Overzicht cyberaanvallen week 37-2021

Gepubliceerd op 20 september 2021 om 15:00

Verzekeraar ziet claims door ransomware aanvallen sterk toenemen, ransomware bende dreigt de decoderingssleutel te wissen als onderhandelaar wordt ingehuurd en nieuwe ransomware ontdekt ‘JamesBond'. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Huidige status: 3.136


19 september


Overheid in actie tegen betalen van losgeld aan ransomware-criminelen

De overheid zit in zijn maag met bedrijven die losgeld betalen aan ransomware-criminelen. Het ministerie van Justitie en Veiligheid onderzoekt onder meer de mogelijkheden om verzekeraars te verbieden om losgeld te vergoeden. Dat melden bronnen aan de NOS. Als een bedrijf wordt platgelegd door een ransomware-aanval, kan een verzekeraar er nu voor kiezen om het losgeld te vergoeden zodat de ondernemer snel weer aan de slag kan. Dat is in veel gevallen goedkoper dan wanneer een bedrijf een paar weken stil ligt en de verzekeraar die kosten moet vergoeden. Eerder zei minister Grapperhaus liever niet te zien dat verzekeraars losgeld betalen. "We onderzoeken hoe we losgeldbetalingen kunnen verminderen", bevestigt een woordvoerder van het ministerie. "Daarover hebben we nog geen besluit genomen." Waarom alleen betalingen door verzekeraars aan banden zouden worden gelegd, en niet alle losgeldbetalingen, is onduidelijk; het ministerie heeft vragen daarover niet beantwoord. Lees verder


18 september

Slachtoffer Cybercriminelen Website Land
Pulmuone Co., Ltd. BlackMatter pulmuone.kr South Korea

17 september

Slachtoffer Cybercriminelen Website Land
Modern Testing Services BlackMatter mts-global.com USA
northwoods & spectrumfurniture BlackMatter spectrumfurniture.com USA
callabsolute.com LockBit callabsolute.com USA
cimico.net LockBit cimico.net USA
BRPRINTERS.COM CL0P brprinters.com USA

VS wil crypto portefeuilles die gebruikt worden voor ransomware sanctioneren

De Biden-administratie zal naar verwachting sancties opleggen tegen crypto uitwisselingen, portemonnees en handelaren die door ransomware bendes worden gebruikt om losgeld in fiatgeld om te zetten. Nu ransomware-aanvallen tegen Amerikaanse belangen en infrastructuur de afgelopen twee jaar escaleerden heeft het Witte Huis zijn inspanningen opgevoerd om ransomware-operaties te verstoren. Volgens berichtgeving door de Wall Street Journal wordt verwacht dat de VS volgende week crypto uitwisselingen, portefeuilles en individuen die ransomware-bendes helpen bij het converteren van cryptocurrency, sancties opleggen. Aangezien cryptocurrency een verplicht onderdeel is van ransomware-operaties, hoopt de Biden-administratie deze betaalmethode en bijbehorende aanvallen met sancties te verstoren. Wanneer ransomware-bendes organisaties aanvallen, eisen ze miljoenen dollars aan cryptocurrency om een ​​decryptor te ontvangen en het vrijgeven van gestolen gegevens te voorkomen.


16 september

Slachtoffer Cybercriminelen Website Land
Steel Projects Everest steelprojects.com France
AMAX Conti amax.com USA
Spiezle Architectural Group Inc. Sodinokibi (REvil) spiezle.com USA
Elementia Marketo elementia.com Mexico
TPI Corporation Marketo tpicorp.com USA
BLUEBONNETNUTRITION.COM CL0P bluebonnetnutrition.com USA
River City Construction BlackMatter rccllc.com USA
EQUITY TRANSPORTATION BlackMatter driveforequity.com USA
UUOOI CoomingProject uuooi.org South Korea

