De bibliotheek voor de bestrijding van digitale criminaliteit

Overzicht cyberaanvallen week 07-2023

Gepubliceerd op 20 februari 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Amerikaanse stad roept noodtoestand uit vanwege ransomware-aanval, toename besmette Nederlandse VMware ESXi-servers en Applied Materials schat 250 miljoen dollar schade door ransomware-aanval Hier is het overzicht en het dagelijkse nieuws van afgelopen week.


Laatste wijziging op 20-februari-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb
International Center of Photography Medusa www.icp.org USA Educational Services 19-feb.-23
elliotthomes.com LockBit elliotthomes.com USA Construction 19-feb.-23
anthonymartin.be LockBit anthonymartin.be Belgium Food Products 19-feb.-23
BakerMechanicalInc.com LockBit bakerMechanicalInc.com USA Engineering Services 19-feb.-23
jetboxcargo.com LockBit jetboxcargo.com USA Transportation Services 19-feb.-23
servicesfinanciersjdf.com LockBit servicesfinanciersjdf.com Canada Insurance Carriers 19-feb.-23
laremo.de LockBit laremo.de Germany Miscellaneous Retail 19-feb.-23
Hengmei Optoelectronics Co.,Ltd. BlackCat (ALPHV) www.cnhmo.cn China Electronic, Electrical Equipment, Components 18-feb.-23
Cansew BlackCat (ALPHV) cansew.com Canada Textile Mill Products 18-feb.-23
Wawasee Community School Corporation BlackCat (ALPHV) www.wawaseeschools.org USA Administration Of Human Resource Programs 18-feb.-23
SINGLESOURCE BlackCat (ALPHV) www.singlesource.com USA Transportation Services 18-feb.-23
championfp.com LockBit championfp.com USA Engineering Services 18-feb.-23
sandycove.org LockBit sandycove.org USA Lodging Places 18-feb.-23
isosteo.fr LockBit isosteo.fr France Health Services 18-feb.-23
diavaz.com LockBit diavaz.com Mexico Engineering Services 18-feb.-23
aguasdoporto.pt LockBit aguasdoporto.pt Portugal Engineering Services 18-feb.-23
inowai.com LockBit inowai.com Luxembourg Real Estate 18-feb.-23
primorossi.com.br LockBit primorossi.com.br Brazil Miscellaneous Services 18-feb.-23
piercetransit.org LockBit piercetransit.org USA Passenger Transportation 18-feb.-23
innophaseinc.com LockBit innophaseinc.com USA Electronic, Electrical Equipment, Components 18-feb.-23
hotdesk.me LockBit hotdesk.me UK IT Services 17-feb.-23
alliedtools.com LockBit alliedtools.com USA Wholesale Trade-durable Goods 17-feb.-23
NESG BianLian nesg.com USA Health Services 17-feb.-23
Fibertec BianLian fibertec.us USA Engineering Services 17-feb.-23
Suburban Laboratories BianLian suburbanlabs.com USA Engineering Services 17-feb.-23
cordfinancial.com LockBit cordfinancial.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 17-feb.-23
fikes.com LockBit fikes.com USA Miscellaneous Services 17-feb.-23
newbridge.org LockBit newbridge.org USA Personal Services 17-feb.-23
AP Emissions Technologies Medusa apemissions.com USA Electronic, Electrical Equipment, Components 17-feb.-23
vissan.com.vn LockBit vissan.com.vn Vietnam Food Products 16-feb.-23
myerspower.com LockBit myerspower.com USA Electronic, Electrical Equipment, Components 16-feb.-23
ziapueblo.org LockBit ziapueblo.org USA General Government 16-feb.-23
royallepage.ca LockBit royallepage.ca Canada Real Estate 16-feb.-23
vitrox.com LockBit vitrox.com Malaysia Electronic, Electrical Equipment, Components 16-feb.-23
Evans Consoles Royal www.evansonline.com USA Machinery, Computer Equipment 16-feb.-23
coreautomation.com LockBit coreautomation.com USA Machinery, Computer Equipment 16-feb.-23
Mitchell Lewis Staver AvosLocker www.mitchellewis.com USA Electronic, Electrical Equipment, Components 16-feb.-23
California Northstate University AvosLocker www.cnsu.edu USA Educational Services 16-feb.-23
Hydrofit Alliance Ltd Mallox hydrofitgroup.com United Arab Emirates Machinery, Computer Equipment 16-feb.-23
Gallier OrlΓ©ans Mallox www.gallier.fr France Engineering Services 16-feb.-23
Mecaro Co., Ltd Mallox mecaro.com South Korea Electronic, Electrical Equipment, Components 16-feb.-23
blackandwhitecabs.com.au LockBit blackandwhitecabs.com.au Australia Passenger Transportation 15-feb.-23
trudi.it LockBit trudi.it Italy Miscellaneous Retail 15-feb.-23
Foamtec International Medusa www.foamtecintlwcc.com USA Miscellaneous Manufacturing Industries 15-feb.-23
semsinc.net LockBit semsinc.net USA Engineering Services 15-feb.-23
vipar.com LockBit vipar.com USA Wholesale Trade-durable Goods 15-feb.-23
nationallocums.co.uk LockBit nationallocums.co.uk UK Business Services 15-feb.-23
richardsind.com LockBit richardsind.com USA Machinery, Computer Equipment 15-feb.-23
montibello.com LockBit montibello.com Spain Chemical Producers 15-feb.-23
AMADA WELD TECH BlackCat (ALPHV) amadaweldtech.com USA Machinery, Computer Equipment 15-feb.-23
Eureka Casino Resort Medusa www.eurekamesquite.com USA Lodging Places 15-feb.-23
PetroChina Indonesia Medusa www.petrochina.co.id Indonesia Oil, Gas 15-feb.-23
Vitas BlackCat (ALPHV) www.vitasjordan.com Jordan Non-depository Institutions 14-feb.-23
Banco Sol BlackCat (ALPHV) www.bancosol.com.bo Bolivia Security And Commodity Brokers, Dealers, Exchanges, And Services 14-feb.-23
Leal Group BlackCat (ALPHV) www.lealgroup.com Mauritius Transportation Equipment 14-feb.-23
gruppobeltrame.com LockBit gruppobeltrame.com Italy Metal Industries 14-feb.-23
Microgame SpA PLAY www.microgame.it Italy Miscellaneous Services 14-feb.-23
Energie Pool Schweiz PLAY www.energie-pool.ch Switzerland Engineering Services 14-feb.-23
Alexandercity Royal www.alexandercityal.gov USA General Government 14-feb.-23
Delallo Royal www.delallo.com USA Food Stores 14-feb.-23
cefcostores.com LockBit cefcostores.com USA Merchandise Stores 14-feb.-23
albanesi.com.ar LockBit albanesi.com.ar Argentina Electrical 14-feb.-23
srf.com LockBit srf.com India Chemical Producers 14-feb.-23
Hospital Service SpA RansomHouse www.hshospitalservice.com Italy Miscellaneous Manufacturing Industries 14-feb.-23
cassaragionieri.it LockBit cassaragionieri.it Italy Accounting Services 13-feb.-23
Reventics Royal www.reventics.com India IT Services 13-feb.-23
vanderkaay.com LockBit vanderkaay.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 13-feb.-23
dana-group.com LockBit dana-group.com USA Health Services 13-feb.-23
mangalagroup.com LockBit mangalagroup.com India Food Products 13-feb.-23
nonson.com.vn LockBit nonson.com.vn Vietnam Apparel And Accessory Stores 13-feb.-23
hidalgocounty.us LockBit hidalgocounty.us USA General Government 13-feb.-23
tucsoneyecare.com LockBit tucsoneyecare.com USA Health Services 13-feb.-23
chempartner.com LockBit chempartner.com China Chemical Producers 13-feb.-23
laganscg.com LockBit laganscg.com UK Construction 13-feb.-23
mdstrucking.com LockBit mdstrucking.com USA Motor Freight Transportation 13-feb.-23
greekpeak.net LockBit greekpeak.net USA Amusement And Recreation Services 13-feb.-23
Elim Clinic Medusa www.elimclin.com South Africa Health Services 13-feb.-23
PFA Systems Medusa pfasystemsinc.com USA Motor Freight Transportation 13-feb.-23
EnCom Medusa encompolymers.com USA Rubber, Plastics Products 13-feb.-23
Grace Church International Medusa www.gracechurchintl.org USA Miscellaneous Services 13-feb.-23
Integerity Tax Medusa www.integritytaxgroup.com USA Accounting Services 13-feb.-23
Aglobis Medusa www.aglobis.com Switzerland Transportation Services 13-feb.-23
Diethelm Keller Aviation Pte Ltd Medusa www.diethelmkelleraviation.com Singapore Transportation By Air 13-feb.-23
EightPixelsSquare Medusa eightpixelssquare.com UK IT Services 13-feb.-23
Tonga Communications Medusa www.tcc.to Tonga Communications 13-feb.-23
Bank of Africa Medusa bank-of-africa.net Morocco Depository Institutions 13-feb.-23
European Window Medusa www.eurowindow.com.au Australia Engineering Services 13-feb.-23
Elektro Richter Medusa elektro-richter.net Germany Engineering Services 13-feb.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
anthonymartin.be LockBit anthonymartin.be Belgium Food Products 19-feb.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


Marokkaanse persbureau getroffen door cyberaanval, Algerije verdacht

Het Marokkaanse persbureau Maghreb Arab Press werd begin deze week het doelwit van een DDoS-aanval. Dit gebeurde slechts enkele dagen na de aanval op het Algerijnse persbureau APS. Een toeval? Of represailles van de Algerijnen, die Marokko beschuldigden? Maandag was de toegang tot de websites van het Marokkaanse persbureau MAP een groot deel van de dag heel moeilijk als gevolg van een cyberaanval. "De verschillende websites van het Marokkaanse persbureau (MAP) zijn afgelopen maandag het doelwit geweest van een Denial of Service (DDoS) -aanval, die talrijke storingen heeft veroorzaakt waardoor de toegang tot de websites moeilijk was", bevestigde het persbureau in een verklaring. Bij MAP zijn ze ervan overtuigd dat "dit ernstige incident niet kan worden verklaard buiten de geopolitieke spanningen die op de regio wegen, getuige de intensiteit van deze cyberaanval tegen een openbare instelling."


Applied Materials schat 250 miljoen dollar schade door ransomware-aanval

Applied Materials, samen met ASML de grootste toeleverancier van apparatuur voor de wereldwijde halfgeleider-industrie, schat dat een ransomware-aanval op een leverancier het bedrijf in het tweede kwartaal 250 miljoen dollar kost. Dat heeft het bedrijf in een overzicht van de financiële resultaten van het eerste financiële kwartaal van dit jaar bekendgemaakt. De naam van de leverancier is niet genoemd, maar meerdere analisten stellen dat het MKS Instruments is. Dit bedrijf levert oplossingen voor chipfabrikanten en partijen in de halfgeleiderindustrie. Afgelopen maandag liet MKS Instruments weten dat het begin deze maand slachtoffer was geworden van een ransomware-aanval. Het bedrijf is nog altijd bezig met het herstel van systemen bij meerdere getroffen locaties. De aanval heeft ook financiële gevolgen voor het bedrijf, dat kon daardoor geen bestellingen verwerken, producten leveren of diensten aan klanten verlenen. De volledige kosten en gevolgen van de ransomware-aanval zijn nog niet in kaart gebracht. MKS Instruments zag zich gedwongen om de zogenoemde 'earnings call' met analisten over de financiële resultaten naar 28 februari te verplaatsen. Details over de aanval, hoe die kon plaatsvinden en om wat voor ransomware het ging, zijn niet bekendgemaakt. Volgens Applied Materials heeft de aanval op de leverancier gevolgen voor de eigen leveringen in het tweede kwartaal, waardoor het naar verwachting 250 miljoen dollar aan verkopen zal mislopen. Het bedrijf denkt de schade in de toekomst goed te kunnen maken.


Snowboardfabrikant Burton door cyberincident al dagen zonder online orders

De webshop van snowboardfabrikant Burton kan door een "cyberincident" al dagen geen online bestellingen verwerken. Afgelopen dinsdag meldde het bedrijf op de eigen website dat het met een cyberincident te maken had gekregen dat invloed op een deel van de bedrijfsvoering had. Om wat voor incident het precies gaat is niet bekendgemaakt. Burton stelt dat het met externe specialisten samenwerkt om de aard en omvang van het incident te onderzoeken en het bezig is om de bedrijfsvoering te omzeilen, maar vooralsnog geen online bestelling kan verwerken. Drie dagen later is de situatie nog onveranderd. Burton, dat zowel in de Verenigde Staten als Europa winkels heeft, roept klanten op om bij fysieke winkels te kopen. Wanneer de situatie is hersteld is onbekend.


