Ransomware weekoverzicht 12-2021

Gepubliceerd op 29 maart 2021 om 15:00

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende, Evil Corp schakelt over op Hades ransomware om sancties te omzeilen en FBI waarschuwt voor ransomware die volledige harde schijf versleutelt. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

22 maart 2020

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende

Shell is slachtoffer van datadiefstal geworden nadat aanvallers toegang wisten te krijgen tot de Accellion FTA-server van het bedrijf. Bij de inbraak hebben de aanvallers allerlei bestanden bemachtigd, waarvan sommige persoonlijke data bevatten en andere gegevens afkomstig van Shell-bedrijven en sommige van hun partners. Dat laat Shell in een verklaring weten.

Verdere details zijn niet over het incident gegeven. Zo is er niets gezegd over de aanvallers. Vorige maand meldde securitybedrijf FireEye dat de zerodaylekken in de FTA-software door de Clop-ransomwaregroep werden gebruikt voor het stelen van gegevens, om daarmee organisaties af te persen. Bij verschillende van deze aanvallen werd er geen ransomware uitgerold, maar alleen data gestolen.

De Tsjechische spoorweg administratie werd aangevallen door hackers

De staatsorganisatie die de verkeersveiligheid op de spoorlijn verzorgt, verzekerde dat deze niet werd beïnvloed door de aanval. De aanval volgde op andere eerdere incidenten die gericht waren op staatsorganisaties of ministeries. Bron

De Amerikaanse Park Hill-scholen zijn maandag en dinsdag gesloten vanwege een malware aanval

SCHOOL CANCELED DUE TO MALWARE ATTACK: We apologize for the late notice, but we must cancel school in Park Hill today...

Geplaatst door Park Hill School District op Maandag 22 maart 2021

Nieuwe variant Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.bqd2

23 maart 2020

Sierra Wireless legt productie in fabrieken stil na ransomware-aanval

Telecomgigant Sierra Wireless heeft de productie in alle fabrieken vanwege een ransomware-aanval stilgelegd. Dat laat het bedrijf in een persbericht weten en heeft het aan de Amerikaanse beurswaakhond SEC gemeld. De aanval op de interne systemen vond afgelopen zaterdag 20 maart plaats.

Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld

Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd. Verder lezen

Ransomware CLOP bende lekt gegevens die zijn gestolen uit Colorado Miami universiteiten

Cijfers, burgerservicenummers en patiëntgegevens van de Universiteit van Colorado en de Universiteit van Miami zijn online geplaatst door de Clop-ransomwaregroep. Bron

CNA verzekeringsmaatschappij getroffen door een cyberaanval

CNA Financial, een toonaangevende Amerikaanse verzekeringsmaatschappij, heeft te maken gehad met een cyberaanval die haar bedrijfsactiviteiten heeft beïnvloed en haar website heeft gesloten. Bron

De stad Franfort in de staat Kentucky is getroffen door cyberaanval

Op de avond van zondag 21 maart werd de stad Frankfort bewust van een ongeoorloofde inbraak in het IT-netwerk die de toegang tot sommige computerservers verstoorde. Na ontdekking startte het stadspersoneel een uitgebreide respons in overeenstemming met het bestaande responsplan voor IT-incidenten, inclusief het onmiddellijk offline halen van enkele systeemcomponenten en het inschakelen van onafhankelijke IT-beveiligings- en computerforensische specialisten om het incident te verhelpen en te onderzoeken. Bron

24 maart 2020

Serverfabrikant Stratus haalt monitoringssysteem offline na ransomware-aanval

Serverfabrikant Stratus Technologies is slachtoffer geworden van een ransomware-aanval en heeft als gevolg het systeem offline gehaald waarmee het de servers van klanten monitort. Ook het portaal dat wordt gebruikt voor de ondersteuning van klanten is uit de lucht. Dat heeft het bedrijf in een verklaring bekendgemaakt.

