Overzicht cyberaanvallen week 30-2022

Gepubliceerd op 1 augustus 2022 om 15:00

Hackers gebruiken Windows Defender-tool om ransomware te installeren, ransomware-aanval in Noordenveld mogelijk gevolgen voor afhandeling bijstandsuitkeringen en cybercriminelen gebruiken Windows-rekenmachine als malware dropper. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 6.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ šŸ¤”

Update: 01-augustus-2022 | Aantal slachtoffers: 6.018



Week overzicht

Slachtoffer Cybercriminelen Website Land
BAFNAGROUP.COM LV bafnagroup.com India
get.es LockBit get.es Spain
vytelle.com LockBit vytelle.com USA
emunworks.com LockBit emunworks.com USA
Creos Luxembourg BlackCat (ALPHV) www.creos-net.lu Luxembourg
autoliv.com LockBit autoliv.com Sweden
Hong Kong Special Care Dentistry Association Limited LV hkscda.org Hong Kong
fruca.es LockBit fruca.es Spain
armassist.ie LockBit armassist.ie Ireland
tnq.co.in BlackCat (ALPHV) tnq.co.in India
herc.com.br BlackCat (ALPHV) herc.com.br Brazil
correounir.com.ar LockBit correounir.com.ar Argentina
Gage Brothers Karakurt www.gagebrothers.com USA
coarc.org RedAlert coarc.org USA
JOHN A. BODZIAK ARCHITECT AIA BlackCat (ALPHV) johnabodziakarchitect.com USA
Fandeli Lorenz fandeli.com USA
CIMEX Hive www.cimex.cz Czech Republic
groupe-helios.com LockBit groupe-helios.com France
Weidmueller Hive www.weidmueller.com Germany
CUCA FRESCA Onyx cucafresca.com.br Brazil
WAYAN NATURAL WEAR Onyx wayan.com.mx Mexico
Artistic Stairs & Railings Onyx www.artisticstairs.com Canada
Baltholding OƜ Onyx www.baltholding.eu Estonia
studioteruzzi.com LV studioteruzzi.com Italy
cheungwoh.com.sg LockBit cheungwoh.com.sg Singapore
ymaunivers.com LockBit ymaunivers.com Taiwan
sieam.fr LockBit sieam.fr France
Empress EMS Hive empressems.com USA
APPLEXUS.COM CL0P applexus.com USA
ginko.com.tw LockBit ginko.com.tw Taiwan
eclipse-print.com LockBit eclipse-print.com Czech Republic
OptiProERP Sodinokibi (REvil) www.optiproerp.com USA
agenziaentrate.gov.it LockBit agenziaentrate.gov.it Italy
legacy-hospitality.com LockBit legacy-hospitality.com USA

In samenwerking met DarkTracer


Hackers gebruiken Windows Defender-tool om ransomware te installeren

Hackers hebben een tool van Windows Defender gebruikt om ongedetecteerd LockBit 3.0-ransomware op een systeem te verspreiden. Amerikaans computerbeveiligingsbedrijf SentinelOne deed onderzoek naar het incident. De kwaadwillenden kwamen een server binnen via een kwetsbaarheid in het logboekprogramma Log4j. Ze voerden een aantal commando’s uit in PowerShell, waarmee onder andere het opdrachtregelprogramma MpCmdRun.exe van Windows Defender werd gebruikt om een zogenaamde Cobalt Strike 'beacon' op te zetten. Cobalt Strike is legitieme software om systeem- en netwerkpenetraties mee uit te voeren, maar hackers gebruiken het nu om een beacon op te zetten, waarmee malware naar een server geüpload kan worden. In dit geval ging het dus om LockBit 3.0-ransomware, die je bestanden versleutelt en cryptomunten als losgeld vraagt. Het is niet de eerste keer dat LockBit 3.0-aanvallers legitieme software gebruiken voor hun praktijken, eerder was VMWare’s eigen command-line-interface al aan de beurt.