Decryptietool helpt slachtoffers REvil-ransomware bij ontsleutelen data

Slachtoffers van de REvil-ransomware kunnen dankzij een gratis decryptietool hun bestanden nu ontsleutelen. Dat meldt antivirusbedrijf BitDefender, dat de tool samen met een opsporingsinstantie ontwikkelde. De tool werkt bij alle aanvallen met de REvil-ransomware die voor 13 juli van dit jaar zijn uitgevoerd. Op die datum gingen verschillende websites van de REvil-groep offline, waardoor getroffen slachtoffers die geen losgeld hadden betaald hun bestanden niet meer konden herstellen. Deze slachtoffers kunnen via de decryptietool nu alsnog hun bestanden terugkrijgen. De REvil-groep was onder andere verantwoordelijk voor de wereldwijde ransomware-aanval via de software van Kaseya. Bitdefender stelt dat het onderzoek in deze zaak nog gaande is en het geen verdere details kan geven. Er werd echter besloten dat het belangrijk is om de decryptor nu al beschikbaar te stellen nog voordat het onderzoek is afgerond.

R Evil Documentation
PDF – 720,2 KB 193 downloads

"Russische hacker" bevestigde de opstanding van de beroemdste Russische hackers groep

Een "Russische hacker" die samenwerkte met de bekende REvil-groep, bevestigde aan Lente.ru dat cybercriminelen na een onderbreking van twee maanden weer actief zijn. Hij noemde politieke redenen als de belangrijkste reden voor hun terugtrekking. Bron


Microsoft: Windows MSHTML-bug nu uitgebuit door ransomware bendes

Microsoft meldt dat meerdere cybercriminelen, waaronder gelieerde ransomware bendes, zich richten op de onlangs gepatchte Windows MSHTML-beveiligingsfout voor het uitvoeren van externe code.

Cybercriminelen misbruikten exploitatie van dit beveiligingslek (bijgehouden als CVE-2021-40444 ) volgens het bedrijf op 18 augustus, meer dan twee weken voordat Microsoft een beveiligingsadvies met een gedeeltelijke oplossing publiceerde .


15 september

FBI: geen aanwijzingen dat Rusland ransomwaregroepen aanpakt

Er zijn geen aanwijzingen dat de Russische overheid ransomwaregroepen in het land aanpakt die verantwoordelijk zijn voor aanvallen tegen Amerikaanse organisaties, zo stelt Paul Abbate, adjunct-directeur van de FBI. Onlangs meldde Chris Inglis, de Amerikaanse National Cyber Director, dat na een reeks grote ransomware-aanvallen deze zomer op Amerikaanse bedrijven en organisaties er nu een afname zichtbaar is. Eerder riep de Amerikaanse president Biden de Russische president Poetin op om ransomwaregroepen in het land aan te pakken. Tijdens een overleg gaf Biden de Russische president ook een lijstje met Amerikaanse sectoren die niet mogen worden aangevallen. "Gebaseerd op wat we hebben gezien zijn er geen aanwijzingen dat de Russische overheid ransomwaregroepen aanpakt die in deze omgeving die ze hebben gecreëerd opereren", aldus Abbate. De FBI-topman stelde dat de Amerikaanse autoriteiten om hulp en samenwerking hebben gevraagd. "En we hebben niets gezien. Dus in dit opzicht is er niets veranderd." Eerder had Biden al gesteld dat de VS verwacht dat de Russische autoriteiten actie ondernemen wanneer er een ransomware-aanval vanaf Russisch grondgebied plaatsvindt.

Top FBI Official Says There Is
PDF – 409,5 KB 188 downloads

Ransomware bende dreigt de decoderingssleutel te wissen als onderhandelaar wordt ingehuurd

De Grief ransomware-bende dreigt de decoderingssleutels van het slachtoffer te verwijderen als ze een onderhandelingsbedrijf inhuren, waardoor het onmogelijk wordt om versleutelde bestanden te herstellen.

Ransomware Gang Threatens To Wipe Decryption Key If Negotiator Hired
PDF – 443,9 KB 205 downloads

14 september

Slachtoffer Cybercriminelen Website Land
Linkmfg Cuba linkmfg.com USA
ROC Mondriaan Vice Society rocmondriaan.nl Netherlands
miller-rose.com LockBit miller-rose.com USA
atstrack.com LockBit atstrack.com USA
rlsblaw.com LockBit rlsblaw.com USA
SUNSETHCS.COM CL0P sunsethcs.com USA

Verzekeraar ziet claims door ransomware-aanvallen sterk toenemen

Verzekeraar Marsh heeft claims die het gevolg zijn van ransomware-aanvallen vorig jaar sterk zien toenemen. Van alle "cyberclaims" die het bedrijf vorig jaar ontving was 32 procent door ransomware veroorzaakt. Meer dan een verdubbeling ten opzichte van de periode 2016 tot 2020, toen het om 14 procent ging, zo laat het bedrijf in een nieuw rapport weten. Van alle cyberclaims in Europa werd vorig jaar 80 procent door aanvallen veroorzaakt, terwijl dat in 2019 nog 70 procent bedroeg. Het totale aantal cyberclaims in 2020 nam met 8 procent toe. Met name de maakindustrie, communicatie, media en technologie en professionele dienstverlening lieten een sterke stijging van het aantal claims zien.


België opnieuw doelwit van FluBot-malware

België is opnieuw getroffen door een golf aan frauduleuze sms-berichten. Telecombedrijven Telenet, Proximus en Orange hebben het afgelopen weekend meer dan 14 miljoen berichten onderschept die een link bevatten naar een pagina waar FluBot werd aangeboden. Tevens hebben de telecombedrijven tijdelijk tweeduizend telefoonnummers tijdelijk geblokkeerd. Dat schrijft het Vlaamse VTM Nieuws.


13 september

Slachtoffer Cybercriminelen Website Land
Irish Pioneer works Everest ipw.ie Ireland
Hörmanseder Stahlbau GmbH Everest hoermanseder.at Austria
VIVA Formwork and Scaffolding Everest viva.co.za South Africa
Southland Everest southlandsteel.com USA
Andel Everest andelsa.es Spain
Xmedicalpicture Everest xmedicalpicture.com France
robinwoodortho.com Groove robinwoodortho.com USA
Betson Enterprises Pysa betson.com USA
One Community Health Pysa onecommunityhealth.org USA
Jesse Engineering Co Pysa jesse-co.com USA
Grupo SAN Pysa gruposan.com Mexico
Spartanburg & Pelham OB-GYN Pysa spartanburgob.com USA
Haverhill High School Pysa haverhill-ps.org USA
Woodlake Unified Pysa w-usd.org USA
HABI Pysa habi.no Norway
cimico.net LockBit cimico.net USA
erg.eu LockBit erg.eu Italy
novohamburgo.rs.gov.br LockBit novohamburgo.rs.gov.br Brazil
gahesa.com LockBit gahesa.com Spain
cansmart.co.za LockBit cansmart.co.za South Africa
cimaser.com LockBit cimaser.com Spain
hbfinanse.pl LockBit hbfinanse.pl Poland
russellwbho.co.uk LockBit russellwbho.co.uk UK
pi-hf.com LockBit pi-hf.com Israel
ofplaw.com LockBit ofplaw.com USA
tovogomma.it LockBit tovogomma.it Italy
royalporcelain.co.th LockBit royalporcelain.co.th Thailand
suenco.co.th LockBit suenco.co.th Thailand
comebi.mx LockBit comebi.mx Mexico
tesa46.com LockBit tesa46.com Spain
ohiograting.com Sodinokibi (REvil) ohiograting.com USA
CROMOLOGY SERVICES Grief cromology.com France
BPATPA.COM CL0P bpatpa.com USA
STORAFILE.CO.UK CL0P storafile.co.uk UK
GENESISNET.COM CL0P genesisnet.com USA

De overheid gaat vanaf vandaag ook 'niet-vitale' bedrijven waarschuwen over digitale dreigingen, zoals het risico op een cyberaanval of een beveiligingslek in bepaalde software.

