Ransomware weekoverzicht 10-2021

Gepubliceerd op 15 maart 2021 om 15:00

Ransomware valt nu Microsoft Exchange-servers aan met ProxyLogon-exploits, Microsoft Exchange-servers doelwit van DearCry-ransomware en politie lanceert speciale taskforce om ransomware te bestrijden. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

8 maart 2020

De nieuwe Sarbloh-ransomware ondersteunt het protest van Indiase boeren

Een nieuwe ransomware, bekend als Sarbloh, versleutelt uw bestanden en geeft tegelijkertijd een bericht af ter ondersteuning van de protesten van Indiase boeren. Vorig jaar heeft de Indiase regering een nieuwe reeks wetten aangenomen, de 'Indiase landbouwwetten van 2020', ook wel bekend als de Farm Bills, die volgens de regering nodig zijn om de landbouwsector te moderniseren.

Cyberaanval: het schooldistrict in de regio Houston onderzoekt verontrustende berichten die zijn verzonden tijdens een cyberaanval

Op zondagmiddag 7 maart had Magnolia ISD te maken met een cyberaanval die van invloed was op het communicatiesysteem van het district, inclusief sociale media, sms-berichten, e-mails en telefoontjes. Zondagavond werd de cyberaanval voortgezet met een bericht aan enkele studenten en ouders dat de veiligheid van het district bedreigde, met name Magnolia High School.

Flagstar Bank getroffen door datalek waarbij klant- en werknemersgegevens werden blootgelegd

De Amerikaanse bank en hypotheekverstrekker Flagstar heeft een datalek bekendgemaakt nadat de Clop-ransomwarebende in januari hun Accellion-server voor bestandsoverdracht had gehackt.

Nieuwe variant Matrix ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.JDPR

Zorgaanbieders werden afgelopen herfst gewaarschuwd voor een toename van ransomware. Sommigen weten nog steeds niet hoe ernstig de dreiging was

Toen de Amerikaanse regering eind oktober vorig jaar waarschuwde voor een op handen zijnde ransomware bedreiging voor de ziekenhuizen en zorgverleners in het land, reageerden velen in de branche op een soortgelijke reactie: ze pauzeerden, haalden diep adem en zetten zich schrap voor de impact. Lees verder

9 maart 2020

Een cyberaanval op de SEPE-computersystemen

Het ministerie van Arbeid van Spanje onderzoekt de oorzaak van de inbreuk op de beveiliging in de computersystemen van de openbare dienst voor arbeidsvoorziening, ook de computers van de werknemers van het bureau zijn getroffen, ze moesten worden uitgeschakeld in afwachting van het onderzoek. Bron

GandCrab-ransomware-partner gearresteerd voor phishingaanvallen

Een verdacht lid van GandCrab Ransomware is in Zuid-Korea gearresteerd voor het gebruik van phishing-e-mails om slachtoffers te infecteren. Lees verder

Nieuwe ransomware

S!Ri ontdekt een nieuwe ransomware die de extensie *.gopher toevoegt

10 maart 2020

Politie lanceert speciale taskforce om ransomware te bestrijden

De Nederlandse politie heeft een speciale taskforce gelanceerd die zich gaat bezighouden met de bestrijding van ransomware. In de Ransomware Taskforce, een initiatief van de Eenheid Oost-Brabant, bundelen het Team High Tech Crime (THTC) en de regionale cybercrimeteams hun krachten.

Ryuk-ransomware treft 700 kantoren van arbeidsbureaus van de Spaanse overheid

De systemen van SEPE, de Spaanse overheidsinstantie voor arbeid, werden uitgeschakeld na een ransomwareaanval die meer dan 700 agentschappen in heel Spanje trof.

Nieuwe variant STOP Djvu ransomware

Michael Gillespie ontdekt een nieuwe variant met extensie *.reig

DarkSide Ransomware 2.0 uitgebracht

Nieuwe DarkSide 2.0 is uit. De nieuwe versie concentreerde zich op snelheid en nieuwe servicefuncties. 

Nieuwe variant Makop ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.WKSGJ

11 maart 2020

Opnieuw Frans ziekenhuis getroffen door ransomware-aanval

Opnieuw is er in Frankrijk een ziekenhuis getroffen door een ransomware-aanval. Dat heeft het ziekenhuis van d'Oloron-Sainte-Marie nabij de Pyreneeën laten weten en wordt ook bevestigd door de Franse staatssecretaris Cedric O van Digitalisering. De aanval werd opgemerkt nadat er meer data dan normaal het netwerk verliet. Daarop werd een noodprocedure gestart.

Bierproductie Molson Coors verstoord door "cybersecurity-incident"

De bierproductie van Molson Coors, één van de grootste brouwerijen in de Verenigde Staten, is verstoord door een "cybersecurity-incident". Dat blijkt uit een melding van het bedrijf aan de Amerikaanse beurswaakhond SEC en een verklaring tegenover lokale media. Volgens de melding kreeg Molson Coors op 11 maart als gevolg van het niet nader beschreven incident met een systeemstoring te maken.

Ransomware valt nu Microsoft Exchange-servers aan met ProxyLogon-exploits

Bedreigingsactoren installeren nu een nieuwe ransomware genaamd 'DEARCRY' na het hacken van Microsoft Exchange-servers met behulp van de onlangs onthulde ProxyLogon-kwetsbaarheden.

Lees ook

DearCry richtte zich op Exchange

Michael Gillespie was de eerste die onthulde dat een nieuwe DearCry-ransomware zich op uitwisselingsservers richtte van Microsoft Exchange.

Alle servers werken niet, meldt de administratie. Het stadsbestuur  van Ebeleben (D) is meerdere dagen gesloten

Het stadsbestuur van Ebeleben was woensdag het slachtoffer van een massale hackeraanval. Alle servers zijn defect, zegt het vanuit het gemeentehuis. Om deze reden blijft het stadsbestuur tot en met dinsdag 16 maart gesloten. De wijziging van het ontwikkelingsplan “Am Schlosspark”, dat momenteel open is voor het publiek, is nog te bezichtigen. De administratie kondigde aan dat ze hard aan het werk zijn om de operaties te kunnen hervatten.

Lot-et-Garonne brandweerlieden slachtoffers van een cyberaanval

Na de ziekenhuizen, de brandweerlieden! Zonder geloof of wet, waar ze ook werken, vanuit Frankrijk of in het buitenland, hebben de nieuwe IT-misdadigers geen genade door nu essentiële nood- en gezondheidsdiensten in onze regio aan te vallen. De brandweerlieden van Lot-et-Garonne (F) hebben sinds het begin van de week een bittere ervaring achter de rug. "We waren het slachtoffer van een" ransomware "-aanval op dinsdag 9 maart. Ik moet u bellen om u erover te vertellen, omdat onze e-mails niet langer werken om u een persbericht te sturen", betreurt kolonel Jean-Luc Queyla deze donderdagochtend, directeur van SDIS 47. Bron

12 maart 2020

Microsoft Exchange-servers doelwit van DearCry-ransomware

Criminelen gebruiken kwetsbaarheden in Exchange om zo de mailservers van organisaties met ransomware te infecteren, zo waarschuwt Microsoft. Aanvallers weten via kwetsbaarheden toegang tot Exchange-servers te krijgen en installeren vervolgens de ransomware. Microsoft maakte vorige week beveiligingsupdates voor de kwetsbaarheden beschikbaar, maar wereldwijd blijken nog vele tienduizenden servers ongepatcht te zijn.

Nieuwe variant Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.biden, *.eofyd, *.duk, *.LAO

6.970 openbaar gemaakte webshells op Exchange-servers

Kryptos Logic meldde dat er 6.970 publiekelijk blootgestelde webshells op Exchange-servers waren die het doelwit waren van bedreigingsactoren.

Hackers vallen computersystemen van City of Covington aan

"Momenteel hebben we geen toegang tot alle computer- en telefoonsystemen, inclusief politie, brandweer, openbare werken, financiën en toegang tot alle e-mail", zeiden functionarissen donderdag. De cyberaanval had geen invloed op de 911-dienst van Covington.

Folks, Yesterday morning around 7:00am we discovered a significant hack into the City of Covington’s computer systems....

Geplaatst door City of Covington op Vrijdag 12 maart 2021

Cyberaanval University of the Highlands and Islands

Het partnerschap van de University of the Highlands and Islands heeft te maken met een aanhoudend cyberincident dat op al onze campussen een verstoring van onze systemen en netwerken heeft veroorzaakt. We werken momenteel aan het isoleren en minimaliseren van de impact van dit incident met hulp van externe partners. Wij geloven niet dat er persoonlijke gegevens zijn aangetast. De bron van het incident is nog niet bekend. Bron

20210312 All Students
PDF – 642,9 KB 730 downloads

13 maart 2020

Nieuwe variant Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.pirat

PPS getroffen door cyberaanval

PPS, een Zuid-Afrikaans verzekerings- en investeringsadviesbedrijf, is getroffen door een cyberaanval door onbekende hackers. Het bedrijf heeft klanten vandaag in een verklaring op de hoogte gebracht dat hun diensten mogelijk worden verstoord wanneer het probeert de functionaliteit van zijn IT-infrastructuur te herstellen. Lees verder

Nieuwe ransomware

GrujaRS ontdekt een nieuwe ransomware die de extensie *.z8sj2c toevoegt 

14 maart 2020

Black Shadow-hackers slaan opnieuw toe, lekken documenten in een nieuwe cyberaanval

"Hun servers zijn vernietigd en hun klantgegevens zijn in onze handen." Black Shadow, de hackers die in december duizenden documenten lekten met de persoonlijke informatie van klanten bij de Israëlische verzekeringsmaatschappij Shirbit, hebben nu ook de servers van KLS Capital Ltd. gehackt, zei de groep zaterdag in een Telegram-bericht. Lees verder

Nieuwe variant WastedLocker ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.seccrypt

Met speciale dank aan: anonieme tipgevers

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

» » Uploaden « « 

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Ransomware aanvallen

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle blogs

cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb

In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.

Lees meer »

Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico

De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.

Lees meer »

Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere

Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.

Lees meer »

Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt

De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.

Lees meer »

ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee

Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.

Lees meer »

ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER

Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.

Lees meer »

«   »