MpCmdRun.exe in de Opdrachtprompt.


Fins persagentschap STT getroffen door cyberaanval

Het Finse persbureau STT heeft vrijdag een aantal van zijn systemen offline gehaald na een aanval op zijn informatiesystemen. Dat meldt de openbare omroep Yle. De Finse autoriteiten waarschuwen voor een verhoogd risico op cyberaanvallen sinds Rusland in februari Oekraïne binnenviel. Het is niet ongebruikelijk dat hackers zich op mediaorganisaties richten. Vorig jaar werd het Noorse mediabedrijf Amedia het slachtoffer van een cyberaanval die de computersystemen platlegde en de publicatie van de kranten onmogelijk maakte. Panu Tuunala, hoofdredacteur van STT, zegt dat het agentschap zich steeds beter voorbereidt op mogelijke cyberaanvallen. “De afgelopen zes maanden zijn we ons steeds meer bewust geworden van het feit dat we doelwit kunnen worden. We hebben kennis genomen van aanvallen op agentschappen zoals het onze in heel Europa. In dat opzicht was dit te verwachten,” zei hij tegen Yle. Tuunala zei dat het nog onduidelijk was wie verantwoordelijk was voor de aanval en of hackers gegevens hebben gestolen. In mei waarschuwde het Finse transport- en communicatieagentschap Traficom dat de kandidatuur van Finland voor het NAVO-lidmaatschap de cyberdreigingen vanuit Rusland zou kunnen vergroten. Die waarschuwing kwam er nadat de websites van de Finse ministeries van Defensie en Buitenlandse Zaken in april waren getroffen door aanvallen, die samenvielen met de toespraak van de Oekraïense president Volodimir Zelenski tot het Finse parlement.


Spionagegroep steelt via Chrome-extensie e-mails uit Gmail-accounts

Onderzoekers hebben een malafide browser-extensie voor Google Chrome, Microsoft Edge en Naver Whale ontdekt waarmee een spionagegroep e-mails uit Gmail-accounts steelt, zo claimt securitybedrijf Volexity. Door op deze manier e-mails te stelen, waarbij er wordt meegelift op de ingelogde sessie van de gebruiker, blijft de aanval verborgen voor Google en is die lastig te detecteren. Daarnaast ziet de gebruiker niet dat er bijvoorbeeld vanaf een verdacht ip-adres is ingelogd, aangezien de extensie in zijn browser actief is. De aanval wordt uitgevoerd door een groep genaamd Kimsuky, aldus Volexity, dat de extensie ontdekte. Het zou om een Noord-Koreaanse spionagegroep gaan die het heeft voorzien op personen die voor Amerikaanse, Europese en Zuid-Koreaanse organisaties werken die zich bezighouden met Noord-Korea, kernwapens, wapensystemen en andere strategische onderwerpen. De eerste stap in de aanval is het infecteren van een doelwit met malware. Hiervoor maakt de groep gebruik van spearphishingmails. Eenmaal actief installeert de malware de malafide browser-extensie waarmee er berichten uit Gmail- en AOL-accounts worden gestolen en teruggestuurd naar de aanvallers. Daarbij houdt de extensie een overzicht bij van te negeren e-mailadressen, alsmede al gestolen e-mails en bijlagen. Volgens Volexity heeft de Kimsuky-groep in het verleden vaker browser-extensies bij aanvallen ingezet, maar waren die bedoeld voor het stelen van gebruikersnamen en wachtwoorden. Nu richt de groep zich specifiek op het stelen van e-mails en is daar zeer succesvol mee, aldus het securitybedrijf. Uit verzamelde logs blijkt dat de aanvallers via de extensie bij meerdere slachtoffers duizenden e-mails wisten te stelen.


Hackers misbruiken zeroday-melding al na 15 minuten

Het duurt slechts 15 minuten vanaf de bekendmaking van een ontdekte zeroday tot het moment dat hackers gaan zoeken naar kwetsbare systemen om de zeroday uit te buiten. IT-administrators zullen dus snel moeten schakelen om de beschikbare patches op tijd te installeren. Hackers gaan sneller te werk na de bekendmaking van een zeroday. Tot deze conclusie komt Palo Alto Networks in zijn 2022 Unit 42 Incident Response-rapport (pdf). 600 incidentrapporten uit het afgelopen jaar werden voor het onderzoek grondig bekeken. Volgens de onderzoekers springen hackers enorm snel op de bekendmaking van een zeroday als het gaat om kwetsbaarheid in een veelgebruikt systeem, waarop redelijk eenvoudig in te breken valt.

2022 Unit 42 Incident Response Report Final
PDF ā€“ 1,2 MB 163 downloads

Ransomware-aanval in Noordenveld: mogelijk gevolgen voor afhandeling bijstandsuitkeringen

De afhandeling van aanvragen van onder meer bijstandsuitkeringen en energietoeslagen kan de komende tijd langer gaan duren in Noordenveld. Het administratiesysteem van het sociaal domein van de gemeente is woensdag getroffen door een aanval met ransomware. Vanwege de aanval zijn de servers, waarop het administratiesysteem draait, stopgezet. Dat betekent dat medewerkers van de gemeente het systeem momenteel niet kunnen gebruiken. Op dit moment laat Noordenveld de oorzaken en de gevolgen van de aanval onderzoeken. Een voorlopige eerste conclusie is dat er geen data zijn gelekt of versleuteld. De leverancier van het administratiesysteem hoopt het systeem zo snel mogelijk weer in de lucht te hebben.


Beruchte groep cybercriminelen gebruikt usb-worm voor toegang tot bedrijven

Een beruchte groep cybercriminelen die door de Amerikaanse regering op een sanctielijst is geplaatst maakt gebruik van een usb-worm om toegang tot bedrijven en organisaties te krijgen, zo meldt Microsoft. De groep wordt Evil Corp genoemd en zou via de Dridex-malware banken in meer dan veertig landen hebben geïnfecteerd en meer dan honderd miljoen dollar hebben weten te stelen. Evil Corp, door Microsoft aangeduid als DEV-0243, werkt samen met een andere groep cybercriminelen (DEV-0206). Deze groep fungeert als "access broker" en houdt zich bezig met toegang tot organisaties. Vervolgens wordt deze toegang aan andere criminelen verkocht. In het verleden gebruikte Evil Corp de door DEV-0243 geïnfecteerde systemen om ransomware te verspreiden. Begin deze maand meldde Microsoft dat het op het netwerk van honderden organisaties een computerworm had ontdekt die zich via usb-sticks verspreidt en waarvan het doel onbekend is. De malware wordt Raspberry Robin genoemd en werd afgelopen mei genoemd in een rapport van securitybedrijf Red Canary. De malware maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Op 26 juli ontdekten onderzoekers van Microsoft dat malware van de groep DEV-0206 via Raspberry Robin-infecties wordt verspreid. Vervolgens werd "pre-ransomware gedrag" van Evil Corp waargenomen, wat volgens Microsoft erop duidt dat de samenwerking tussen beide groepen nog goed is.