Het Digital Trust Center (DTC), een nieuw onderdeel van het ministerie van Economische Zaken, start vandaag met het 'proactief informeren' van bedrijven over cyberdreigingen. Het DTC gaat bijvoorbeeld waarschuwen voor grote beveiligingslekken en andere acute kwetsbaarheden. Ook wordt gewerkt aan een nieuw 'systeem dat dreigingsinformatie aan grotere groepen bedrijven kan koppelen'. Het gaat hierbij om zogeheten 'niet-vitale' bedrijven. Voor vitale bedrijven, zoals financiële instellingen, energieleveranciers en telecomaanbieders, heeft de overheid al een infrastructuur voor waarschuwingen rond cyberbeveiliging. Maar andere belangrijke bedrijven en organisaties, zoals supermarktketen, voedselleveranciers of universiteiten, konden tot nu toe nog niet worden gewaarschuwd voor het risico op cyberaanvallen. De informatie over cyberdreigingen ontvangt het DTC onder meer van het Nationaal Cyber Security Centrum (NCSC). Het DTC kan ook advies geven over mogelijke maatregelen, zoals het installeren van beveiligingsupdates, het aanpassen van wachtwoorden of het inschakelen van een IT-specialist. 


BazarLoader naar Conti Ransomware in 32 uur

Conti is een topspeler in het ransomware-ecosysteem en wordt als 2e algemeen vermeld in het Coveware-ransomwarerapport voor het tweede kwartaal van 2021. De groepen die deze RaaS inzetten, zijn alleen maar gangbaarder geworden. Ondanks het uitlekken van de affiliate-gids van de groep, die veel technieken aan het licht bracht die al in eerdere rapporten zijn behandeld, zal het gebruik van de ransomware door de groep waarschijnlijk niet snel stoppen. In juli waren we getuige van een BazarLoader-campagne die Cobalt Strike implementeerde en eindigde met domeinbrede versleuteling met behulp van Conti-ransomware.

Bazar Loader To Conti Ransomware In 32 Hours
PDF – 1,4 MB 220 downloads

Ransomware versleutelt alle systemen ministerie van Justitie Zuid-Afrika

Door een ransomware-aanval zijn alle systemen van het ministerie van Justitie van Zuid-Afrika versleuteld, wat gevolgen voor allerlei diensten heeft. Op 7 september meldde de Zuid-Afrikaanse overheid dat er problemen met het it-systeem van het ministerie waren, wat gevolgen voor diensten op alle locaties van het ministerie had. Op 9 september meldde het ministerie zelf via Twitter dat het slachtoffer van een ransomware-aanval was geworden, waardoor alle systemen versleuteld zijn. De systemen zijn daardoor niet meer beschikbaar voor medewerkers en het publiek. Dit heeft gevolgen voor alle elektronische diensten van het ministerie, waaronder de dienst voor het betalen van borgtochten en de e-maildienst. Om ervoor te zorgen dat rechtbanken in het land kunnen blijven functioneren worden er handmatig opnames gemaakt. Ook de documentatie voor het begraven van overledenen wordt handmatig verstrekt. De aanval heeft geen gevolgen voor het uitkeren van kinderbijslag, aangezien die al verwerkt was. Verdere details zijn niet over de aanval of ransomware gegeven.


"Techbedrijf Olympus getroffen door ransomware-aanval"

Het Japanse techbedrijf Olympus is getroffen door een ransomware-aanval, zo laat een bron tegenover TechCrunch weten. Op de eigen website meldt Olympus dat het een "mogelijk cybersecurity-incident" onderzoekt dat systemen in Europa, het Midden-Oosten en Afrika heeft getroffen.Volgens Olympus detecteerde het op 8 september verdachte activiteit en wordt er nu gewerkt om het probleem te verhelpen. Vanwege het incident is het uitwisselen van data tussen de getroffen systemen uitgeschakeld, wat gevolgen voor partners heeft. Verdere details over de aanval en of het inderdaad om ransomware gaat worden niet gegeven. Beveiligingsonderzoeker Brett Callow van antimalwarebedrijf Emisoft stelt op basis van de losgeldboodschap die de aanvallers achterlieten dat de aanval is uitgevoerd door de BlackMatter-groep.

'Olympus Europa is getroffen door BlackMatter-ransomware'

De Europese tak van Olympus, een fabrikant van onder andere medische apparatuur, heeft volgens bronnen van TechCrunch te maken met een ransomwareaanval. Olympus zegt zelf dat het een 'potentieel cybersecurityincident' onderzoekt.


Nieuwe ransomware ontdekt 'JamesBond'


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten