een aparte, lijkende domeinnaam. Via de website kan op gestolen gegevens worden gezocht, waaronder klantenaudits en kopieën van paspoorten. Mogelijk dat de groep denkt op deze manier extra druk op het accountantskantoor uit te kunnen oefenen. Het Nederlandse vaccinbedrijf Bilthoven Biologicals werd afgelopen september getroffen door de BlackCat-ransomware, en eerder werd ook ID-ware slachtoffer, dat toegangssystemen levert aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer.
Black Cat ransomware creates a clearnet look-alike website to leak an 80 year old Atlanta CPA, fraud and forensics firm.
— Dominic Alvieri (@AlvieriD) December 26, 2022
Snapshot on left is official and the domain on your right is the leak site with customer audits and passports.#BlackCat #cybersecurity #infosec #alphv pic.twitter.com/kEmgGkvjAi
Cybercriminelen stelen gegevens van 229 miljoen Deezer-gebruikers
De gegevens van 229 miljoen Deezer-gebruikers zijn in de handen terecht gekomen van hackers. Het gaat om persoonlijke informatie als namen en e-mailadressen. De muziekstreamingdienst benadrukt dat er geen wachtwoorden of betalingsgegevens zijn gestolen. Dat meldt Deezer in een statement. De datadiefstal vond niet plaats bij Deezer zelf, maar bij een partner die data namens de muziekstreamingdienst verwerkt. Sinds 2020 werkt Deezer niet langer samen met deze partij. Wellicht heeft dat met het datalek te maken, dat zich al in april 2019 voordeed. Deezer geeft weinig details prijs over het voorval. Wie er achter de digitale inbraak zit, hoe de dader de interne systemen heeft weten te infiltreren en of er losgeld is geëist, is onbekend. Wel is Franse streamingdienst open en eerlijk over de data die zijn buitgemaakt. Het gaat om voor- en achternamen, gebruikersnamen, geslacht, geboortedata, e-mailadressen, locatiegegevens en IP-adressen van klanten. Het bedrijf zegt dat klanten zich geen zorgen hoeven te maken dat hun wachtwoord is buitgemaakt. Uit voorzorg adviseert Deezer klanten wel om hun wachtwoord te wijzigen. Betalingsgegevens liggen evenmin op straat. Het datalek kwam op dinsdag 8 november 2022 aan het licht. Hoeveel klanten de dupe zijn van het datalek, laat Deezer in het midden. Dankzij de Australische cybersecurityexpert Troy Hunt weten we echter dat het om 229 miljoen gebruikers gaat. Via Twitter laat hij weten dat Have I Been Pwned -een online database waar gedupeerden kunnen kijken of hun gegevens zijn buitgemaakt bij een cyberaanval- 12 miljard records bevat. Deze mijlpaal is volgens Hunt te danken aan de toevoeging van 229.037.936 slachtoffers van het datalek bij Deezer. Bijna de helft (49 procent) van de gegevens stond al vermeld op Have I Been Pwned. Dat houdt in dat deze informatie bij een eerder datalek bij een ander bedrijf was gestolen.
New breach: Deezer had 229M unique email addresses breached from a 2019 backup and shared online in late 2022. Data included names, IPs, DoBs, genders and customer location. 49% were already in @haveibeenpwned. Read more: https://t.co/1ngqDNYf6k
— Have I Been Pwned (@haveibeenpwned) January 2, 2023
Finally, this now pushes @haveibeenpwned past 12 *billion* records. It was creeping towards that number over the last few breaches, now this one puts it almost a quarter of the way to the next full billion 😲 What do you reckon the total number will be at the end of 2023?
— Troy Hunt (@troyhunt) January 2, 2023
Cybercriminelen hacken WordPress-sites via dertig kwetsbare plug-ins
Aanvallers maken gebruik van dertig kwetsbare plug-ins en themes om WordPress-sites met een backdoor te infecteren, zo meldt antivirusbedrijf Doctor Web. Sommige van de gebruikte kwetsbaarheden zijn zeven jaar oud. Zodra er toegang tot de WordPress-sites is verkregen injecteren de aanvallers malafide code op de webpagina's, die bezoekers doorstuurt naar een website van de aanvallers. Volgens marktvorser W3Techs maakt 43,1 procent van alle websites op internet gebruik van WordPress. Geregeld worden er kwetsbaarheden in plug-ins en themes voor WordPress-sites gevonden. Beheerders blijken in de praktijk beschikbare updates niet te installeren, waardoor aanvallers nog altijd succesvol zijn met oude kwetsbaarheden. Zo stammen drie van de beveiligingslekken waar aanvallers gebruik van maken uit 2016 en 2019, zo laat Doctor Web weten.
Canadees kinderziekenhuis krijgt gratis decryptietool van ransomwaregroep
Het grootste kinderziekenhuis van Canada dat vorige maand door een ransomware-aanval werd getroffen, wat gevolgen had voor de dienstverlening aan patiënten en reden was om "code grijs" af te kondigen, heeft van de verantwoordelijke ransomwaregroep een gratis decryptietool gekregen. Het Hospital for Sick Children liet dit weekend weten dat meer dan zestig procent van de belangrijkste systemen inmiddels is hersteld. Op zondag 18 december kondigde het Hospital for Sick Children "code grijs" af nadat meerdere systemen als gevolg van een ransomware-aanval niet meer werkten. Het gaat om interne klinische systemen, ziekenhuisapplicaties en sommige telefoonlijnen en webpagina's van het ziekenhuis. Daardoor waren er problemen met de telefonische bereikbaarheid van het ziekenhuis, de informatievoorziening en vacatureportaal. Door de uitval van systemen kunnen patiënten en gezinnen te maken krijgen met vertragingen in behandelingen en onderzoeken. Ook hebben artsen met vertragingen te maken bij het ophalen van onderzoeksresultaten en röntgenfoto's, wat weer voor langere wachttijden voor patiënten kan zorgen. Veel van de inmiddels herstelde systemen zouden volgens het ziekenhuis hebben bijgedragen aan vertragingen bij behandelingen en onderzoeken. Hoewel deze systemen nu beschikbaar zijn moeten patiënten en gezinnen nog steeds rekening met mogelijke vertragingen houden. Het is ook nog steeds onbekend wanneer alle systemen zijn hersteld en code grijs kan worden opgeheven. Code grijs staat voor verlies van essentiële diensten. De aanval is opgeëist door de groep achter de LockBit-ransomware. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De groep laat via de eigen website weten dat de voor de aanval verantwoordelijke partner de "regels" heeft overtreden en uit het partnerprogramma is gezet. De groep heeft daarop een gratis decryptietool beschikbaar gemaakt. Het kinderziekenhuis heeft externe experts ingeschakeld om de decryptietool en het gebruik daarvan te beoordelen. Verder stelt het ziekenhuis dat er geen aanwijzingen zijn dat er persoonsgegevens zijn gestolen en is er geen losgeld betaald.
Lockbit ransomware group issued a public apology to SickKids. SickKids is a Canadian based hospital and ranked #1 for Pediatric healthcare.
— vx-underground (@vxunderground) December 31, 2022
December 29th, 2022, the pediatric hospital was ransomed. Lockbit has issued the decryptor for free and has allegedly fired the affiliate. pic.twitter.com/T46w9Z8FLZ
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 16-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 15-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 14-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 13-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 12-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Slachtofferanalyse en Trends van Week 11-2024
EN: Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