Microsoft waarschuwt voor toename in IIS-aanvallen op webservers

Volgens Microsoft komen IIS-extensies steeds vaker voor in aanvallen op webservers. Web shells blijven het populairst, maar juist daarom gaan IIS-extensies aan de radar voorbij. De techgigant waarschuwt administrators voor de trend. Webservers zijn leidend voor de cybersecurity van een bedrijf. Misconfiguraties kunnen toegang geven tot vertrouwelijke informatie. In het ergste geval staat de server externe bestanden van ongemachtigde gebruikers toe, waardoor cybercriminelen code kunnen uploaden en uitvoeren. De functie van de code verschilt per aanval. Web shells komen het vaakste voor. Een web shell is een klein bestandje met instructies, geschreven in een veelvoorkomende programmeertaal. De instructies dragen de server op om commands uit te voeren. Denk aan het ophalen van data, het uitvoeren van een applicatie of het loggen van een gebruiker. Web shells zijn enorm populair. Vandaar weten de meeste securitytools de code te herkennen en blokkeren. Cybercriminelen zoeken naar nieuwe methodes om onder de radar te blijven. Met succes, zegt Microsoft. De techgigant waarschuwt voor de opkomst van kwaadaardige IIS-extensies, een alternatief voor web shells. Internet Information Services (IIS) is een van de populairste softwareprogramma’s voor webservers. De software draait op Windows Server. IIS is vergelijkbaar met Apache, Cloudflare Server en LiteSpeed. Naast grote software-updates ontvangt IIS regelmatig nieuwe extensies. De extensies voegen optionele functies toe. Bijvoorbeeld het ‘Administration Pack’, een extensie met een visueel interface voor managementfuncties. Volgens Microsoft komen kwaadaardige IIS-extensies steeds vaker voor. Cybercriminelen vermommen kwaadaardige code in een IIS-extensie. In oogopslag werkt de code hetzelfde als een IIS-extensie, maar in werkelijkheid vraagt de code gevoelige data en logs op. Web shells bereiken hetzelfde doel, maar kwaadaardige IIS-extensies zijn lastiger te herkennen. De techgigant roept administrators van IIS webservers op om elke serverapplicatie up-to-date te houden. Kwaadaardige IIS-extensies hebben een kwetsbaarheid of misconfiguratie nodig om binnen te komen, net zoals web shells. Het bijwerken van software lost de meeste risico’s op. Ook adviseert Microsoft om regelmatig te controleren of er verdachte accounts aan de gebruikersgroepen van een server worden toegevoegd. Vaak voegen cybercriminelen nieuwe accounts aan gebruikersgroepen met hoge machtigingen toe. Tot slot deelde Microsoft op de website een overzicht verdachte IIS-processen en -bestanden, waarmee administrators op verdacht gedrag kunnen scannen.


Microsoft beschuldigt Oostenrijks bedrijf van zeroday-aanvallen tegen klanten

Microsoft heeft vandaag een Oostenrijks bedrijf beschuldigd van het uitvoeren van zeroday-aanvallen tegen klanten in Europa en Centraal-Amerika. Het gaat om advocatenkantoren, banken en strategische consultancybedrijven in onder andere Oostenrijk, het Verenigd Koninkrijk en Panama. Volgens Microsoft is het Oostenrijkse DSIRF een "cyberhuurling" die via verschillende businessmodellen hackingtools en -diensten aanbiedt. Daarbij zou DSIRF gebruikmaken van kwetsbaarheden in onder andere Adobe PDF Reader en Windows. Twee weken geleden kwam Microsoft nog met een beveiligingsupdate voor een zerodaylek in het Client Server Runtime Subsystem van Windows waardoor een aanvaller die al toegang tot een computer heeft systeemrechten kan krijgen. Daarmee heeft de aanvaller volledige controle over het systeem. Het zerodaylek in Windows is niet voldoende om computers op afstand over te nemen en moet met een andere kwetsbaarheid worden gecombineerd. Microsoft vermoedt dat de aanvallers hiervoor een kwetsbaarheid in Adobe Reader gebruikten. Bij de aanval die Microsoft onderzocht en in mei van dit jaar plaatsvond verstuurden de aanvallers een PDF-document naar het slachtoffer, waarbij kwetsbaarheden in Adobe Reader en Windows werden gecombineerd. Het lukte Microsoft niet om het PDF-bestand of de gebruikte Adobe-exploit veilig te stellen. Het slachtoffer draaide een Adobe Reader-versie van januari dit jaar. Daardoor zou het om een zerodaylek of recent verholpen kwetsbaarheid kunnen gaan. DSIRF maakt volgens Microsoft gebruik van malware met de naam "Subzero". In het verleden is deze malware ook verspreid door middel van andere kwetsbaarheden in Adobe Reader en Windows. Naast de waarschuwing geeft Microsoft ook details en indicators of compromise waarmee organisaties en gebruikers kunnen zien of ze zijn besmet. Verder adviseert het techbedrijf om de update voor het zerodaylek in Windows (CVE-2022-22047) te installeren, controleren dat Microsoft Defender Antivirus intelligence update 1.371.503.0 of nieuwer draait, het aanpassen van macro-instellingen in Excel, het inschakelen van multifactorauthenticatie en het controleren van de inlog geschiedenis van accounts die op afstand inloggen, en dan met name single factor accounts.


