Overzicht van slachtoffers cyberaanvallen week 10-2023

Gepubliceerd op 13 maart 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Afgelopen week vonden er veel aanvallen plaats op zorginstellingen. Het ziekenhuis Clínic in Barcelona kreeg te maken met een cyberaanval en moet 4,5 miljoen dollar aan losgeld betalen. De Spoedafdeling van een Brussels ziekenhuis kon na een cyberaanval weer heropenen. Zorginstelling WLGroep werd gehackt, wat leidde tot beperkte toegang tot systemen en verstoring van de dienstverlening. Bij een ransomware-aanval werden paspoorten van medewerkers van een ouderenzorginstelling gelekt. Een grote Spaanse zorginstelling werd volledig lamgelegd door een ransomware-aanval, waarbij duizenden afspraken en operaties werden geannuleerd en patiënten werden doorverwezen. Ook werden naaktbeelden van borstkankerpatiënten in de VS gepubliceerd om het ziekenhuis af te persen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Laatste wijziging op 13-maart-2023



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
Entigrity Solutions AvosLocker entigrity.com In progress In progress 13-mrt.-23
Bishop Luffa School Medusa www.bishopluffa.org.uk UK Educational Services 13-mrt.-23
grupohospitalarvidas.com.br LockBit grupohospitalarvidas.com.br Brazil Health Services 11-mrt.-23
schradercamargo.com LockBit schradercamargo.com Colombia Construction 11-mrt.-23
greggardnergm.com LockBit greggardnergm.com Canada Automotive Dealers 11-mrt.-23
wyckoffcomfort.com LockBit wyckoffcomfort.com USA Engineering Services 11-mrt.-23
bonta-viva.it LockBit bonta-viva.it Italy Food Products 11-mrt.-23
meinet.com LockBit meinet.com USA Membership Organizations 11-mrt.-23
lubrimetal.com LockBit lubrimetal.com Italy Chemical Producers 11-mrt.-23
cqservice.sk LockBit cqservice.sk Slovakia IT Services 11-mrt.-23
brandywine-homes.com LockBit brandywine-homes.com USA Real Estate 11-mrt.-23
cktc.edu LockBit cktc.edu USA Educational Services 11-mrt.-23
omegaservicos.com.br LockBit omegaservicos.com.br Brazil Business Services 11-mrt.-23
inphenix.com LockBit inphenix.com USA Electronic, Electrical Equipment, Components 11-mrt.-23
favoritefoods.com LockBit favoritefoods.com USA Wholesale Trade-non-durable Goods 11-mrt.-23
Berkeley County Schools Vice Society www.berkeleycountyschools.org USA Educational Services 11-mrt.-23
Real Pro PLAY www.realpro.com USA Real Estate 10-mrt.-23
Leemock PLAY www.leemock.com South Korea Legal Services 10-mrt.-23
The M. K. Morse PLAY www.mkmorse.com USA Miscellaneous Manufacturing Industries 10-mrt.-23
Secure Wrap PLAY www.securewrap.com USA Miscellaneous Services 10-mrt.-23
Russell Finex PLAY www.russellfinex.com UK Machinery, Computer Equipment 10-mrt.-23
Delaware Life Insurance Company RansomHouse www.delawarelife.com USA Insurance Carriers 10-mrt.-23
eprinsa.es LockBit eprinsa.es Spain IT Services 10-mrt.-23
techhard.ae LockBit techhard.ae United Arab Emirates Machinery, Computer Equipment 10-mrt.-23
micos.com LockBit micos.com Switzerland Aerospace 10-mrt.-23
drilmaco.com LockBit drilmaco.com Singapore Machinery, Computer Equipment 10-mrt.-23
schauenburg.com LockBit schauenburg.com Germany Miscellaneous Manufacturing Industries 10-mrt.-23
heidelbergbread.com LockBit heidelbergbread.com USA Food Products 10-mrt.-23
southamericantours.com LockBit southamericantours.com Uruguay Miscellaneous Services 10-mrt.-23
wunan.org.au LockBit wunan.org.au Australia Miscellaneous Services 10-mrt.-23
alpes-sante-travail.org LockBit alpes-sante-travail.org France Health Services 10-mrt.-23
kisp.com LockBit kisp.com Canada IT Services 10-mrt.-23
KMVP Royal kmwp.de Germany Legal Services 10-mrt.-23
PEOPLECORPORATION.COM CL0P peoplecorporation.com Canada Insurance Carriers 10-mrt.-23
MEDMINDER.COM CL0P medminder.com USA Health Services 10-mrt.-23
AXISBANK.COM CL0P axisbank.com India Depository Institutions 10-mrt.-23
HOUSELOAN.COM CL0P houseloan.com USA Non-depository Institutions 10-mrt.-23
ALIVIAHEALTH.COM CL0P aliviahealth.com Puerto Rico Miscellaneous Retail 10-mrt.-23
Highway Equipment Royal www.highway-equipment.com USA Miscellaneous Retail 10-mrt.-23
Ferretería EPA Royal www.epaenlinea.com El Salvador Building Materials, Hardware, Garden Supply, And Mobile Home Dealers 10-mrt.-23
Little Mountain Residential Care and Housing Society Royal www.littlemountaincare.org Canada Health Services 10-mrt.-23
Hard Manufacturing Royal www.hardmfg.com USA Furniture 10-mrt.-23
Materialogic Royal www.materialogic.com USA Transportation Services 10-mrt.-23
Jackson Dean Construction Royal www.jacksondean.com USA Construction 10-mrt.-23
Richard Sanders Royal www.richardsanders.co.uk UK Automotive Dealers 10-mrt.-23
Gottschol Alcuilux Royal www.alcuilux.lu Luxembourg Metal Industries 10-mrt.-23
sagardoy.com LockBit sagardoy.com Spain Legal Services 10-mrt.-23
Methodist Family Health AvosLocker www.methodistfamily.org USA Miscellaneous Services 10-mrt.-23
pmsoffice.de LockBit pmsoffice.de Germany IT Services 9-mrt.-23
Garbarino SAICeI Medusa www.garbarino.com USA Miscellaneous Retail 9-mrt.-23
National Business Furniture Medusa www.nationalbusinessfurniture.com USA Furniture 9-mrt.-23
onyx-pharma.dz DarkPower onyx-pharma.dz Algeria Chemical Producers 9-mrt.-23
imtenan.com DarkPower imtenan.com Egypt Miscellaneous Retail 9-mrt.-23
agados.cz DarkPower agados.cz Czech Republic Transportation Equipment 9-mrt.-23
evant.com.tr DarkPower evant.com.tr Turkey IT Services 9-mrt.-23
arineta.com DarkPower arineta.com Israel Machinery, Computer Equipment 9-mrt.-23
rcc.gob.pe DarkPower rcc.gob.pe Peru Administration Of Environmental Quality And Housing Programs 9-mrt.-23
goliplik.com.tr DarkPower goliplik.com.tr Turkey Textile Mill Products 9-mrt.-23
mdclone.com DarkPower mdclone.com Israel IT Services 9-mrt.-23
betastree.fr DarkPower betastree.fr France Construction 9-mrt.-23
northgatesd.net DarkPower northgatesd.net USA Educational Services 9-mrt.-23
Wellington Power Corporation Royal www.wellingtonpower.com USA Construction 9-mrt.-23
Walker SCM Royal www.walkerscm.com USA Motor Freight Transportation 9-mrt.-23
Brauerei Schimpf Royal www.brauerei-schimpf.de Germany Food Products 9-mrt.-23
Thomaston Mills Royal thomastonmills.com USA Textile Mill Products 9-mrt.-23
audio-technica.com LockBit audio-technica.com Japan Electronic, Electrical Equipment, Components 9-mrt.-23
The WorkPlace Royal www.workplace.org USA Membership Organizations 8-mrt.-23
GROUPAMANA.COM CL0P groupamana.com United Arab Emirates Construction 7-mrt.-23
Minneapolis Public Schools Medusa mpls.k12.mn.us USA Educational Services 7-mrt.-23
Law Foundation of Silicon Valley BlackCat (ALPHV) www.lawfoundation.org USA Legal Services 7-mrt.-23
Wilhelm Royal www.e-wilhelm-gmbh.de Germany Machinery, Computer Equipment 6-mrt.-23
PROTEKTOR Royal www.protektor.co.uk UK Fabricated Metal Products 6-mrt.-23
Krinos Foods Royal www.krinos.com USA Food Products 6-mrt.-23
Lehigh Valley Health Network BlackCat (ALPHV) www.lvhn.org USA Health Services 6-mrt.-23
Los Altos Foods BlackCat (ALPHV) losaltosfoods.com USA Food Products 6-mrt.-23
steico.com Industrial Spy steico.com Germany Lumber And Wood Products 6-mrt.-23
The Institute of Space Technology Medusa ist.edu.pk Pakistan Educational Services 6-mrt.-23
Circa Jewels Mallox www.circajewels.com USA Apparel And Accessory Stores 6-mrt.-23
HATCHBANK.COM CL0P hatchbank.com USA Depository Institutions 6-mrt.-23
Kventa Kft Vice Society www.kventa.hu Hungary IT Services 6-mrt.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum

In samenwerking met DarkTracer


Cyberaanvallen nieuws


Microsoft neemt extra maatregelen tegen toename aanvallen met OneNote-bestanden

Microsoft neemt extra maatregelen tegen aanvallen met OneNote-bestanden, aangezien er de afgelopen maanden hier een toename van is. OneNote is software voor het maken en synchroniseren van notities. Het programma is standaard op Windows geïnstalleerd en onderdeel van Office 2019 en Microsoft 365. One-bestanden ondersteunen geen macro's, maar wel toegevoegde scripts die door middel van een dubbelklik zijn te starten. Daarbij krijgen gebruikers wel eerst een waarschuwing te zien en moet er nog een keer worden geklikt om het script daadwerkelijk uit te voeren. Om gebruikers zover te krijgen gebruiken aanvallers allerlei trucs, die ook werden toegepast om gebruikers macro's te laten inschakelen. Zodra gebruikers de waarschuwing negeren wordt er malware gedownload en uitgevoerd. Om OneNote-gebruikers beter tegen dergelijke aanvallen te beschermen is de beveiliging tegen risicovolle bestandstypes volgens Microsoft verbeterd. Wanneer gebruikers een embedded bestand in OneNote openen of downloaden dat als gevaarlijk wordt beschouwd, toont het programma een uitgebreidere waarschuwing. De nieuwe notificatie zou volgende maand onder OneNote-gebruikers worden uitgerold.


Spoedafdeling van Brussels ziekenhuis terug open na cyberaanval

De spoedafdeling van het Brusselse ziekenhuis Sint-Pieter is zaterdagavond heropend. Dat heeft het ziekenhuis omstreeks 19 uur gemeld. De afdeling was eerder op de dag gesloten na een cyberaanval. De cyberaanval leidde zaterdagochtend tot een algemene computerstoring. Daardoor waren een reeks toepassingen, waaronder de patiëntendossiers en de telefoonlijnen, geblokkeerd. De noodlijn 112 moest omgeleid worden naar andere ziekenhuizen, maar ook dat probleem is intussen van de baan.