Groeiende trend van ransomware-aanvallen gericht op bedrijven waarbij sprake is van data-afpersing

Naast de kans dat slachtoffers van ransomware hun systemen niet meer (volledig) kunnen gebruiken of geen toegang meer hebben tot hun data, lopen ze ook steeds vaker het risico dat hun bedrijfsgegevens op straat komen te liggen. Enerzijds wordt deze tactiek gebruikt om slachtoffers te dwingen tot betaling van het losgeld, anderzijds is het een reactie op een toenemend aantal bedrijven die de versleuteling van hun gegevens teniet kunnen doen met behulp van goede back-ups. Verder lezen

Nieuwe variant Makop ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.pecunia

25 maart 2020

FBI waarschuwt voor ransomware die volledige harde schijf versleutelt

De FBI heeft een waarschuwing afgegeven voor de Mamba-ransomware die de volledige harde schijf versleutelt, waardoor het besturingssysteem niet meer kan worden opgestart. De ransomware is al tegen lokale overheden, transportagentschappen, juridische dienstverleners en allerlei soorten bedrijven ingezet, aldus de Amerikaanse opsporingsdienst.

210323
PDF – 391,7 KB 718 downloads

Amerikaanse verzekeringsgigant CNA getroffen door de nieuwe Phoenix CryptoLocker-ransomware

Verzekeringsgigant CNA heeft te maken gehad met een ransomware aanval met een nieuwe variant genaamd Phoenix CryptoLocker die mogelijk is gekoppeld aan de hackgroep Evil Corp. Bron

Evil Corp schakelt over op Hades ransomware om sancties te omzeilen

Op basis van aanzienlijke code-overlapping heeft CrowdStrike Intelligence de Hades ransomware geïdentificeerd als INDRIK SPIDER's opvolger van WastedLocker. Hades ransomware - voor het eerst publiekelijk geïdentificeerd door beveiligingsonderzoekers in december 2020 - werd genoemd naar een door Tor verborgen website die slachtoffers moeten bezoeken; Hades is echter slechts een 64-bits gecompileerde variant van WastedLocker met extra codevermindering en kleine wijzigingen in functies. Bron

Ransomware bende lekt gegevens van de Amerikaanse militaire aannemer PDI Group

Een belangrijke leverancier van militair materieel aan de Amerikaanse luchtmacht en legers over de hele wereld lijkt het slachtoffer te zijn geworden van een ransomwareaanval. Bron

Nieuwe variant Stop ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.ekvf

Dit bedrijf werd getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaalden

"Toen het toesloeg, renden we naar onze serverruimte en datacenter en begonnen we de stekkers eruit te trekken." Hoe een bedrijf werd getroffen door ransomware, maar weigerde te betalen. Lees verder

Franse kabelliften gigant MND slachtoffer van cyberaanval

De MND-groep was in de nacht van 22 op 23 maart 2021 het slachtoffer van een inbraak van schadelijke software op sommige van haar servers in Frankrijk en Oostenrijk. Bron

26 maart 2020

Ransomware bende spoort de klanten van de slachtoffers aan om voor hun privacy te vechten

Een ransomware-operatie die bekend staat als 'Clop' oefent maximale druk uit op slachtoffers door hun klanten een e-mail te sturen en hen aan te sporen om losgeld te vragen om hun privacy te beschermen. Bron

Ransomware 'DearCry' en 'Black Kingdom' maken handig gebruik van de tekortkomingen om zich in de getroffen systemen te nestelen

"De Black Kingdom-ransomware die zich richt op niet-gepatchte Exchange-servers heeft alle kenmerken van een ontwerp van een gemotiveerde scriptkiddie," zei Mark Loman, technisch directeur bij Sophos. "De versleutelingshulpmiddelen en -technieken zijn onvolmaakt, maar het losgeld van $ 10.000 in bitcoin is laag genoeg om succesvol te zijn. Elke bedreiging moet serieus worden genomen, zelfs van schijnbare lage kwaliteit." Lees verder

Detailhandelaar FatFace betaalt 2 miljoen dollar losgeld aan de cybercriminelen van Conti

Moderetailer FatFace heeft 2 miljoen dollar losgeld betaald aan de Conti ransomware bende na een succesvolle cyberaanval op hun systemen die plaatsvond in januari 2021.  Bron

Nieuwe variant HiddenTear ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.HANTA

27 maart 2020

Microsoft: ransomwaregroep infecteert 1500 Exchange-servers

Een groep criminelen achter de Black Kingdom-ransomware heeft wereldwijd zo'n 1500 Exchange-servers geïnfecteerd met een webshell, wat grote gevolgen voor organisaties kan hebben, zo waarschuwt Microsoft. De groep maakt gebruik van vier kwetsbaarheden in Exchange 2013, 2016 en 2019 om kwetsbare systemen met een webshell te infecteren. Via deze webshell behouden de aanvallers hun toegang tot de server, ook als die wordt gepatcht. Verder lezen

Cyberaanval op Yemeksepeti: belangrijke gebruikersinformatie is gestolen

Turkije's grootste platform voor het bestellen van voedsel Yemeksepeti  heeft aangekondigd dat ze te maken hebben gehad met cyberaanvallen en diefstal van gegevens van gebruikers. Bron

Bedfordshire een school in Engeland is getroffen door een cyberaanval

De cursussen van leerlingen zijn vernietigd tijdens een "significante" cyberaanval. Hoewel er geen gegevens werden verzameld, bleven de servers van de school onleesbaar, wat resulteerde in "het verlies van een aanzienlijke hoeveelheid gegevens". Bron

28 maart 2020

Australisch TV station getroffen door ransomware 

Een mysterieuze cyberaanval, vermoedelijk een ransomware-infectie, trof afgelopen weekend de Australische tv-zender Channel 9 en verhinderde dat het netwerk een aantal van zijn normale shows op zondag uitzond.

In Canada is de regionale raad van Millwright of Ontario slachtoffer geworden van Avaddon cybercriminelen

De bende van Avaddon heeft data van de Millwright Regional Council of Ontario op het darkweb gezet en dreigen met DDoS aanvallen.

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle blogs

ShinyHunters Canvas 12 mei, 7 NL universiteiten, Animo IBAN

In de periode van 6 mei tot en met 7 mei 2026 ontsierden aanvallers van ShinyHunters de inlogportalen van meerdere universiteiten met een losgeldboodschap en verschoven zij de deadline voor de bij Canvas LMS gestolen data van 7 mei naar 12 mei 2026. Koepelorganisatie Universiteiten van Nederland bevestigde dat zeven grote universiteiten zijn getroffen, waaronder de Universiteit van Amsterdam, de Vrije Universiteit Amsterdam en de Erasmus Universiteit Rotterdam. Belgische instellingen waaronder de Vrije Universiteit Brussel, Thomas More en Arteveldehogeschool meldden dat persoonsgegevens van studenten zijn buitgemaakt. Tegelijkertijd werden drie Belgische bedrijven in één dag slachtoffer van ransomware, trof een datalek bij sportketen Animo 105.000 Belgische klanten met bankgegevens, en publiceerde Microsoft en het Australian Cyber Security Centre waarschuwingen over drie parallelle ClickFix campagnes die via nep hulpartikelen macOS gebruikers en cryptowalletbezitters doelwit maken.

Lees meer »

Canvas 44 NL instellingen gelekt, Edge wachtwoorden onveilig

In de periode van 4 mei tot en met 5 mei 2026 bevestigde Instructure, het Amerikaanse bedrijf achter onderwijsplatform Canvas, dat de groep ShinyHunters 3,65 terabyte aan persoonsgegevens heeft gestolen van 9.000 onderwijsinstellingen en 275 miljoen gebruikers wereldwijd. Van de getroffen instellingen bevinden zich 44 in Nederland, waaronder hogescholen, universiteiten en mbo instellingen verspreid over het land. ShinyHunters stelde een deadline van 6 mei voor betaling. Dezelfde groep publiceerde eerder in de week ook de persoonlijke gegevens van 119.200 Vimeo gebruikers na een mislukte afpersing via externe leverancier Anodot. Beveiligingsonderzoeker @L1v1ng0ffTh3L4N maakte op 29 april bekend dat Microsoft Edge alle opgeslagen wachtwoorden bij het opstarten direct als platte tekst in het procesgeheugen laadt, een gedrag dat Microsoft erkent als bewuste ontwerpkeuze. Via het netwerk van Cybercrimeinfo werd een actieve aanval via de ClickFix methode gesignaleerd op een website die circuleert onder internetgebruikers in Nederland, met al minstens één bevestigd slachtoffer. Kaspersky stelde vast dat de officiële website van Daemon Tools al wekenlang malware verspreidt via een supply chain aanval, waarbij een selecte groep slachtoffers waaronder overheden en fabrieken een remote access trojan heeft ontvangen.

Lees meer »

cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb

In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.

Lees meer »

Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico

De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.

Lees meer »

Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere

Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.

Lees meer »

«   »