Twitteraccount testlab AV-TEST Institute door aanvaller overgenomen

Een aanvaller is erin geslaagd het Engelstalige Twitteraccount van het Duitse testlab AV-TEST Institute over te nemen. AV-Test voert periodiek tests uit van antivirussoftware en andere beveiligingspakketten voor verschillende platformen, zoals Android, macOS en Windows. Sinds 2010 heeft AV-Test het Twitteraccount AVTestOrg met bijna veertienduizend volgers. Vandaag lukte het een aanvaller om het account over te nemen en vervolgens verschillende NFT-gerelateerde tweets te plaatsen. Via het Duitse Twitteraccount meldt AV-Test dat het geen controle meer over het Engelstalige account heeft en met Twitter in overleg is om de situatie te verhelpen. Security.NL heeft AV-Test om aanvullende informatie gevraagd, waaronder of het account met tweefactorauthenticatie (2FA) was beveiligd. Andreas Marx van AV-Test laat aan Security.NL weten dat voor het account een veilig wachtwoord en 2FA via Google Authenticator werd gebruikt. Het onderzoek naar de inbraak loopt nog. Na ontdekking van het gekaapte account maakte AV-Test meteen melding bij Twitter, maar twaalf uur later is de situatie nog altijd niet verholpen.


Griekse oppositieleider en Europarlementariër doelwit Predator-spyware

De Griekse oppositieleider en Europarlementariër Nikos Androulakis is het doelwit geworden van een aanval met de Predator-spyware en heeft hier inmiddels aangifte van gedaan. Androulakis is leider van de Griekse socialistische partij Pasok. Hij ontving een bericht met een link, maar besloot die niet te openen. Tijdens een onderzoek naar spyware op de telefoons van Europarlementariërs werd de aanval opgemerkt, aldus Euractiv. De door het bedrijf Cytrox ontwikkelde Predator-spyware is vergelijkbaar met de Pegasus-spyware van NSO Group en maakt het mogelijk om slachtoffers op afstand te bespioneren. Zo is het onder andere mogelijk om de microfoon en camera in te schakelen, sms- en chatberichten te lezen, bezochte websites te monitoren en de locatie van het slachtoffer te volgen. Ook het blokkeren van inkomende gesprekken is mogelijk. Voor de verspreiding van de malware wordt gebruikgemaakt van kwetsbaarheden. Pasok heeft de regering om opheldering gevraagd en wil weten of het de spyware heeft aangeschaft en ingezet. In april van dit jaar werden al vanuit het Europees Parlement vragen aan de Europese Commissie gesteld over berichtgeving dat de Predator-spyware was gebruikt voor het bespioneren van een Griekse journalist.


