Helmonds werkbedrijf Senzer via Citrix-server besmet met ransomware, ransomware versleutelde systemen ict-leverancier notariskantoren en Darkside ransomware bende breiden hun afpersingstactieken verder uit. Hier het overzicht van de nieuwste ransomware vormen en het nieuws van dag tot dag.
19 april
SKV: Staatsinstelling in Slowakije doelwit van ransomware aanvallen
De National Security Authority (NBÚ) is vrijdag getroffen door een reeks ransomware aanvallen op doelen in Slowakije, waarbij hackers honderdduizenden euro's vroegen voor het heropenen van de systemen en het herstellen van hun volledige functionaliteit. Bron
MLT: De ransomwaregroep Avaddon is erin geslaagd de IT-structuur van de Partit Nazzjonalista ( Nationalistische Partij van Malta) binnen te dringen.
Avaddon publiceert een notitie waarin wordt beweerd in het bezit te zijn van de financiële gegevens van de partij, persoonlijke documenten van werknemers en privégegevens van haar klanten. Om zijn slachtoffer te overtuigen publiceerde zij een reeks screenshots met bankdocumenten en persoonlijke identificatiedocumenten. Bron (darkweb)
Nieuwe variant Xorist ransomware
Dnwls0719 ontdekt een nieuwe variant met extensie *.btCry_zip
#Xorist #Ransom
— dnwls0719 (@fbgwls245) April 19, 2021
0A6CC2A5FD2701A3D80CCA1438C4950D
BFF66EFDDF31E2835E50C778F0C338CD
New ext: .btCry_zip
Note: HOW TO DECRYPT FILES.txt pic.twitter.com/q12cKAnAtS
DEU: Cyberaanval op het stadhuis van de gemeente Kammeltal
Als Ernst Walter zijn computer opstart, kan hij zijn ogen nauwelijks geloven. De directeur van de gemeente Kammeltal in het district Günzburg kan niets meer openen. Bron
Nieuwe variant Nitro ransomware
Nieuwe variant met extensie *.givemenitro Bron
20 april
FRA: Cego's slachtoffer van een ransomware aanval
Cegos Group , een aanbieder van afstandsonderwijs en -opleiding, werd op 15 april getroffen door een ransomwareaanval. Het bedrijf plaatste op 20 april een bericht op hun website. Het bericht legt uit dat het bedrijf het incident aan het onderzoeken is en het was nog niet duidelijk of de persoonlijke gegevens van personen waren gecompromitteerd. Bron
Nieuwe variant Qlocker ransomware
Nieuwe variant met extensie *.7z Bron
21 april
NLD: Helmonds werkbedrijf Senzer via Citrix-server besmet met ransomware
Het Helmondse werkbedrijf Senzer dat begin maart meldde dat er een inbraak op het netwerk had plaatsgevonden is slachtoffer geworden van een aanval met de Ryuk-ransomware. De aanvallers wisten via een Citrix-server toegang tot de organisatie te krijgen. Dat blijkt uit het onderzoek dat het werkbedrijf liet uitvoeren en openbaar heeft gemaakt (pdf).
USA: Ransomwaregroep claimt inbraak bij Apple-leverancier Quanta Computer
De criminelen achter de REvil-ransomware claimen te hebben ingebroken op het netwerk van Quanta Computer, een bedrijf dat onder andere levert aan Apple, Cisco, Dell, HP en Lenovo. Daarbij zouden grote hoeveelheden vertrouwelijke tekeningen en gigabytes aan persoonlijke data zijn buitgemaakt en versleuteld. Lees verder
NLD: Ransomware versleutelde systemen ict-leverancier notariskantoren
De aanval waardoor bijna honderd Nederlandse notariskantoren de afgelopen dagen geen akten konden passeren was het gevolg van een ransomware-infectie bij hun ict-leverancier Managed IT. Volgens de Koninklijke Notariële Beroepsorganisatie (KNB) is bij de aanval een belangrijk deel van de infrastructuur van Managed IT versleuteld geraakt. Hierdoor hadden de notariskantoren ook geen toegang meer tot contactgegevens van klanten, waardoor die niet over geannuleerde afspraken konden worden ingelicht. Lees verder
GBR: Drankgigant C&C Group dochteronderneming sluit IT-systemen na beveiligingsincident
Matthew Clark Bibendum (MCB), een distributeur van alcoholische dranken en frisdranken in het VK en Ierland, zegt dat het werkt aan het herstellen van IT-systemen na een cyberveiligheidsincident. Bron
JPN: Hackers richten zich met ransomware op de iconische Toshiba-rivaal Hoya uit Japan
”We kunnen bevestigen dat Hoya Vision Care US een cyberaanval heeft meegemaakt. Op basis van ons eerste forensisch onderzoek lijkt de verstoring beperkt te zijn gebleven tot onze systemen in de Verenigde Staten ”, aldus een woordvoerder van Hoya. “Nadat we de dreiging hadden geïdentificeerd, hebben we snel actie ondernomen om deze in te dammen en hebben we contact opgenomen met de politie. Het bedrijf heeft externe experts ingeschakeld om de aard en omvang van dit evenement te bepalen. We zullen updates verstrekken zodra er meer informatie beschikbaar komt. " Bron
ESP: Universiteit van Castilla-La Mancha (UCLM) slachtoffer van ransomware-aanval
Een tweet liet mensen gisteren weten dat het doelwit van de aanval de technologische infrastructuur van de universiteit was en "niet de teams van de universiteitsgemeenschap." De universiteit blijft werken aan het herstellen van diensten met als prioriteit lesgeven.
🔴Información ciberataque @uclm_es
— Universidad de Castilla-La Mancha (@uclm_es) April 20, 2021
🔹El objetivo del ciberataque contra la @uclm_es fue la infraestructura tecnológica y no los equipos de la comunidad universitaria
🔹@UCLMtic continúa trabajando para recuperar los servicios digitales afectados, priorizando la docencia pic.twitter.com/cnbuVb1tki
Nieuwe variant CrySiS Dharma ransomware
JakubKroustek ontdekt een nieuwe variant met extensie *.2122, *.HPJ
'.2122' - '2021@onionmail.org' - https://t.co/yZv2CXm2kB #CrySiS #Dharma #ransomware
— Jakub Kroustek (@JakubKroustek) April 21, 2021
Nieuwe variant Nefilim/Nemty ransomware
Dnwls0719 ontdekt een nieuwe variant met extensie *.BENTLEY
Nefilim/Nemty Ransomware
— dnwls0719 (@fbgwls245) April 21, 2021
C0D30C047B185328D266078965A68B37
New ext: .BENTLEY
Note: BENTLEY-HELP.txt
Signed: "S.O.M GmbH"
This is the Go version.@BleepinComputer @demonslay335 @Amigo_A_ @siri_urz @malwrhunterteam @JAMESWT_MHT pic.twitter.com/RrM5foHXUD
22 april
USA: Amerikaanse overheid lanceert speciale taskforce tegen ransomware
Het Amerikaanse ministerie van Justitie heeft een nieuwe taskforce gelanceerd die zich gaat bezighouden met de aanpak van ransomware. Volgens het ministerie vormt ransomware niet alleen een economische bedreiging voor bedrijven, maar brengt het ook de veiligheid en gezondheid van Amerikanen in gevaar, zo laat The Wall Street Journal weten. Bron
QNAP NAS-systemen doelwit van aanval met Qlocker-ransomware
NAS-systemen van fabrikant QNAP zijn de afgelopen dagen het doelwit geworden van een aanval met de Qlocker-ransomware die bestanden voor losgeld ontsleuteld. Volgens QNAP maken de aanvallers gebruik van een recent verholpen kwetsbaarheid om systemen met de ransomware te infecteren.
According to the Tor site from their note, it calls itself "Qlocker". Encrypted files are 7-zip'd with a password - which is likely what the encrypted blob in the note is (256 bytes base64 = RSA-2048).
— Michael Gillespie (@demonslay335) April 20, 2021
ESP: Data miljoenen klanten Phone House Spanje bij ransomware-aanval gestolen
Bij een ransomware-aanval op Phone House Spanje zijn de privégegevens van miljoenen klanten door de aanvallers gestolen en deels ook openbaar gemaakt. Het gaat om namen, geboortedata, e-mailadressen, geslacht, nationaliteit, telefoonnummers en adresgegevens. Bron
Darkside ransomware bende breiden hun afpersingstactieken verder uit
De exploitanten van de Darkside-ransomware breiden hun afpersingstactieken uit met een nieuwe techniek gericht op bedrijven die genoteerd staan op NASDAQ of andere aandelenmarkten. In een bericht op hun darkweb-portaal zei de Darkside-crew bereid te zijn om foute markthandelaren van tevoren op de hoogte te stellen, zodat ze de aandelenkoers van een bedrijf 'short'* kunnen gaan voordat ze de naam als slachtoffer op hun website vermelden. Bron
*'Short gaan' of 'short selling' is een veelgehoorde term in de beleggingswereld. Als een belegger short gaat verkoopt deze als het ware aandelen die men niet in bezit heeft. Op deze manier kan er geprofiteerd worden van een daling van de beurskoers.
USA: Stanford-student vindt een storing in het ransomware-betalingssysteem en bespaart slachtoffers $ 27.000
De hackers achter een ontluikende stam van ransomware kwamen deze week in de problemen toen een beveiligingsonderzoeker een fout in het betalingssysteem ontdekte. Hij kon zo slachtoffers helpen om $ 27.000 aan potentiële verliezen te besparen. Bron
CAN: Cyberaanval richt zich op Santa Clara Valley Transportation Authority
Een cyberaanval tegen de Santa Clara Valley Transportation Authority afgelopen weekend heeft ertoe geleid dat veel van de computersystemen van het bureau dagenlang moeten worden stilgelegd. Bron
23 april
USA: Ransomwaregroep claimt aanval op netwerk openbaar ministerie Illinois
De criminelen achter de DoppelPaymer-ransomware, die eerder ook de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) wisten te infecteren, zeggen verantwoordelijk te zijn voor de aanval op het netwerk van het openbaar ministerie van de Amerikaanse staat Illinois.
FRA: Verdachte ransomware: "Cyberaanval" op de uitgeversgroep van Madsack
De uitgeversgroep Madsack is blijkbaar aangevallen door ransomware. Volgens een bericht in de media wijst een interne mail van de uitgever op een infectie met de 'chantage Trojan Nefilim'. Een woordvoerder van Madsack legde uit dat er vrijdag "een cyberaanval op de computersystemen van de Madsack-mediagroep" had plaatsgevonden. Bron
24 april
QNAP update anti-malwaretool om Qlocker-ransomware te verwijderen
QNAP heeft de eigen anti-malwaretool van een update voorzien om de Qlocker-ransomware te verwijderen die afgelopen dagen honderden NAS-systemen wist te infecteren. Volgens QNAP maken de aanvallers gebruik van bekende kwetsbaarheden in de multimedia console, media streaming add-on en Hybrid Backup Sync om toegang tot NAS-systemen te krijgen en vervolgens de ransomware te installeren. Die versleutelt bestanden op de NAS en eist 450 euro voor het ontsleutelen van de data.
FRA: De Franse champagnegroep Laurent Perrier is het slachtoffer geworden van een cyberaanval
Zaterdag melde Laurent Perrier dat het slachtoffer is geworden van een cyberaanval, waarbij de servers werden losgekoppeld nadat ze ontdekten dat hun informatienetwerk was gehackt. Bron
USA: Malware-aanval op Radixx Res verstoort de ticketreserveringssystemen van 20 luchtvaartmaatschappijen
Radixx , een dochteronderneming van Sabre Corporation, biedt een reserveringssysteem voor vliegtuigpassagiers voor goedkope luchtvaartmaatschappijen. Op 22 april kondigde Radixx aan dat Radixx Res op 20 april een malware-incident had meegemaakt en de reserveringssysteem beïnvloedde. Het incident had naar verluidt geen invloed op Sabre-systemen en de klantendatabase was niet gecompromitteerd. Het incident had invloed op 20 luchtvaartmaatschappijen om reserveringen te boeken. Bron
Nieuwe variant CrySiS Dharma ransomware
JakubKroustek ontdekt een nieuwe variant met extensie *.bdev
'.bdev' - 'bad_dev@tuta.io' - https://t.co/2wNxqC8MB5 #CrySiS #Dharma #ransomware
— Jakub Kroustek (@JakubKroustek) April 24, 2021
25 april
"Honderden slachtoffers QNAP NAS-ransomware betalen losgeld"
Ruim vijfhonderd eigenaren van een QNAP NAS die door ransomware werd versleuteld hebben elk honderden euro's losgeld betaald om hun data terug te krijgen, wat de criminelen 215.000 euro in vijf dagen heeft opgeleverd. De NAS-systemen raakten door middel van verschillende bekende kwetsbaarheden met de Qlocker-ransomware geïnfecteerd.
According to the Tor site from their note, it calls itself "Qlocker". Encrypted files are 7-zip'd with a password - which is likely what the encrypted blob in the note is (256 bytes base64 = RSA-2048).
— Michael Gillespie (@demonslay335) April 20, 2021
FRA: Unie van de Franse gemeenten Colli del Monferrato slachtoffer geworden van de Avaddon-ransomwaregroep
De Avaddon-ransomwaregroep publiceert screenshots van enkele gegevens die zijn gestolen tijdens de cyberaanval op de Unione di Comuni Colli del Monferrato, maar plaatst per ongeluk de verkeerde Unione (Unione dei Colli DiVini in het hart van Monferrato) onder een DDoS-aanval. Bron
ESP: Een gesynchroniseerde cyberaanval treft de INE en ministeries zoals Justitie, Economie of Onderwijs
Een cyberaanval heeft de websites van het Nationaal Statistisch Instituut (INE) en verschillende ministeries zoals die van Onderwijs en Cultuur, Justitie of het ministerie van Economische Zaken en Digitale Transformatie getroffen. In het geval van de INE zorgde de aanval ervoor dat de website minstens 12 uur offline was, hoewel deze momenteel weer operationeel is. Bron
Nieuwe variant CONTI ransomware
GrujaRS ontdekt een nieuwe variant met extensie *.GFYPK!
#CONTI #Ransomware NEW extension .GFYPK!
— GrujaRS (@GrujaRS) April 25, 2021
Ransom note;readme.txt pic.twitter.com/OV7brXK2Xi
Nieuwe variant NoCry ransomware
GrujaRS ontdekt een nieuwe variant met extensie *.Cry!
New #NoCry #Ransomware extension .Cry!
— GrujaRS (@GrujaRS) April 25, 2021
Sample VT https://t.co/BSQgK2TMxV@BleepinComputer @LawrenceAbrams @demonslay335 pic.twitter.com/rtHkV5KxGg
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware
Ransomware cyberaanvallen zijn een big business, zo groot zelfs dat onderzoek verwacht dat een bedrijf elke 11 seconden wordt aangevallen door een cybercrimineel en dat de schade als gevolg van deze aanvallen tegen 2021 ongeveer 20.000.000.000.000,- (20 biljoen) dollar zal bedragen .
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Doxware
Wat is Doxware?
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in 🇬🇧 or another language
Ransomware nieuws
Ransomware in Nederland: Groeiende bedreiging voor organisaties en privacy
Reading in 🇬🇧 or another language
De alarmerende stijging van ransomware-aanvallen: een toename van 73%
Reading in 🇬🇧 or another language
Ransomware in 2024: Opkomende trends en recente ontwikkelingen
Reading in 🇬🇧 or another language
De strijd tegen LockBit: Technologische vooruitgang en Internationale triomf
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De internationale overwinning op LockBit ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Een strijd van wilskracht: De afname van losgeldbetalingen en de toekomst van ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Alle het nieuws
Cyberweerbaarheid in Nederland: Innovatieve krachten tegen digitale dreigingen
Reading in 🇬🇧 or another language
Cyberoorlog nieuws 2024 oktober
Reading in 🇬🇧 or another language
De impact van Trumps herverkiezing op cyberveiligheid in Europa
Reading in 🇬🇧 or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in 🇬🇧 or another language
Alkmaar - Helpdesk fraude
Reading in 🇬🇧 or another language
Nieuwsbrief 338 Cybercrimeinfo (ccinfo.nl)
Reading in 🇬🇧 or another language