Ransomware weekoverzicht 12-2021

Gepubliceerd op 29 maart 2021 om 15:00

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende, Evil Corp schakelt over op Hades ransomware om sancties te omzeilen en FBI waarschuwt voor ransomware die volledige harde schijf versleutelt. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.

22 maart 2020

Shell getroffen door datadiefstal na inbraak op Accellion FTA-server, vermoedelijk door de Clop-ransomware bende

Shell is slachtoffer van datadiefstal geworden nadat aanvallers toegang wisten te krijgen tot de Accellion FTA-server van het bedrijf. Bij de inbraak hebben de aanvallers allerlei bestanden bemachtigd, waarvan sommige persoonlijke data bevatten en andere gegevens afkomstig van Shell-bedrijven en sommige van hun partners. Dat laat Shell in een verklaring weten.

Verdere details zijn niet over het incident gegeven. Zo is er niets gezegd over de aanvallers. Vorige maand meldde securitybedrijf FireEye dat de zerodaylekken in de FTA-software door de Clop-ransomwaregroep werden gebruikt voor het stelen van gegevens, om daarmee organisaties af te persen. Bij verschillende van deze aanvallen werd er geen ransomware uitgerold, maar alleen data gestolen.

De Tsjechische spoorweg administratie werd aangevallen door hackers

De staatsorganisatie die de verkeersveiligheid op de spoorlijn verzorgt, verzekerde dat deze niet werd beïnvloed door de aanval. De aanval volgde op andere eerdere incidenten die gericht waren op staatsorganisaties of ministeries. Bron

De Amerikaanse Park Hill-scholen zijn maandag en dinsdag gesloten vanwege een malware aanval

SCHOOL CANCELED DUE TO MALWARE ATTACK: We apologize for the late notice, but we must cancel school in Park Hill today...

Geplaatst door Park Hill School District op Maandag 22 maart 2021

Nieuwe variant Dharma ransomware

JakubKroustek ontdekt een nieuwe variant met extensie *.bqd2

23 maart 2020

Sierra Wireless legt productie in fabrieken stil na ransomware-aanval

Telecomgigant Sierra Wireless heeft de productie in alle fabrieken vanwege een ransomware-aanval stilgelegd. Dat laat het bedrijf in een persbericht weten en heeft het aan de Amerikaanse beurswaakhond SEC gemeld. De aanval op de interne systemen vond afgelopen zaterdag 20 maart plaats.

Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld

Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd. Verder lezen

Ransomware CLOP bende lekt gegevens die zijn gestolen uit Colorado Miami universiteiten

Cijfers, burgerservicenummers en patiëntgegevens van de Universiteit van Colorado en de Universiteit van Miami zijn online geplaatst door de Clop-ransomwaregroep. Bron

CNA verzekeringsmaatschappij getroffen door een cyberaanval

CNA Financial, een toonaangevende Amerikaanse verzekeringsmaatschappij, heeft te maken gehad met een cyberaanval die haar bedrijfsactiviteiten heeft beïnvloed en haar website heeft gesloten. Bron

De stad Franfort in de staat Kentucky is getroffen door cyberaanval

Op de avond van zondag 21 maart werd de stad Frankfort bewust van een ongeoorloofde inbraak in het IT-netwerk die de toegang tot sommige computerservers verstoorde. Na ontdekking startte het stadspersoneel een uitgebreide respons in overeenstemming met het bestaande responsplan voor IT-incidenten, inclusief het onmiddellijk offline halen van enkele systeemcomponenten en het inschakelen van onafhankelijke IT-beveiligings- en computerforensische specialisten om het incident te verhelpen en te onderzoeken. Bron

24 maart 2020

Serverfabrikant Stratus haalt monitoringssysteem offline na ransomware-aanval

Serverfabrikant Stratus Technologies is slachtoffer geworden van een ransomware-aanval en heeft als gevolg het systeem offline gehaald waarmee het de servers van klanten monitort. Ook het portaal dat wordt gebruikt voor de ondersteuning van klanten is uit de lucht. Dat heeft het bedrijf in een verklaring bekendgemaakt.

Groeiende trend van ransomware-aanvallen gericht op bedrijven waarbij sprake is van data-afpersing

Naast de kans dat slachtoffers van ransomware hun systemen niet meer (volledig) kunnen gebruiken of geen toegang meer hebben tot hun data, lopen ze ook steeds vaker het risico dat hun bedrijfsgegevens op straat komen te liggen. Enerzijds wordt deze tactiek gebruikt om slachtoffers te dwingen tot betaling van het losgeld, anderzijds is het een reactie op een toenemend aantal bedrijven die de versleuteling van hun gegevens teniet kunnen doen met behulp van goede back-ups. Verder lezen

Nieuwe variant Makop ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.pecunia

25 maart 2020

FBI waarschuwt voor ransomware die volledige harde schijf versleutelt

De FBI heeft een waarschuwing afgegeven voor de Mamba-ransomware die de volledige harde schijf versleutelt, waardoor het besturingssysteem niet meer kan worden opgestart. De ransomware is al tegen lokale overheden, transportagentschappen, juridische dienstverleners en allerlei soorten bedrijven ingezet, aldus de Amerikaanse opsporingsdienst.

210323
PDF – 391,7 KB 698 downloads

Amerikaanse verzekeringsgigant CNA getroffen door de nieuwe Phoenix CryptoLocker-ransomware

Verzekeringsgigant CNA heeft te maken gehad met een ransomware aanval met een nieuwe variant genaamd Phoenix CryptoLocker die mogelijk is gekoppeld aan de hackgroep Evil Corp. Bron

Evil Corp schakelt over op Hades ransomware om sancties te omzeilen

Op basis van aanzienlijke code-overlapping heeft CrowdStrike Intelligence de Hades ransomware geïdentificeerd als INDRIK SPIDER's opvolger van WastedLocker. Hades ransomware - voor het eerst publiekelijk geïdentificeerd door beveiligingsonderzoekers in december 2020 - werd genoemd naar een door Tor verborgen website die slachtoffers moeten bezoeken; Hades is echter slechts een 64-bits gecompileerde variant van WastedLocker met extra codevermindering en kleine wijzigingen in functies. Bron

Ransomware bende lekt gegevens van de Amerikaanse militaire aannemer PDI Group

Een belangrijke leverancier van militair materieel aan de Amerikaanse luchtmacht en legers over de hele wereld lijkt het slachtoffer te zijn geworden van een ransomwareaanval. Bron

Nieuwe variant Stop ransomware

Amigo-A ontdekt een nieuwe variant met extensie *.ekvf

Dit bedrijf werd getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaalden

"Toen het toesloeg, renden we naar onze serverruimte en datacenter en begonnen we de stekkers eruit te trekken." Hoe een bedrijf werd getroffen door ransomware, maar weigerde te betalen. Lees verder

Franse kabelliften gigant MND slachtoffer van cyberaanval

De MND-groep was in de nacht van 22 op 23 maart 2021 het slachtoffer van een inbraak van schadelijke software op sommige van haar servers in Frankrijk en Oostenrijk. Bron

26 maart 2020

Ransomware bende spoort de klanten van de slachtoffers aan om voor hun privacy te vechten

Een ransomware-operatie die bekend staat als 'Clop' oefent maximale druk uit op slachtoffers door hun klanten een e-mail te sturen en hen aan te sporen om losgeld te vragen om hun privacy te beschermen. Bron

Ransomware 'DearCry' en 'Black Kingdom' maken handig gebruik van de tekortkomingen om zich in de getroffen systemen te nestelen

"De Black Kingdom-ransomware die zich richt op niet-gepatchte Exchange-servers heeft alle kenmerken van een ontwerp van een gemotiveerde scriptkiddie," zei Mark Loman, technisch directeur bij Sophos. "De versleutelingshulpmiddelen en -technieken zijn onvolmaakt, maar het losgeld van $ 10.000 in bitcoin is laag genoeg om succesvol te zijn. Elke bedreiging moet serieus worden genomen, zelfs van schijnbare lage kwaliteit." Lees verder

Detailhandelaar FatFace betaalt 2 miljoen dollar losgeld aan de cybercriminelen van Conti

Moderetailer FatFace heeft 2 miljoen dollar losgeld betaald aan de Conti ransomware bende na een succesvolle cyberaanval op hun systemen die plaatsvond in januari 2021.  Bron

Nieuwe variant HiddenTear ransomware

Dnwls0719 ontdekt een nieuwe variant met extensie *.HANTA

27 maart 2020

Microsoft: ransomwaregroep infecteert 1500 Exchange-servers

Een groep criminelen achter de Black Kingdom-ransomware heeft wereldwijd zo'n 1500 Exchange-servers geïnfecteerd met een webshell, wat grote gevolgen voor organisaties kan hebben, zo waarschuwt Microsoft. De groep maakt gebruik van vier kwetsbaarheden in Exchange 2013, 2016 en 2019 om kwetsbare systemen met een webshell te infecteren. Via deze webshell behouden de aanvallers hun toegang tot de server, ook als die wordt gepatcht. Verder lezen

Cyberaanval op Yemeksepeti: belangrijke gebruikersinformatie is gestolen

Turkije's grootste platform voor het bestellen van voedsel Yemeksepeti  heeft aangekondigd dat ze te maken hebben gehad met cyberaanvallen en diefstal van gegevens van gebruikers. Bron

Bedfordshire een school in Engeland is getroffen door een cyberaanval

De cursussen van leerlingen zijn vernietigd tijdens een "significante" cyberaanval. Hoewel er geen gegevens werden verzameld, bleven de servers van de school onleesbaar, wat resulteerde in "het verlies van een aanzienlijke hoeveelheid gegevens". Bron

28 maart 2020

Australisch TV station getroffen door ransomware 

Een mysterieuze cyberaanval, vermoedelijk een ransomware-infectie, trof afgelopen weekend de Australische tv-zender Channel 9 en verhinderde dat het netwerk een aantal van zijn normale shows op zondag uitzond.

In Canada is de regionale raad van Millwright of Ontario slachtoffer geworden van Avaddon cybercriminelen

De bende van Avaddon heeft data van de Millwright Regional Council of Ontario op het darkweb gezet en dreigen met DDoS aanvallen.

Met speciale dank aan: anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.

Identificeren van Ransomware

Upload een ransom bericht en/of een geëncrypteerd bestand om de ransomware te identificeren die uw bestanden heeft geëncrypteerd (versleuteld).

Ransomware

Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel  en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .

Wat is Ransomware?

Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.

Doxware

Wat is Doxware?

Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.

De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.

Advies

  1. Installeer een goede virusscanner.
  2. Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
  3. Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel. 
  4. Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
  5. Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel  bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
  6. En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.

Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)

Meer weekoverzichten

Ransomware berichten

Alle blogs

NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur

Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.

Lees meer »

Booking en Basic-Fit gelekt, Kamervragen over ChipSoft

Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.

Lees meer »

Supply chain aanvallen, Marimo gehackt en FBI leest Signal

Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.

Lees meer »

NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays

Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.

Lees meer »

ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel

Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.

Lees meer »

Politie zoekt extra slachtoffers van verdachte Turpien

De politie roept slachtoffers van een man uit Spijkenisse op om zich te melden. De verdachte zou onder de naam Turpien op Snapchat tientallen meisjes hebben afgeperst. Inmiddels zit hij vast, maar door de hoeveelheid beeldmateriaal die bij hem werd aangetroffen, vermoedt de politie dat er nog meer slachtoffers zijn die nog niet bekend zijn.

Lees meer »

«   »