Webwinkels aangevallen via zerodaylek in e-commerceplatform PrestaShop

Criminelen maken misbruik van een combinatie van bekende en onbekende kwetsbaarheden in e-commerceplatform PrestaShop om webwinkels aan te vallen en te voorzien van malafide betaalpagina's die creditcardgegevens van klanten naar de aanvallers sturen. Zo'n 300.000 webshops wereldwijd draaien op PrestaShop. Door middel van onder andere SQL Injection kunnen de aanvallers willekeurige code uitvoeren op de servers waarop de PrestaShop-webwinkel draait, zo stelt het ontwikkelteam. Bij de nu waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheden om klantgegevens waaronder creditcarddata te stelen. De beveiligingslekken zijn aanwezig in PrestaShop 1.6.0.10 en nieuwer. Versie 1.7.8.2 en nieuwer zijn niet kwetsbaar, tenzij ze een module of custom code draaien die wel kwetsbaar is. Versies 2.0.0~2.1.0 van de Wishlist (blockwishlist) module zijn ook kwetsbaar. Volgens PrestaShop maken de aanvallers gebruik van een onbekende "vulnerability chain" voor het uitvoeren van de aanval, waarbij ze mogelijk de MySQL Smarty cache storage features als onderdeel van de aanval gebruiken. Inmiddels heeft PrestaShop versie 1.7.8.7 uitgerold die de MySQL Smarty cache storage tegen het injecteren van code moet beschermen. Het PrestaShop-ontwikkelteam roept alle webwinkels op om de update te installeren, maar stelt ook dat niet kan worden uitgesloten dat de aanval ook op andere manieren is uit te voeren. Daarnaast doet de update vermoedelijk weinig voor webshops die al zijn gecompromitteerd. Verder laten de ontwikkelaars weten dat de MySQL Smarty cache storage een legacy feature is die in toekomstige versies van het e-commerceplatform wordt verwijderd.


Vidar-malware verspreidt zich als vervalste Windows 11-updates

Cybercriminelen verspreiden malware via vervalste Windows 11-updates. Die worden gedistribueerd langs nagemaakte Microsoft-portals, in de vorm van zogeheten ISO-bestanden. In deze kwaadaardige ISO's zit de Vidar-malware verstopt. De waarschuwing komt van het Zscaler ThreatLabz-team. Dat ontdekte verschillende nieuw geregistreerde domeinen door het monitoren van verdacht verkeer in de Zscaler-cloud. De vervalste sites zijn gemaakt om ISO-bestanden te verspreiden die uiteindelijk leiden tot een Vidar-infostealer-infectie. Vidar-malware is in staat om de Command and Control (C2)-configuratie op te halen van (door aanvallers gecontroleerde) socialemediakanalen die worden gehost op het Telegram- en Mastodon-netwerk. Zscaler vermoedt dat diezelfde threat actor actief gebruikmaakt van social engineering om zich voor te doen als populaire legitieme applicaties, met wederom als doel om Vidar-malware te verspreiden. Er is namelijk ook een GitHub-repository geïdentificeerd die verschillende backdoor-versies van Adobe Photoshop host. Deze binaire bestanden verspreiden Vidar-malware met vergelijkbare tactieken waarmee socialemediakanalen misbruikt worden voor C2-communicatie. Het Zscaler ThreatLabz-team adviseert gebruikers voorzichtig te zijn en alleen software te downloaden via de officiële websites van leveranciers.


VS looft 10 miljoen dollar uit voor tips over individuen achter Lazarus-groep

De Amerikaanse autoriteiten hebben een beloning van 10 miljoen dollar uitgeloofd voor tips over de individuen achter de Lazarus-groep, die door de VS verantwoordelijk wordt gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. Volgens de VS opereert de groep vanuit Noord-Korea of wordt door het Noord-Koreaanse regime gesteund. Naast de Lazarus-groep zoeken de Amerikaanse autoriteiten ook informatie over andere vermeende Noord-Koreaanse cybergroeperingen met namen als Kimsuky, Bluenoroff en Andariel. De groepen zouden achter tal van aanvallen zitten, waaronder meerdere aanvallen op banken in Bangladesh, India, Mexico, Pakistan, Filipijnen, Zuid-Korea, Taiwan, Turkije, Chili en Vietnam. Ook waren cryptobeurzen het doelwit waar miljoenen dollars aan cryptovaluta werden gestolen. De Andariel-groep zou zich hebben bezig hebben gehouden met het stelen van creditcardgegevens om die vervolgens aan cybercriminelen door te verkopen. De groep wordt ook beschuldigd van het aanvallen van online poker- en goksites om geld te stelen. Daarnaast zou Anadariel betrokken zijn geweest bij aanvallen tegen de Zuid-Koreaanse overheid en leger om vertrouwelijke informatie buit te maken. In 2019 werden er al sancties aan de groepen en individuen achter de groepen opgelegd. Een jaar later kwam de VS met beloningen tot 5 miljoen dollar voor informatie over illegale Noord-Koreaanse cyberoperaties of personen die in opdracht van de Noord-Koreaanse overheid de Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) overtreden of dit faciliteren. Via Twitter meldt het Amerikaanse ministerie van Buitenlandse Zaken dat er nu een beloning van 10 miljoen dollar is voor tips over de eerdergenoemde groepen.


No More Ransom geeft 1,5 miljoen slachtoffers ransomware bestanden terug

Het No More Ransom-project dat zes jaar geleden door de Nederlandse politie, Europol en antivirusbedrijven Kaspersky en McAfee werd gestart heeft inmiddels 1,5 miljoen slachtoffers van ransomware geholpen bij het ontsleutelen van hun bestanden. De meer dan honderd decryptietools die via No More Ransom worden aangeboden en waarmee slachtoffers van ransomware kosteloos hun bestanden kunnen ontsleutelen zijn sinds de lancering op 25 juli 2016 meer dan tien miljoen keer gedownload, zo laat Europol vandaag weten. Vorig jaar stond de teller rond deze tijd nog op zes miljoen downloads. Via de website van No More Ransom zijn in totaal 136 decryptietools voor 165 verschillende ransomware-varianten te vinden, waaronder veelgebruikte exemplaren zoals Gandcrab, REvil/Sodinokibi en Maze/Egregor/Sekhmet. Verder hebben inmiddels 188 partners uit de publieke en private sector zich bij No More Ransom aangesloten en voorzien de website geregeld van nieuwe decryptietools.


Italiaanse overheid ontkent datadiefstal bij fiscus door ransomwaregroep

Criminelen hebben geen data van de Italiaanse belastingdienst gestolen, zo stellen de Italiaanse autoriteiten nadat een beruchte ransomwaregroep claimde dat het gigabytes aan gegevens heeft buitgemaakt. Op de eigen website claimen de criminelen achter de LockBit-ransomware dat ze in totaal 78 gigabyte bij het Agenzia Entrante hebben gestolen. Wanneer de Italiaanse fiscus het gevraagde losgeld niet betaalt zal de groep de gestolen data openbaar maken. De Italiaanse belastingdienst vroeg vervolgens het it-agentschap Sogei van het ministerie van Economie en Financiën om een onderzoek uit te voeren, zo laat het Italiaanse persbureau ANSA weten. Sogei stelt dat er geen aanval op de belastingdienst heeft plaatsgevonden en er geen data is buitgemaakt. De LockBit-groep zegt de gestolen gegevens over vier dagen op de eigen website te zullen publiceren.