IceFire-ransomware treft nu ook Linux-systemen, vooral in media- en entertainmentbedrijven

De IceFire-ransomware treft niet alleen Windows-systemen, maar nu ook op Linux gebaseerde systemen. Volgens securityexperts van SentinelOne is de afgelopen weken voor het eerst een Linux-versie opgedoken van de IceFire-ransomware. Eerder waren alleen Windows-systemen het doelwit. De IceFire-ransomware werd voor het eerst in maart 2022 opgemerkt. De IceFire-versie voor Linux dook op bij media- en entertainmentbedrijven, wat ook een verandering is. De Windows-versie richt zich vooral op het uitvoeren van ransomware-aanvallen op techbedrijven. En andere afwijking van de nieuwe ransomware-versie is dat vooral bedrijven in Turkije, Iran, Pakistan en de Verenigde Arabische Emiraten worden getroffen. De algemene tactieken van de aanvallers met deze ransomware-variant zijn hetzelfde gebleven en in overeenstemming met andere ‘big-game hunting (BGH)’ ransomware. Denk hierbij aan double extortion, het gebruik van meerdere persistence-mechanismes en het vermijden van analyse door log files te deleten. De securityonderzoekers van SentinelOne vermoeden dat de aanval afkomstig is van ransomware-groepen die eerder al Linux-varianten uitrolden. Denk aan BlackBasta, Hive, Qilin en Vice Society aka HelloKitty.


Hackers stelen data van één klant, bedrijf benadrukt dat andere klanten niet zijn getroffen

Acronis is getroffen door een datalek. Bij een cyberaanval is data van één klant van het bedrijf gestolen. Acronis benadrukt dat andere klanten niet zijn getroffen. Op een hackersforum is een post verschenen waarin de schrijver claimt data van Acronis te hebben buitgemaakt en een sample van de gestolen data deelt. Het zou onder meer gaan om certificaten, systeemconfiguratie, logbestanden die systeeminformatie omvatten en archieven van het filesystem van Acronis. Denk daarnaast aan Python scripts voor een database van Acronis, evenals back-up configuraties. De aanvaller stelt ook dat de IT-beveiliging van Acronis slecht op orde was. Acronis erkent in een verklaring aan The Register door een datalek te zijn getroffen. Het bedrijf meldt hierbij data is gestolen van één specifieke klant. Welke klant dit is meldt Acronis niet. Wel benadrukt het bedrijf dat de aanvaller geen toegang heeft gehad tot gegevens gerelateerd aan andere klanten. Het datalek is op het hackersforum gemeld door dezelfde persoon die eerder ook melding maakte van een datalek bij Acer. Bij dit bedrijf lekte 160GB aan data uit,  gerelateerd aan de reparatieservice van het bedrijf.


Het ziekenhuis Clínic in Barcelona moet 4,5 miljoen dollar losgeld betalen na cyberaanval

Het Hospital Clínic in Barcelona is het doelwit geworden van een cyberaanval waarbij de daders een losgeld van 4,5 miljoen dollar (ongeveer 4,2 miljoen euro) eisen om te voorkomen dat de een deel van de 4 terabytes aan gestolen gegevens openbaar worden gemaakt. Op een persconferentie op vrijdag heeft de secretaris van Telecommunicatie en Digitale Transformatie van de Catalaanse regionale regering verklaard dat de regering niet zal toegeven aan het losgeld verzoek en dat er geen onderhandelingen zullen plaatsvinden. Het Hospital Clínic in Barcelona is een openbaar ziekenhuis dat wordt beheerd door het Departement van Gezondheid van de regionale overheid in Catalonië. Het is een van de grootste ziekenhuizen in Spanje en heeft een sterke reputatie op het gebied van onderzoek en medische zorg. Het ziekenhuis heeft verschillende afdelingen en specialisaties en biedt zowel basiszorg als complexe behandelingen. Het is verdeeld in verschillende medische afdelingen die verantwoordelijk zijn voor verschillende specialisaties. “Er bestaat een hoge kans dat de gestolen gegevens openbaar worden gemaakt en dit kan zelfs vandaag nog gebeuren” volgens Ramón Chacon, hoofd van de Algemene Onderzoekscommissie van de Mossos d’Esquadra vrijdagmorgen. Sinds het moment van de aanval patrouilleert de Catalaanse politie actief op het internet en het dark web. “Als deze gegevens toch worden gelekt, zullen we dit snel opmerken en actie ondernemen om ze van het web te verwijderen en verdere verspreiding te voorkomen”, voegde hij eraan toe. Volgens de algemeen directeur van het Catalaanse Bureau voor Cyberbeveiliging, heeft het ziekenhuis geen gegevens verloren en zijn eventuele berichten waarin om persoonlijke informatie wordt gevraagd vals. Er wordt gewerkt aan een protocol om mensen te helpen zich te beschermen tegen dergelijke aanvallen en te voorkomen dat ze slachtoffer worden van oplichting met betrekking tot het lekken van persoonlijke gegevens. De regionale secretaris van Telecommunicatie en Digitale Transformatie heeft herhaald dat er niet betaald is en dat er niet betaald zal worden, en volgt het advies van de Mossos om bij afpersing geen losgeld te betalen. “Als we het gevraagde bedrag betalen, geven we deze groepen meer technologisch vermogen”, legde Chacon van de Mossos d’Esquadra uit. “De enige manier om ze te stoppen is door ze niet te betalen, want als ze weten dat ze uiteindelijk geen geld zullen ontvangen, zullen ze hun tijd niet verspillen.” Volgens Antoni Castells, medisch directeur van het ziekenhuis, heeft de cyberaanval geleid tot het stopzetten van meer dan 4.000 analyses van poliklinische patiënten, meer dan 300 ingrepen en meer dan 11.000 afspraken bij externe consulten. Het ziekenhuis heeft 25 patiënten die radiotherapie ondergaan moeten doorverwijzen naar het Sant Pau-ziekenhuis om hun behandeling voort te zetten. Desondanks zijn 90% van de complexe chirurgische activiteiten, 40% van de minder complexe activiteiten en 70% van de externe consultaties hervat. Bovendien zijn de urgentiecodes voor beroertes en hartaanvallen hersteld. Op dit moment is 15% van de digitale systemen van het ziekenhuis hersteld. De secretaris van Telecommunicatie en Digitale Transformatie legde uit dat het herstelproces traag verloopt omdat elk hersteld systeem eerst geanalyseerd moet worden. Momenteel wordt gewerkt aan het herstellen van de back-ups die het ziekenhuis had en worden deze opnieuw geïnstalleerd.


Nederlandse bank-apps doelwit van volautomatische Android-malware die geld steelt

De apps van verschillende Nederlandse banken zijn het doelwit van Android-malware die volautomatisch geld van bankrekeningen kan stelen. Dat laat securitybedrijf ThreatFabric in een analyse van de Xenomorph-malware weten. De malware wordt geïnstalleerd via een onschuldig lijkende app genaamd CoinCalc. Deze app vraagt gebruikers om een update of plug-in te installeren die zich voordoet als Google Protect, maar in werkelijkheid de malware is. Eenmaal actief maakt Xenomorph gebruik van het ATS (Automated Transfer Systems) framework om de bankfraude te plegen. Via ATS is het mogelijk om de diefstal van inloggegevens, opvragen van het saldo van de rekening, stelen van MFA-tokens en afronden van de transacties volledig te automatiseren, zonder enige tussenkomst van een menselijke operator. Volgens ThreatFabric nemen banken geleidelijk afscheid van sms voor multifactorauthenticatie. In plaats daarvan wordt er gebruikgemaakt van authenticator-apps. Vaak worden dergelijke apps op hetzelfde toestel gebruikt waarop de transactie plaatsvindt. Malware op een besmette telefoon kan een frauduleuze transacties uitvoeren, waarbij het gebruikmaakt van de aanwezige bank-app en op hetzelfde moment de MFA-code uit de authenticator-app uitleest. In totaal kan de malware fraude met vierhonderd bank-apps plegen, waaronder die van ABN Amro en ING.


Cloudsoftwarebedrijf Blackbaud schikt voor $3 miljoen in zaak ransomware-aanval en misleidende melding, waardoor datalek bij TU Delft en Universiteit Utrecht ontstond

Cloudsoftwarebedrijf Blackbaud, dat in 2020 door een ransomware-aanval werd getroffen dat onder andere voor een datalek bij de TU Delft en Universiteit Utrecht zorgde, heeft een misleidende melding over het incident voor een bedrag van drie miljoen dollar geschikt. Dat heeft de Amerikaanse beurswaakhond SEC laten weten. Blackbaud is een cloudsoftwarebedrijf dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management). Bij de ransomware-aanval wist de aanvaller gegevens van dertienduizend klanten te stelen. Blackbaud betaalde de aanvaller om de gegevens te vernietigen en stelde dat er geen bankgegevens of socialsecurity-nummers waren buitgemaakt. Het personeel ontdekte dat de aanvaller deze gevoelige informatie wel had gestolen. De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de SEC meldde ontbrak deze informatie dan ook. Hierdoor heeft Blackbaud investeerders niet tijdig en juist geïnformeerd. Het bedrijf heeft hiermee de Amerikaanse Securities Act overtreden. De SEC en Blackbaud zijn nu voor deze overtreding een schikking van drie miljoen dollar overeengekomen. Bij de TU Delft en Universiteit Utrecht werden door de aanval op Blackbaud de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de universiteiten gestolen. Van zesduizend afgestudeerden van de Universiteit Utrecht ging het ook om burgerservicenummers. Het incident leidde nog tot vragen in de Tweede Kamer.


SonicWall SMA-apparaten besmet met hardnekkige malware ontworpen om gehashte wachtwoorden te stelen

Onderzoekers hebben SonicWall SMA-apparaten gevonden die besmet zijn met malware die firmware-updates kan overleven en waarschijnlijk ontwikkeld is om gehashte wachtwoorden van gebruikers te stelen. Dat laat securitybedrijf Mandiant weten. De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Volgens Mandiant maken de aanvallers misbruik van een kwetsbaarheid waarvoor SonicWall een beveiligingsupdate heeft uitgebracht. Om welke kwetsbaarheid het gaat is niet bekend. De malware in kwestie, of een voorganger, was waarschijnlijk al in 2021 op de apparaten geïnstalleerd. Daarbij wist de aanvaller meerdere firmware-updates te overleven en shell-toegang te behouden. Het primaire doel van de malware lijkt het stelen van gehashte wachtwoorden van alle ingelogde gebruikers. Vervolgens kan de aanvaller proberen om deze hashes te kraken. SonicWall roept organisaties en beheerders op om te upgraden naar firmware 10.2.1.7 of nieuwer. Mandiant vermoedt dat de aanvallen door een vanuit China opererende groep zijn uitgevoerd.


40% van operationele technologie computers getroffen door malware in 2022

Uit het ICS threat landscape rapport van Kaspersky blijkt dat in 2022 meer dan 40 procent van de operationele technologie (OT) computers getroffen werd door kwaadaardige objecten. In de tweede helft van dat jaar werd de industriële sector wereldwijd het meest getroffen door aanvallen (34,3%). In deze periode werden ook steeds meer aanvallen uitgevoerd met kwaadaardige scripts, phishingpagina's (JS en HTML) en geblokkeerde bronnen. De automotive- en energiesector lieten een ongekende groei zien en waren goed voor respectievelijk 36,9 procent en 34,5 procent van alle industrieën. Tijdens de tweede helft van 2022 blokkeerden de beveiligingsoplossingen van Kaspersky malware van maar liefst 7.684 verschillende families op industriële automatiseringssystemen, zoals gebouwautomatisering, automotive, olie en gas, energie en engineering. Dit aantal steeg met 6% in vergelijking met de eerste helft van het jaar en was bijna 1,5 keer zo hoog als in de tweede helft van 2021. Uiteindelijk was 2022 het jaar met het hoogste percentage OT-computers dat door malware werd getroffen (40,6%).

Kaspersky Ics Cert Threat Landscape For Industrial Automation Systems Statistics For H 2 2022 En 2
PDF – 1,4 MB 90 downloads

IceFire-ransomware maakt gebruik van kritieke kwetsbaarheid in IBM Aspera Faspex op Linux-systemen

Een kritieke kwetsbaarheid in IBM Aspera Faspex wordt gebruikt voor aanvallen met een Linux-versie van de IceFire-ransomware, zo stelt securitybedrijf SentinelOne. Onlangs waarschuwde ook het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) voor actief misbruik van het beveiligingslek in IBM Aspera Faspex. Aspera Faspex is een webapplicatie voor het uitwisselen van bestanden en draait op een Aspera-server. Op 26 januari kwam IBM met een beveiligingsupdate voor een kritieke kwetsbaarheid in Aspera Faspex, aangeduid als CVE-2022-47986. Door een speciaal geprepareerde API-call te versturen kan een aanvaller willekeurige code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 13 februari meldde de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt, dat aanvallers misbruik van de kwetsbaarheid maken. De eerste gedetecteerde aanvalspogingen bleken van 3 februari te dateren, een week na het uitkomen van de beveiligingsupdate. Eerder stelde beveiligingsonderzoeker Raphael Mendonca ook al het dat het lek wordt gebruikt voor ransomware-aanvallen op kwetsbare servers. Volgens SentinelOne hebben de criminelen achter de IceFire-ransomware, die het eerst alleen op Windows hadden voorzien, het nu ook op Linux gemunt en gebruiken ze daarbij het Aspera Faspex-lek. Bij de waargenomen aanvallen werden CentOS-systemen gecompromitteerd die een kwetsbare versie van IBM Aspera Faspex draaiden. Vervolgens werden allerlei bestanden op het systeem versleuteld. De onderzoekers merken op dat de ransomware op Linux niet alle bestanden versleutelt. Bepaalde paden worden vermeden, zodat belangrijke onderdelen van het systeem operationeel blijven.


Cyberaanval treft maritiem dienstverlener Royal Dirkzwager

Deze week kwam het verontrustende nieuws naar buiten dat de maritiem dienstverlener Royal Dirkzwager slachtoffer is geworden van een cyberaanval. De aanval heeft de ICT-systemen van het bedrijf verstoord en heeft mogelijk gevoelige informatie in gevaar gebracht. CEO Joan Blaas benadrukt dat het bedrijf hard werkt aan het vinden van een oplossing en dat er direct actie is ondernomen om alternatieve oplossingen te vinden voor de klanten van Royal Dirkzwager. Het is nog niet duidelijk wie verantwoordelijk is voor de aanval en welke gevolgen deze heeft voor de dienstverlening van het bedrijf. Het is niet de eerste keer dat een bedrijf in de maritieme sector doelwit is van cybercriminelen. Het is een duidelijk signaal dat bedrijven, groot en klein, zich moeten blijven wapenen tegen deze vorm van criminaliteit. Het belang van een goede beveiliging van de ICT-systemen wordt steeds groter naarmate de digitalisering verder toeneemt. De cyberaanval bij Royal Dirkzwager onderstreept het belang van een goede beveiliging van de systemen en het belang van het nemen van preventieve maatregelen om dergelijke aanvallen te voorkomen. Het is van cruciaal belang dat bedrijven hun beveiliging up-to-date houden en dat medewerkers zich bewust zijn van de risico's van cybercriminaliteit.


Zorginstelling WLGroep gehackt: beperkte toegang tot systemen en verstoring in dienstverlening

Het afgelopen weekend heeft de zorginstelling WilgaerdenLeekerweideGroep (WLGroep) een hackincident meegemaakt. Hierdoor kregen cybercriminelen toegang tot het computernetwerk, wat resulteerde in beperkte toegang tot de systemen van de organisatie. WLGroep heeft dit bevestigd en er wordt momenteel onderzoek gedaan naar de omvang van de hack en de gevolgen voor de organisatie. Als voorzorgsmaatregel zijn sommige andere systemen tijdelijk offline gehaald, waardoor de zorginstelling telefonisch of per e-mail slecht bereikbaar is voor ouderen, mensen met beperkingen en iedereen die voor korte of langere tijd begeleiding nodig heeft. WLGroep kan momenteel niet aangeven hoelang deze problemen zullen aanhouden. Hoewel de zorg voor cliënten niet in het gedrang is, kan er wel sprake zijn van enige verstoring in de dienstverlening.


Kamervragen gesteld over cyberaanvallen op Nederlandse zorginstellingen en de bescherming van gevoelige data

Minister Kuipers van Volksgezondheid moet opheldering geven over de ransomware-aanval op de Gelderse zorginstelling Attent Zorg en Behandeling, waar criminelen systemen met ransomware infecteerden en allerlei gevoelige gegevens buitmaakten. Buitgemaakte paspoorten van artsen, verpleegkundigen en fysiotherapeuten werden vervolgens op internet gepubliceerd. Daarnaast bleek deze week ook dat een andere ransomwaregroep naaktfoto's van Amerikaanse borstkankerpatiënten die waren gestolen bij een ziekenhuis online heeft gezet. Beide aanvallen zijn aanleiding voor de VVD om Kamervragen (pdf) te stellen. "Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden?", willen VVD-Kamerleden Hermans, Rajkowski en Rahimi weten. De minister moet ook duidelijk maken welke maatregelen worden genomen om het cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen. "Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?", willen de VVD-Kamerleden verder weten. Kuipers moet ook aangeven hoe hij ervoor gaat zorgen dat de KopieID-app van de Rijksoverheid meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn, zo vragen de VVD-Kamerleden. Een deel van de paspoortkopieën die bij Attent Zorg en Behandeling werd gestolen en online verscheen is al tien jaar niet meer geldig, maar werd toch nog in de systemen van Attent Zorg en Behandeling bewaard. "Hoe kan er zorg voor gedragen worden dat 'vervuilde data', zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?", vragen Hermans, Rajkowski en Rahimi verder. Die willen tevens weten of de minister mogelijkheden ziet om op korte termijn aanvullende maatregelen te nemen om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten. Kuipers heeft drie weken de tijd om met een reactie te komen. Attent Zorg en Behandeling kwam naar aanleiding van de berichtgeving met een verdere verklaring. "We herkennen ons niet in alle details van het geschetste beeld in de eerste publicatie van RTL Nieuws. Wel ondersteunen we het belang om de impact van cybercriminaliteit in de media goed voor het voetlicht te brengen", zo stelt de zorginstelling. Die laat ook weten dat het in het kader van het onderzoek niet op alle vragen kan ingaan, maar in een latere fase "graag" kijkt hoe het de opgedane kennis en ervaring breder kan delen. Hoe de organisatie besmet kon raken is niet bekendgemaakt.

De Berichten Naaktbeelden Borstkankerpatienten VS Gepubliceerd Om Ziekenhuis Af Te Persen En Paspoorten Van Dokters Op Straat Na Hack Bij Oudereninstelling Gelderland
Word – 13,6 KB 81 downloads

Cybercriminelen misbruiken kwetsbaarheden in Zoho ManageEngine ADSelfService Plus, Apache Spark en Teclib GLPi

Aanvallers maken actief misbruik van kwetsbaarheden in Zoho ManageEngine ADSelfService Plus, Apache Spark en Teclib GLPi, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. Amerikaanse overheidsinstanties zijn opgedragen om de kwetsbaarheden voor 28 maart te patchen. Apache Spark is software voor grootschalige dataverwerking. Een kwetsbaarheid in het product, aangeduid als CVE-2022-33891, maakt command injection mogelijk. Volgens de Shadowserver Foundation wordt er al sinds 26 juli vorig jaar misbruik van het beveiligingslek gemaakt. De kwetsbaarheid in Zoho ManageEngine ADSelfService Plus maakt remote code execution mogelijk bij het uitvoeren van een wachtwoordreset. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten. De derde kwetsbaarheid waarvoor het CISA waarschuwt is aanwezig in Teclib GLPi. Dit is een open source "IT Asset Management" oplossing waarmee organisaties it-systemen kunnen beheren en support aan gebruikers bieden. Een library waar GLPi gebruik van maakt bevat een kwetsbaarheid (CVE-2022-35914) waardoor remote code execution mogelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eerder liet ook de Franse overheid weten dat aanvallers misbruik van het betreffende lek maken.


Amerikaanse hogeschool gesloten na cyberaanval: 6.000 studenten zonder onderwijs

Een Amerikaanse hogeschool heeft wegens een cyberaanval vijf dagen de deuren gesloten, waardoor ruim zesduizend studenten geen onderwijs konden volgen. De aanval op het Northern Essex Community College vond plaats op 1 maart. Daarop liet de onderwijsinstelling weten dat het afgelopen vrijdag, zaterdag en zondag gesloten was. Op 5 maart werd gemeld dat het om een cyberaanval ging en de hogeschool ook op 6 en 7 maart de deuren zou dichthouden. Personeel werd gevraagd om hun laptops in te leveren voor de installatie van beveiligingssoftware en het uitvoeren van forensisch onderzoek. Om wat voor soort cyberaanval het precies gaat is niet bekendgemaakt. Vooralsnog zijn er geen aanwijzingen dat er gegevens van studenten zijn gestolen. Wel liet de hogeschool gisteren weten dat het bezig is met de herstelfase en vandaag weer de deuren zal openen. De afgelopen weken moesten meerdere Amerikaanse scholen hun deuren wegens ransomware sluiten.


Duitse wapenfabrikant Rheinmetall weerstaat grootschalige cyberaanval

Op dinsdag heeft Rheinmetall, de Duitse wapenfabrikant, aangekondigd dat zij met succes een grootschalige cyberaanval hebben afgeslagen. Onbekende hackers hebben geprobeerd de IT-systemen van Rheinmetall te ontregelen door middel van ddos-aanvallen (distributed denial of service). Het bedrijf heeft echter grotendeels weten te voorkomen dat de aanval schade heeft veroorzaakt, met uitzondering van een Rheinmetall-website die beheerd werd door een externe dienstverlener en tijdelijk buiten gebruik was. Een woordvoerder verklaarde dat er geen tekenen zijn dat de interne IT-infrastructuur van Rheinmetall getroffen zou zijn door een mogelijk beveiligingslek, en dat het bedrijf waarschijnlijk geen financiële schade zal lijden. Analisten vermoeden dat de cyberaanval het werk zou kunnen zijn van hackers die gelieerd zijn aan de Russische regering. Rheinmetall levert immers pantserwagens en andere zware wapens aan Oekraïne, dat door Rusland is binnengevallen.


Acer bevestigd cyberaanval

Acer heeft bevestigd dat er een datalek heeft plaatsgevonden waarbij cybercriminelen 160 GB aan documenten van reparatiemedewerkers hebben buitgemaakt. Het datalek werd ontdekt nadat een voorbeeld van de gestolen gegevens op een hackersforum werd geplaatst. De gestolen gegevens omvatten technische informatie zoals handleidingen, software tools, details over de backend-infrastructuur van Acer en modeldocumentatie van producten zoals smartphones, tablets en laptops, BIOS images, ROM-bestanden, ISO files en vervangende digitale product keys. Acer heeft bevestigd dat er geen klantengegevens zijn gestolen en dat het datalek het resultaat is van een hack op een documentenserver die door reparatiemedewerkers wordt gebruikt. Dit is niet de eerste keer dat Acer getroffen is door een datalek als gevolg van cyberaanvallen. Eerdere incidenten vonden plaats in maart en oktober 2021 waarbij onder meer klanten-, partner- en medewerkersgegevens werden gestolen.


Paspoorten van medewerkers ouderenzorginstelling gelekt na ransomware-aanval

Uit onderzoek van RTL Nieuws blijkt dat cybercriminelen bij een ransomware-aanval op Attent Zorg en Behandeling, een instelling voor ouderenzorg in Gelderland, paspoorten van dokters, verpleegkundigen en fysiotherapeuten hebben gelekt. Deze documenten zijn samen met andere gevoelige informatie op het darkweb gepubliceerd. In totaal gaat het om 74 gelekte paspoortdocumenten. De ransomwaregroep Qilin, die verantwoordelijk is voor de aanval, dreigt alle gestolen documenten te publiceren als Attent Zorg en Behandeling weigert te betalen. De criminelen stellen dat ze honderden gigabytes aan data hebben gestolen en hebben momenteel 110 megabyte gepubliceerd. Naast kopieën van paspoorten, salarisstroken en geheimhoudingsverklaringen, zijn ook vertrouwelijke interne communicatie en informatie over hoe medewerkers woningen van zelfstandig wonende ouderen kunnen betreden uitgelekt. De woonadressen en codes van de sleutelkluis zijn te vinden in de gelekte documenten, wat betekent dat kwaadwillenden toegang kunnen krijgen tot sommige woningen van ouderen.


DrayTek zakelijke routers getroffen door Hiatus-malwarecampagne

DrayTek's zakelijke routers worden aangevallen door de Hiatus-malwarecampagne, wat leidt tot succesvolle hacks van routers die worden omgezet in "luisterposten". Deze posten kunnen e-mails onderscheppen en bestanden stelen. Lumen's beveiligingsexperts ontdekten dat de Hiatus-malwarecampagne sinds juli 2022 actief is en zich vooral richt op de DrayTek Vigor-routers (2960- en 3900-modellen) die gebaseerd zijn op de Intel i3-architectuur. Deze routers ondersteunen VPN-verbindingen voor medewerkers op afstand. Daarnaast zijn er al voorgebouwde binaries van de malware in omloop voor Arm-, MIPS64 big endian- en MIPS32 little endian-platforms. De bron van de besmetting wordt verborgen door de meegeleverde software. De beveiligingsexperts ontdekten dat de Hiatus-malware na een hackpoging via een bash-script wordt geïnstalleerd. De malware downloadt en installeert vervolgens twee binaries, namelijk HiatusRAT en HiatusRAT tcp_forward-functie. HiatusRAT stelt cybercriminelen in staat commando's uit te voeren of nieuwe software op het getroffen apparaat te installeren. De binaries veranderen ook het apparaat in een verborgen proxy en maken het mogelijk om routerverkeer te onderscheppen op poorten die voor e-mail- en file-transfercommunicatie worden gebruikt. De tweede geïnstalleerde binary is de HiatusRAT tcp_forward-functie, waarmee hackers hun 'beaconing' van een tweede infectie via het gecompromitteerde apparaat kunnen doorsturen voordat ze een upstream Command & Control (C2) node tegenkomen. Ze kunnen ook commando's naar een web shell van de upstream-infrastructuur doorsturen via de getroffen router in het land waar deze is geplaatst. Op dit moment zijn ongeveer 100 DrayTek-routers gecompromitteerd, wat tussen de 1 en 2 procent van alle DrayTek 2960- en 3900-routers vertegenwoordigt die momenteel met internet zijn verbonden. De cybercriminelen beperken hun voetafdruk expres om ontdekking te voorkomen. Regio's die door de aanval zijn getroffen, zijn Noord- en Zuid-Amerika en Europa, aldus de beveiligingsexperts van Lumen.


Ransomware-aanval legt groot Spaans ziekenhuis volledig lam, duizenden afspraken en operaties geannuleerd en patiënten doorverwezen

Een groot Spaans ziekenhuis heeft drieduizend afspraken, honderdvijftig operaties en vierhonderd bloedtests geannuleerd wegens een ransomware-aanval die afgelopen zondag plaatsvond. Daarnaast worden inkomende patiënten en ambulances naar andere ziekenhuizen doorverwezen en is personeel van het Hospital Clinic de Barcelona voor alle achthonderd patiënten teruggevallen op pen en papier. Aanvallers wisten systemen in de laboratoria van het ziekenhuis te versleutelen, alsmede de spoedeisenhulp, apotheek, drie hoofdcentra en verschillende externe klinieken. Daardoor zag het ziekenhuis, één van de grootste in Barcelona, zich genoodzaakt om alle activiteiten te staken, op bepaalde noodgevallen na, zo meldt El Pais. Inmiddels hebben de Catalaanse politie, Europol en Interpol een onderzoek ingesteld. De Spaanse autoriteiten hebben aangegeven dat er niet met de aanvallers zal worden onderhandeld. Het ziekenhuis hoopt de komende dagen een deel van de dienstverlening te herstellen. Patiënten die op bezoek kunnen komen worden door het ziekenhuis gebeld om hun bezoek te bevestigen en degenen die een nieuwe afspraak zullen maken, worden binnenkort op de hoogte gebracht. Ook zullen er weer operaties worden uitgevoerd. Morgen is het de bedoeling om tussen de veertig en vijftig procent van de geplande operaties uit te voeren. Afspraken voor oncologische radiotherapie worden echter nog steeds uitgesteld en ook spoedgevallen, zoals hartaanvallen en beroertes, kunnen nog niet bij het ziekenhuis terecht. Hoe de aanval kon plaatsvinden is nog niet bekend.


Malware besmet DrayTek routers en onderschept gegevens voor e-mail en ftp

Onderzoekers waarschuwen voor malware die routers van fabrikant DrayTek infecteert en vervolgens gegevens voor e-mail en ftp onderschept. Dat laat securitybedrijf Lumen weten, dat onder andere in Nederland besmette routers heeft waargenomen. De aanvalscampagne die de onderzoekers ontdekten richt zich op de DrayTek Vigor 2960 en 3900. Het gaat om vpn-routers die end-of-life zijn en zodoende niet meer met beveiligingsupdates worden ondersteund. Hoe de aanvallers de DrayTek-routers weten te compromitteren is vooralsnog onbekend. Zodra dit het geval is installeren de aanvallers een remote access trojan en een variant van tcpdump voor het onderscheppen van verkeer dat langs de router gaat. Daarbij wordt specifiek verkeerd over poort 21 (ftp), poort 25 (smtp), poort 21 (pop3) en poort 143 (imap). De onderschepte data wordt vervolgens naar een server van de aanvallers geüpload. In totaal detecteerde Lumen honderd besmette routers. Dat zou twee procent van het totaal aantal DrayTek 2960 en 3900 routers zijn dat online is. De meeste besmettingen werden in de Verenigde Staten, Verenigd Koninkrijk, Nederland en Polen aangetroffen. Organisaties worden aangeraden om de end-of-life routers te vervangen door een model dat nog wel wordt ondersteund.


Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen

Een nieuw dieptepunt voor cybercriminelen: de ransomwaregroep 'Black Cat' heeft gestolen beelden van borstkankerpatiënten gepubliceerd. De beelden, waarop de patiënten en hun ontblote borsten te zien zijn voor de operatie, zijn buitgemaakt bij een ransomware-aanval op een Amerikaans zorginstituut. De beelden zijn te vinden op het darkweb, het anonieme deel van het internet waar veel cybercriminelen te vinden zijn, en geverifieerd door RTL Nieuws. Naast de beelden hebben de cybercriminelen ook kopieën van paspoorten en andere gevoelige privégegevens van patiënten gestolen. De gegevens worden gepubliceerd om het zorginstituut onder druk te zetten om het door Black Cat gevraagde losgeld te betalen. "Jullie tijd raakt op, en we zijn klaar om onze volledige kracht op jullie los te laten", schrijven de criminelen op hun website. Het Amerikaanse zorginstituut dat werd gehackt is Lehigh Valley Health Network (LVHN), dat onder meer gespecialiseerd is in de behandeling van kanker. LVHN ontdekte de cyberaanval op 6 februari op één van de computers waarmee beelden van het oncologisch onderzoek worden geanalyseerd. In een reactie laat directeur Brian Nester weten de aanval 'verwerpelijk' te vinden en alles op alles te zetten om de systemen weer draaiende te krijgen. Ook benadrukt hij dat het LVHN geen losgeld gaat betalen.

Eén van de beelden die is gepubliceerd door Black Cat.


Eye4Fraud's S3 storage servers zijn gehackt en de aanvaller heeft de complete databaseback-up verkregen

Fraudebeschermingsdienst Eye4Fraud heeft de gegevens van zestien miljoen accounts gelekt, waaronder e-mailadressen, ip-adressen, namen, gedeeltelijke creditcardgegevens, wachtwoordhashes, telefoonnummers en fysieke adresgegevens van zestien miljoen accounts. Eye4Fraud biedt een dienst waarbij het de bestellingen die bedrijven ontvangen op fraude controleert. Op basis van e-mailadressen, ip-locatie, gedragsdata, aankoopgeschiedenis, bankgegevens en publieke records wordt gekeken of de bestelling die bij het bedrijf binnenkwam niet door een fraudeur is geplaatst. Onlangs claimde een aanvaller dat hij de volledige databaseback-up van de S3 storage servers van Eye4Fraud in handen heeft gekregen. De in totaal 65 gigabyte grote dataset werd vervolgens op internet te koop aangeboden. Beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned ontving de dataset en vroeg Eye4Fraud naar eigen zeggen herhaaldelijk om een reactie, maar kreeg die niet. Hunt heeft de e-mailadressen aan zijn zoekmachine toegevoegd. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de zestien miljoen bij Eye4Fraud buitgemaakte e-mailadressen was 77 procent al via een ander datalek bij de zoekmachine bekend.


Meer dan 71.000 klanten van de Amerikaanse fastfoodketen Chick-fil-A worden gewaarschuwd na een succesvolle cyberaanval

De Amerikaanse fastfoodketen Chick-fil-A waarschuwt ruim 71.000 klanten voor een datalek nadat aanvallers erin zijn geslaagd om op hun account in te breken omdat ze geen uniek wachtwoord voor hun account gebruikten. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine meldt de fastfoodketen dat het onlangs verdachte inlogactiviteit met Chick-fil-A One-accounts ontdekte. Klanten kunnen via een One-account met elke aankoop punten sparen waarmee vervolgens producten van Chick-fil-A kunnen worden verkregen. Na ontdekking van de verdachte inlogactiviteit startte de fastfoodketen een onderzoek en ontdekte dat aanvallers tussen 18 december vorig jaar en 12 februari een credential stuffing-aanval tegen de website en mobiele app hebben uitgevoerd. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Ook Chick-fil-A stelt dat de inloggegevens die de aanvallers gebruikten bij andere websites zijn buitgemaakt. In totaal wisten de aanvallers op 71.473 accounts in te loggen en hebben zo toegang gekregen tot naam, e-mailadres, laatste vier cijfers creditcard, krediet, geboortedatum, telefoonnummer en adresgegevens. Naar aanleiding van de aanval heeft de fastfoodketen van alle ruim 71.000 klanten de wachtwoorden gereset, hun ingestelde betaalmethode verwijderd en tijdelijk alle tegoeden die klanten op hun account hadden bevroren. Chick-fil-A roept klanten op om een uniek en sterk wachtwoord te kiezen.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Maart 2024
Februari 2024