Scandinavian Airlines getroffen door cyberaanval

Scandinavian Airlines (SAS) heeft klanten gewaarschuwd voor een datalek nadat de website en app van de Scandinavische luchtvaartmaatschappij eerder deze week werden getroffen door een cyberaanval. Om wat voor aanval het precies ging laat SAS niet weten, behalve dat die ervoor zorgde dat de website en app een aantal uren offline waren. Verder bleek dat passagiers die tijdens de aanval op de SAS-app probeerden in te loggen werden ingelogd op het verkeerde account en zo toegang kregen tot de gegevens van andere passagiers. Het gaat om contactgegevens, informatie over eerdere en nog geplande vluchten en de laatste vier cijfers van de creditcard. Hoeveel passagiers zijn gedupeerd laat Scandinavian Airlines niet weten. "Dergelijke aanvallen vinden plaats in golven en meer aanvallen zijn in de toekomst waarschijnlijk te verwachten. Dit zou echter geen invloed op passagiersgegevens moeten hebben", aldus een verklaring van de luchtvaartmaatschappij. Paspoortgegevens zijn niet in gevaar geweest, zo stelt SAS verder.


Websites van meerdere Duitse luchthavens plat door cyberaanvallen

De sites van meerdere Duitse luchthavens zijn donderdag niet toegankelijk, als gevolg van een cyberaanval. Dat melden de uitbaters. Het gaat onder meer om de sites van de luchthavens van Düsseldorf, Nürenberg, Hannover en Dortmund. “We vermoeden een cyberaanval”, aldus de woordvoerder van die laatste luchthaven. Het Duitse weekblad Der Spiegel weet dat Russische activisten de cyberaanval hebben opgeëist. Het is niet voor het eerst dat Russische hackers Duitsland viseren. 


Toename van besmette Nederlandse VMware ESXi-servers

De afgelopen dagen zijn honderden VMware ESXi-servers besmet geraakt met ransomware, waaronder zo'n dertig in Nederland. Dat meldt securitybedrijf Censys op basis van eigen onderzoek. Hoe de aanvallers toegang weten te krijgen is nog altijd onbekend. De afgelopen weken werd vaak gesteld dat de aanvallers gebruikmaakten van een kwetsbaarheid aangeduid als CVE-2021-21974, maar dat is volgens VMware niet bevestigd. In totaal detecteerde Censys de afgelopen dagen vijfhonderd nieuw besmette ESXi-servers. "De plotselinge toename van aanvallen is met name interessant, omdat de meeste van deze nieuw besmette hosts zich bevinden in Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk", aldus Censys. In Nederland gaat het om 28 machines. Het securitybedrijf stelt verder aanwijzingen te hebben gevonden dat de huidige ransomware-aanvallen zijn vooraf gegaan door een eerdere aanval in oktober vorig jaar. Het is nog altijd onduidelijk hoe de aanvallers weten toe te slaan. Eerder liet VMware weten dat de aanvallers geen gebruik van een onbekende kwetsbaarheid maken. Welk beveiligingslek dan wel kan het bedrijf niet zeggen. VMware krijgt bijval van securitybedrijf GreyNoise, dat ook stelt dat de aanvalsvector op dit moment nog onbekend is en er mogelijk meerdere kandidaten zijn. ESXi, onderdeel van VMware's vSphere, is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Begin februari werden ESXi-servers wereldwijd het doelwit van een ransomware-aanval. Zodra er toegang is verkregen versleutelt de ransomware de configuratiebestanden op de ESXi-servers, waardoor de aangemaakte virtual machines onbruikbaar zijn geworden.


Amerikaanse stad kondigt noodtoestand af wegens ransomware-aanval

De Amerikaanse stad Oakland heeft wegens een ransomware-aanval waardoor het vorige week werd getroffen een lokale noodtoestand afgekondigd. Hierdoor kan het meer middelen vrijmaken en inzetten voor de aanschaf van apparatuur en inhuur van extra krachten. De aanval deed zich vorige week woensdag voor, waarop de stad besloot om getroffen systemen offline te halen. Dit had tot gevolg dat allerlei diensten niet meer beschikbaar waren, waaronder verschillende telefoonlijnen van de stad. Ook systemen waarmee de stad belastingen van inwoners en meldingen verwerkt, alsmede vergunning en licenties uitgeeft zijn nog altijd offline. De stad heeft daarop besloten verschillende gebouwen te sluiten. In een laatste update over het incident meldt het stadsbestuur bezig te zijn met het herstel van systemen, maar geeft geen tijdsvenster wanneer dit is gereed. Burgers worden opgeroepen om niet-urgente meldingen voor de politie niet telefonisch maar via een webformulier te doen dat wel online beschikbaar is. Oakland telt zo'n 434.000 inwoners.


Schepen Mertens (B) heeft de cyberaanval totaal onderschat en moet opstappen

Raadslid Stéphan Bourlau (Het Alternatief) stelt Veerle Mertens – schepen van ICT – verantwoordelijk voor de zeer gevoelige en persoonlijke informatie die de hackers bekend hebben gemaakt. ‘De schepen heeft de impact van de aanval en de gevolgen totaal onderschat.’ Raadslid Bourlau maakt gewag van grove nalatigheid. ‘Schepen Veerle Mertens draagt de politieke verantwoordelijkheid voor het datalek en moet de eer aan zichzelf houden.’ We vroegen Schepen Mertens om een reactie. Van zodra die binnenkomt, geven we die mee. Op de vraag van raadslid Stéphan Bourlau of er gevoelige en persoonlijke informatie tijdens de cyberaanval was ontvreemd, verklaarde Veerle Mertens – schepen van ICT – op de gemeenteraad van 4 oktober het volgende: ‘Er waren geen indicaties dat er belangrijke info is ontvreemd. We gaan dit zien als het onderzoek afgerond is.’ Tot eind januari hield het stadsbestuur vol dat er geen bewijzen waren aangeleverd dat de hackers in het bezit van gevoelige informatie zouden zijn. ‘We hebben in de logs van onze systemen geen bewijzen kunnen vinden dat er gegevens gestolen zijn’, zei computerspecialist Jan De Smet van de Stad Geraardsbergen tegen de VRT (B).


It-problemen bij Lufthansa leiden tot chaos

Bij de Duitse luchtvaartmaatschappij Lufthansa kunnen geen vluchten meer vertrekken. De reden is dat de computersystemen voor het inchecken en het boarden niet naar behoren werken. Door de it-storing bij Lufthansa heeft de Duitse luchtverkeersleiding de luchthaven van Frankfurt tijdelijk gesloten voor landingen. De problemen leiden daar in Frankfurt tot vertragingen en annuleringen van vluchten én tot grote drukte bij passagiers. De it-problemen hebben ook gevolgen voor bij Brussels Airlines, een dochterbedrijf van Lufthansa. Door de storing lukt ook bij hen een automatische incheck niet meer. Al zouden de vluchten van Brussels Airlines wel nog doorgaan. Een woordvoerster van Lufthansa meldt aan het persagentschap Bloomberg dat het bedrijf hard aan een oplossing werkt. De oorzaak van het euvel is evenwel nog niet bekend. Zo is het onduidelijk of de problemen gelinkt zijn aan cyberaanval waarmee de Scandinavische luchtvaartmaatschappij SAS AB deze week te maken kreeg. De laatste tijd hebben meer vliegmaatschappijen af te rekenen met it-problemen. In het jaareinde was er een incident bij Southwest in de VS. Daar lagen de it-problemen aan verouderde software.


Van wanbetalers tot medische attesten: persoonsgegevens van vooral kwetsbare personen gestolen bij stad Geraardsbergen

Criminelen hebben persoonsgegevens die bij een ransomware-aanval op de Belgische stad Geraardsbergen zijn buitgemaakt gepubliceerd op internet. Volgens de Belgische beveiligingsonderzoeker Inti De Ceukelaire gaat het vooral om gegevens van kwetsbare personen. Vorig jaar september raakten de computers van de stadsdiensten geïnfecteerd met ransomware. Hierdoor was de dienstverlening aan inwoners dagenlang ontregeld.Bij de aanval werden ook gegevens van inwoners gestolen. Geraardsbergen telt zo'n 34.000 inwoners. Als de gemeente het losgeld niet betaalde dreigden de aanvallers de data openbaar te maken. Dat is nu gebeurd, aldus de stad in een verklaring. Volgens De Ceukelaire hebben de aanvallers waarschijnlijk toegang gehad tot een systeem van de de dienst Financiën, zo laat hij tegenover VRT NWS weten. Daarop stonden onder andere gegevens van wanbetalers van parkeerboetes en aanmaningen."Maar ook medische gegevens van bepaalde personen omdat die relevant kunnen zijn voor de gemeentebelasting. Zo zijn er attesten gelekt voor blijvende incontinentie waarop ook de namen van die personen staan." De onderzoeker voegt toe dat het vooral om mensen in collectieve schuldbemiddeling gaat of met een ziekte. Het zijn daarnaast niet alleen mensen uit Geraardsbergen van wie gegevens zijn gelekt. "Als je ooit fout geparkeerd hebt in die stad, kan het zijn dat je op die computer bent beland."


Luchtvaartmaatschappij SAS lijdt onder cyberaanval, klantgegevens gelekt

De Scandinavische luchtvaartmaatschappij SAS is dinsdagavond getroffen door een cyberaanval waarbij haar website werd lamgelegd en klantgegevens uit haar app werden gelekt, aldus nieuwsberichten. Karin Nyman, hoofd pers bij SAS, zei dat het bedrijf dinsdagmiddag was getroffen door een cyberaanval waarbij zijn app en website waren aangetast, en voegde eraan toe dat ze bezig waren het probleem op te lossen. "We kunnen nu niet veel meer zeggen omdat we op dit moment midden in de aanval zitten," zei Nyman.


Israëlische Technion Universiteit getroffen door ransomware-aanval van nieuwe DarkBit groep

Een nieuwe groep genaamd 'DarkBit' heeft de verantwoordelijkheid opgeëist voor de ransomware-aanval en geëist dat het losgeld van 80 bitcoins binnen de komende 48 uur zou worden betaald. De Israëlische Technion-universiteit kreeg zondag te maken met een ransomware-aanval, waardoor de universiteit alle communicatienetwerken proactief moest blokkeren. Een nieuwe groep die zichzelf DarkBit noemt, heeft de verantwoordelijkheid voor de aanval opgeëist. “De Technion staat onder cyberaanval. De omvang en aard van de aanval worden onderzocht', schreef Technion, een van de beste universiteiten van Israël, in een Tweet. Technion uit Haifa, opgericht in 1912, ook wel bekend als het Israel Institute of Technology - is een wereldwijde pionier geworden op gebieden als biotechnologie, stamcelonderzoek, ruimte, informatica, nanotechnologie en energie. Vier Technion professoren hebben Nobelprijzen gewonnen. De universiteit heeft ook bijgedragen aan de groei van de hightech-industrie en innovatie van Israël, waaronder het technische cluster van het land in Silicon Wadi. De universiteit zei dat het geplande examens uitstelt vanwege de ransomware-aanval, maar de lessen zullen doorgaan zoals gewoonlijk. De website bleef op het moment van schrijven ontoegankelijk.


Nieuwe Info-Stealer ontdekt terwijl Rusland een nieuw offensief voorbereidt

Beveiligingsonderzoekers hebben een nieuwe variant van informatie stelende malware ontdekt die gericht is op Oekraïense organisaties. De infostealer heeft de naam 'Graphiron' gekregen en is gelinkt aan de Russische 'Nodaria-groep'. Symantec, het beveiligingsbedrijf dat de infostealer vond, stelt dat de groep minstens sinds maart 2021 actief is. Nodaria werd voor het eerst herkend voor de WhisperGate-aanvallen gericht op Oekraïense organisaties aan het begin van het conflict. Net als andere door de groep gebruikte infostealers is Graphiron geschreven in Go en waarschijnlijk ingezet via spear phishing e-mails. De malware bestaat uit een downloader en een payload en kan gegevens stelen zoals systeeminformatie, bestanden, screenshots en referenties. Veiligheidsdeskundigen hebben gewaarschuwd voor een nieuwe reeks cyberaanvallen op kritieke infrastructuur in Oekraïne in de aanloop naar een Russisch offensief in Donbas.


Cloudflare zegt grootste ddos-aanval van 71 miljoen requests per seconde te zien

Cloudflare zegt dat het afgelopen weekend de grootste http-ddos-aanval heeft afgeslagen die het bedrijf ooit zag. Het zou gaan om een HTTP/2-aanval die op het hoogtepunt 71 miljoen requests per second overschreedt. Daarmee was de aanval ruim een derde groter dan het vorige record. Cloudflare schrijft dat het in het afgelopen weekend meerdere ddos-aanvallen heeft afgeslagen voor klanten. Het gaat om enkele tientallen aanvallen waarvan de meerderheid tussen de 50 en 70 miljoen requests per second afvuurden. In het ernstigste geval bedroeg een van de aanvallen 71 miljoen rps. Tijdens de vorige grootste aanval die Cloudflare ooit detecteerde, werden er 46 miljoen rps afgevuurd richting doelwitten. Dat gebeurde in juni van 2022. In augustus sloeg Google ook al zo'n grote aanval af. Veel details over de aanval geeft Cloudflare niet, maar het gaat volgens het bedrijf in ieder geval om HTTP/2-aanvallen waarbij de requests van 30.000 verschillende IP-adressen afkomstig waren. De aanvallen vonden plaats op verschillende websites van gameproviders, cryptovalutabedrijven, hostingproviders en cloudplatformen. Volgens Cloudflare werden de botnets aangestuurd vanaf 'vele cloudproviders', al geeft het bedrijf daar verder geen details over. De aanval zou niets te maken hebben met recente aanvallen van vorige week die plaatsvonden op ziekenhuizen en andere zorginstellingen. De aanvallers zouden daar andere methodes voor gebruiken. Ook zegt Cloudflare dat de aanval niets te maken heeft met de Superbowl, die dit weekend in Amerika plaatsvond.


Beveiligde NAVO-netwerken niet getroffen door cyberaanval

De cyberaanval op NAVO-websites van afgelopen zondag heeft de beveiligde netwerken van de alliantie niet getroffen. Dat zegt de topman van de NAVO, Jens Stoltenberg. Volgens de secretaris-generaal van de verdragsorganisatie werkt het merendeel van de NAVO-websites zoals normaal. 'We hebben pogingen tot denial of service-incidenten (waarbij een website ontoegankelijk wordt, nvdr.) op NAVO-websites gezien sinds zondag', aldus Stoltenberg. 'Maar de beveiligde netwerken van de NAVO zijn niet getroffen.'


Cyberaanval op NAVO-websites, KillNet verdacht

De websites van de NAVO waren zondag het doelwit van een cyberaanval, meldde het Duitse persbureau dpa. Hierbij verwees het naar de woordvoerder van de alliantie, Oana Lungescu. Volgens bericht van het persbureau heeft de hacker meerdere websites tegelijk aangevallen. Lungescu merkte op dat de cyberdeskundigen van het bondgenootschap het incident actief onderzoeken. Het persbureau zegt dat sommige informatie op sociale media suggereerde dat “pro-Russische activisten” achter de aanval op de website van het NAVO Special Operations Headquarters(NSHQ) zouden zitten, die tijdelijk niet beschikbaar was. Met name “de Russische hackersgroep KillNet” kreeg de schuld, aldus dpa. Het NAVO Special Operations Headquarters werd opgericht na de NAVO-top in Riga in 2006 en “geeft strategisch advies, maakt ontwikkeling mogelijk en synchroniseert activiteiten om bedreigingen af te schrikken en het NAVO-bondgenootschap te verdedigen”, aldus de website. AZGeopolitics, een alternatieve nieuwssite, gebruikte hun Twitter-account om enkele inzichten in de vermeende KillNet NAVO-operatie te posten. “”Mijn aanval op de Ramstein basis, jullie komen ook aan de beurt”-KILLNET” was een citaat dat zij zouden hebben onderschept van de KillNet bende. Dit, volgens AZ, was het KillNet team dat “het begin van aanvallen op alle NAVO-afdelingen” aankondigde. KillNet is een groep “hacktivisten” die volgens Google is met het Russische leger. Zij werden actief bij het begin van de Russische invasie in Oekraïne en werden onlangs beschuldigd van een hackingaanval op het Europees Parlement als reactie op het feit dat Rusland door dat orgaan werd aangemerkt als “staatssponsor van terrorisme”. Toen werd de website van het Europees Parlement enkele uren offline gehaald door een DDoS-aanval (Distributed Denial-of-Service) die werd toegeschreven aan KillNet. Doelwitten van de groep waren onder meer politiediensten, luchthavens en regeringen in Litouwen, Duitsland, Italië, Roemenië, Noorwegen en de Verenigde Staten. Zoals de tweet van AZGeopolitics suggereert, zou de KillNet-groep nu ook NAVO-websites aanvallen. Afgezien van de Tweet is er echter geen ander bewijs geleverd dat deze bewering ondersteunt, aldus dpa.


Phishingaanval op SendGrid via Namecheap

Aanvallers zijn erin geslaagd om via het SendGrid-account van registrar Namecheap phishingmails te versturen. Daarop besloot het bedrijf om tijdelijk geen e-mails meer te versturen, waaronder authenticatiecodes en wachtwoordresetmails, te stoppen. SendGrid is een marketingplatform voor e-mail. Tal van bedrijven gebruiken de dienst voor onder andere het versturen van marketingmails, nieuwsbrieven en andere communicatie. Dit weekend bleek dat aanvallers via het SendGrid-account van Namecheap phishingmails hadden verstuurd die van Metamask en DHL afkomstig leken. Namecheap heeft de phishingaanvallen via SendGrid bevestigd. De registrar stelt in een verklaring dat de eigen systemen niet zijn gecompromitteerd en producten, accounts en persoonlijke informatie van klanten veilig zijn. Hoe het SendGrid-account kon worden gekaapt laat het bedrijf niet weten. Naar aanleiding van de aanval besloot Namechap om tijdelijk te stoppen met het versturen e-mails, waaronder ook authenticatiecodes, wachtwoordresetmails en verificatie van 'trusted devices'. Vanochtend laat het bedrijf weten dat de 'mail delivery' is hersteld. Er is een onderzoek naar de aanval ingesteld en Namecheap zegt met meer informatie te komen zodra het bekend is.


Pepsi Bottling Ventures getroffen door hack en datalek

Pepsi Bottling Ventures, de grootste producent van onder andere Pepsi-Cola, Dr. Pepper, Starbucks en Lipton in Noord-Amerika, is getroffen door een datalek, zo heeft het bedrijf aan de procureur-generaal van de Amerikaanse staat Montana laten weten (pdf). Volgens de datalekmelding werd er op 10 januari ongeautoriseerde activiteit op de it-systemen ontdekt. Verder onderzoek wees uit dat een aanvaller de systemen op of rond 23 december vorig jaar met malware had geïnfecteerd en gegevens had gedownload. Het gaat om naam, adresgegevens, e-mailadres, rekeninggegevens, waaronder een beperkt aantal wachtwoorden, pincodes of andere toegangsgegevens, identificatienummers, zoals die van rijbewijs en identiteitskaart, social-securitynummers, paspoortinformatie, digitale handtekening, beperkte medische geschiedenis en gezondheidsclaims. Hoe de aanvaller toegang tot de systemen kon krijgen en om wat voor malware het precies ging is niet bekendgemaakt. Ook is het aantal getroffen personen onbekend. Naar aanleiding van de aanval zijn verschillende maatregelen getroffen, waaronder het resetten van alle bedrijfswachtwoorden. Getroffen personen kunnen een jaar lang gratis hun krediet laten monitoren. Pepsi Bottling Ventures is een joint venture van PepsiCo en de Suntory Group.

Consumer Notification Letter 820
PDF – 314,6 KB 24 downloads

Actieve aanvallen op NAS-systemen fabrikant TerraMaster

NAS-systemen van fabrikant TerraMaster zijn het doelwit van aanvallen, zo waarschuwt de Amerikaanse overheid. In het TerraMaster Operating System (TOS), dat op de NAS-systemen draait, bevindt zich een kwetsbaarheid (CVE-2022-24990) waardoor een aanvaller op afstand het beheerderswachtwoord kan achterhalen, om daarmee vervolgens in te loggen. Het beveiligingslek is aanwezig in versie 4.2.29 en eerder. TerraMaster kwam vorig jaar maart en april met firmware-updates (4.2.31). Destijds maakten de onderzoekers die het probleem ontdekten ook de details bekend. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat aanvallers actief misbruik van de kwetsbaarheid maken. De NAS-systemen van TerraMaster worden vooral in zakelijke en professionele omgevingen gebruikt. Het CISA heeft Amerikaanse overheidsinstanties nu opgedragen om de update voor 3 maart te installeren.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Mei 2023
April 2023

«   »