Cybercriminelen gebruiken Windows-rekenmachine als malware dropper

Cybercriminelen verspreiden malwarevorm Qbot door de rekenmachine van Windows 7 te misbruiken. Securityonderzoeker ProxyLife ontdekte de methode tijdens een analyse van QBot, een malware dropper. Droppers openen de deur voor ransomware-aanvallen. Cybercriminelen hebben een stille manier nodig om data met het apparaat van een doelwit uit te wisselen. Een dropper is de eerste stap. De meeste professionele securitymaatregelen houden droppers tegen. Vandaar moeten droppers onder de radar blijven. DLL sideloading is een veelvoorkomende tactiek. Een hacker vermomt malware bestanden met een legitieme applicatie, waardoor het proces geen alerts triggert. De verspreiders van Qbot kozen voor de rekenmachine van Windows 7. De aanval begint met phishing. Slachtoffers klikken op een HTML-bestand en downloaden een .ZIP-archief. Het .ZIP-archief bevat een .ISO-bestand. Slachtoffers krijgen de opdracht om het .ISO-bestand te mounten. Dit levert vier bestanden op: twee .DLL’s, een snelkoppeling en een rekenmachine (calc.exe). Slachtoffers klikken op de snelkoppeling, waarna de rekenmachine opent. De rekenmachine van Windows 7 is afhankelijk van een reeks .DLL’s. Vandaar zoekt de applicatie automatisch naar de benodigde DLL’s. De eerste zoeklocatie is de map van de rekenmachine zelf. De rekenmachine vindt de meegeleverde DLL’s en voert de dropper onbewust uit. De securitytools van Windows 7 kunnen het proces niet onderscheiden van een rekenmachine, waardoor de dropper onverstoord te werk gaat. ProxyLife beschreef de bestanden en methode op de website van securitybedrijf Cyble. De details maken het mogelijk om de dropper met firewalls en Windows-policies tegen te gaan. De methode werkt uitsluitend op Windows 7. Windows 10 en Windows 11 lopen geen risico.

Qakbot Resurfaces With New Playbook
PDF ā€“ 428,2 KB 150 downloads

Firmware Asus- en Gigabyte-moederborden besmet met UEFI-rootkit

Onderzoekers hebben in firmware-images van Asus- en Gigabyte-moederborden malware aangetroffen waarmee aanvallers vergaande controle over het besmette systeem krijgen. De UEFI-rootkit wordt al jaren gebruikt, maar wordt nu pas beschreven. Hoe de firmware-images besmet konden worden is onbekend. Alle geïnfecteerde firmware-images waren voor moederborden met Intels H81-chipset. Dit is een oudere moederbordchipset die eind 2013 werd gelanceerd. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. De malware in de besmette firmware wijzigt de werking van de Windows kernel loader en schakelt beveiligingsmaatregelen zoals Windows PatchGuard uit, dat juist aanpassingen aan de Windows-kernel moet voorkomen. Het uiteindelijke doel van de UEFI-malware is het laden van shellcode in het geheugen van de besmette computer. Deze shellcode maakt verbinding met de server van de aanvallers en laadt de uiteindelijke "payload" op het systeem. De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien. Aangezien alle aangepaste firmware-images voor de H81-chipset waren vermoeden onderzoekers van antivirusbedrijf Kaspersky (pdf) dat een kwetsbaarheid het injecteren van de rootkit mogelijk maakt. Het zou kunnen dat de aanvallers eerder toegang tot de aangevallen systemen hadden. Vervolgens hebben ze de moederbord-firmware gedownload, aangepast en weer geüpload. De meeste infecties met de UEFI-rootkit zijn waargenomen in China, Vietnam, Iran en Rusland. Het is hierbij belangrijk om te vermelden dat het alleen gaat om Kaspersky-klanten die de gratis versie van de antivirussoftware gebruikten. Het werkelijke aantal infecties wereldwijd is dan ook onbekend, aangezien andere antivirusbedrijven nog geen melding van de malware hebben gemaakt. Volgens de onderzoekers is de belangrijkste conclusie dat de UEFI-rootkit al sinds eind 2016 in gebruik lijkt te zijn, lang voordat er in het openbaar over UEFI-aanvallen werd geschreven. "Dit roept de vraag op: als de aanvallers destijds hier al gebruik van maakten, wat gebruiken ze nu dan?", zo besluiten de onderzoekers hun analyse.

Cosmic Strand
PDF ā€“ 2,4 MB 154 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten