Verzekeraars deinzen terug voor ransomware, Mexico sluit nationale loterijsites na ransomware DDoS-dreiging en zo'n 80% van de organisaties betaalt losgeld. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
30 mei
| Slachtoffer | Cybercriminele organisatie | Datum | |
|---|---|---|---|
| Akorbi | Avaddon | 2021-05-30 | |
| JM ROSSA SA | Avaddon | 2021-05-30 | |
| Forbes Hare | Avaddon | 2021-05-30 | |
| WorldUnion | Avaddon | 2021-05-30 | |
| Tri-Metal Fabricators | Avaddon | 2021-05-30 | |
| Hupac Intermodal Italia Srl | Avaddon | 2021-05-30 | |
| Dentalez | Marketo | 2021-05-30 | |
| Durard | LV | 2021-05-30 |
29 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Hotel Nyack | Prometheus | 2021-05-29 |
| JFA Construction | Avaddon | 2021-05-29 |
| Våpensmia AS | Prometheus | 2021-05-29 |
De trage decryptors van ransomware bendes zetten slachtoffers ertoe aan om alternatieven te zoeken
Onlangs ontvingen twee veelbesproken ransomware-slachtoffers een decryptor die te traag was om het netwerk van het slachtoffer snel te herstellen.
De eerste was Colonial Pipeline, die 4,4 miljoen dollar aan losgeld betaalde voor een decryptor na te zijn aangevallen door de DarkSide-ransomware-operatie .
De decryptor was echter zo traag dat het bedrijf zijn toevlucht nam tot het herstellen van back-ups.
"Toen ze de betaling hadden ontvangen, gaven de hackers de operator een decoderingstool om zijn uitgeschakelde computernetwerk te herstellen. De tool was zo traag dat het bedrijf zijn eigen back-ups bleef gebruiken om het systeem te herstellen", meldde Bloomberg.
28 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Sessions Payroll Management Inc | avaddon | 2021-05-28 |
| Al-Arfaj Group | avaddon | 2021-05-28 |
| AIM Financial Corporation Ltd | avaddon | 2021-05-28 |
| Pronosticos Deportivos | avaddon | 2021-05-28 |
| Loewe Technology GmbH | avaddon | 2021-05-28 |
| TEC EPM GmbH | avaddon | 2021-05-28 |
| Saigon Cargo Service Corporation | avaddon | 2021-05-28 |
| CENTRE | LV | 2021-05-28 |
| Citroen Wells | Sodinokibi (REvil) | 2021-05-28 |
| GRAYSONS SOLICITORS | Sodinokibi (REvil) | 2021-05-28 |
| Puntacana Group | Grief | 2021-05-28 |
Mexico sluit nationale loterijsites na ransomware DDoS-dreiging
Toegang tot de Lotería Nacional- en Pronósticos-loterijwebsites in Mexico is nu geblokkeerd voor IP-adressen buiten Mexico nadat een ransomware bende (Avaddon) dreigde denial-of-service-aanvallen (DDoS) uit te voeren. Lotería Nacional is het door de overheid gerunde nationale loterijsysteem van Mexico, dat opereert onder het Mexicaanse ministerie van Financiën. Pronósticos is het programma van Loteria Nacional waar Mexicanen kunnen wedden op kansspelen of sport.
Toen we gisteravond hoorden van deze vermeende aanval, hadden we toegang tot de site Lotería Nacional ( https://www.lotenal.gob.mx/ ) en Pronósticos (https://www.pronosticos.gob.mx/ ).
Tegenwoordig zijn deze sites echter niet langer toegankelijk voor IP-adressen buiten Mexico, en de verbinding met de site wordt nu verbroken, zoals hieronder wordt weergegeven.
‘Zo'n 80% van de organisaties betaalt losgeld’
Hoe ga je het gesprek aan met criminelen die net een hele organisatie stil hebben gelegd? Voor oud-rechercheur Pim Takkenberg is dit gesneden koek. “Vroeger stonden de criminelen aan mijn bureau. Nu spreek ik hen online.” Hij geeft ons een kijkje achter de schermen bij het cybersecuritybedrijf Northwave.
“Ik heb vandaag piketdienst", zegt Pim Takkenberg, general manager bij Northwave, voordat het interview start. “Dus het kan zijn dat we gestoord worden.”
En inderdaad, al binnen een half uur krijgt hij een bericht binnen. Hij typt dat zijn klant 2 bitcoins heeft overgemaakt. Dit is op dat moment zo'n 100.000 euro. Hij krijgt niet meteen een reactie terug. “Het is nog vroeg. Ook criminelen moeten nog even wakker worden." Lees verder
Waarom nog inbreken met een koevoet als jij de deur digitaal wagenwijd openzet?
Vraag aan een ‘gemiddelde Nederlander’ hoe een crimineel er uitziet en je krijgt antwoorden als: zwart gekleed, bivakmuts op, tas met inbrekersspullen en wellicht een onverzorgd baardje. Klopt dat beeld anno 2021 nog steeds?
Vraag diezelfde ‘gemiddelde Nederlander’ hoe hij zijn huis of bedrijf beveiligt. Het antwoord is meestal: “Er zitten goede sloten op mijn deuren, want als ik dat niet doe, nodigt het criminelen uit om eens binnen te komen kijken!”
Ondertussen lacht de crimineel in zijn vuistje als blijkt dat het wachtwoord om de bankzaken te regelen op de computer áchter die voordeur met een veilig slot, W3lk0m1 is. En welkom is deze hacker dan ook als hij vanuit zijn eigen veilige omgeving op enkele honderden kilometers afstand, een pizzapunt in één hand, rustig zijn gang kan gaan. Lees verder
Onderzoeksteam van SentinelOne ontdekt nieuwe threat-groep: Agrius
SentinelOne heeft een nieuwe groep ontdekt die het SentinelLabs-onderzoeksteam aanduidt als Agrius en die vanaf het begin van 2020 actief is in Israël. Agrius was aanvankelijk betrokken bij spionageactiviteiten, maar voerde daarna een reeks destructieve wiper-aanvallen uit op Israëlische doelen, waarna de activiteit werd vermomd als ransomware aanvallen.
27 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Sharafi Group Investments | XING LOCKER | 2021-05-27 |
| ALMA-SAS.FR | LV | 2021-05-27 |
| Gosiger | Sodinokibi (REvil) | 2021-05-27 |
| Balade Farms Food Industries / Grako | Prometheus | 2021-05-27 |
| Sullestad | Prometheus | 2021-05-27 |
| Archus | Prometheus | 2021-05-27 |
| Grako | Prometheus | 2021-05-27 |
| Comune di Porto Sant'Elpidio | Grief | 2021-05-27 |
| La Concha (MATERIAS PRIMAS LA CONCEPCIÓN S.A. de C.V.) | Grief | 2021-05-27 |
| Mobile County, Alabama | Grief | 2021-05-27 |
Qnap helpt slachtoffers Qlocker-ransomware uit de brand met QRescue
In april werd bekend dat er een nieuw soort ransomware rondgaat, dat specifiek Qnap-nas-apparaten in het vizier heeft. Er waren toen al zo'n 350 genoteerde slachtoffers. De Taiwanese nas-maker verklaart getroffen systemen nu te kunnen helpen.
Er is nu een handleiding voor getroffenen, waarin wordt beschreven hoe sommige gebruikers hun bestanden terug kunnen halen zonder de aanvallers te hoeven te betalen in Bitcoin. Er zijn een aantal voorwaarden. De versleutelde .7z-bestanden mogen niet zijn verwijderd of aangepast, de schijfruimte die gebruikt is door de originele bestanden zijn niet overgeschreven, je moet een extern opslagmedium hebben met anderhalf tot twee keer de opslagruimte voor de data die je wilt overzetten en je moet de Qnap-voorwaarden accepteren.
Je kunt hiervoor inloggen op je Qnap-account op de ondersteuningspagina. Linksboven staat de knop 'ondersteuning', waarna je kunt klikken op 'ondersteuningsticket maken'. Zelfstandigere nas-eigenaren kunnen ook zelf aan de gang gaan met behulp van de Qrescue-software. Daarvoor heeft Qnap een uitgebreide handleiding op zijn website staan.
Verzekeraars deinzen terug voor ransomware
Het begint nu in Frankrijk: de internationale verzekeraar AXA weigert in dat Europese land om nieuwe polissen uit te schrijven die ransomware dekken. AXA gaat niet langer Franse slachtoffers van ransomware vergoeden voor hun betaling van losgeld aan cybercriminelen. Andere verzekeraars zouden hun beleid heroverwegen, en ondertussen is AXA zelf geraakt door een ransomware-aanval.
De aanval op AXA is uitgevoerd op Aziatische vestigingen van het bedrijf. De IT-activiteiten in Thailand, Maleisië, Hong Kong en de Filipijnen zijn getroffen door gijzelingssoftware, hebben diverse media al gemeld. De daders claimen ook 3TB aan zeer gevoelige gegevens te hebben gestolen, en ze dreigen met DDoS-aanvallen op het netwerk van de verzekeraar.
Canada Post getroffen door datalek na ransomware-aanval
Canada Post heeft 44 van zijn grote commerciële klanten geïnformeerd dat een ransomware-aanval op een externe serviceprovider verzendgegevens voor hun klanten heeft blootgelegd. Canada Post is de belangrijkste postoperator in Canada en bedient 16,5 miljoen Canadese woon- en zakenadressen. Gisteren maakte Canada Post bekend dat een externe leverancier, Commport Communications genaamd, een ransomware-aanval heeft ondergaan waarbij bedreigingsactoren toegang kregen tot gegevens die op hun systemen waren opgeslagen. Bron
Avaddon: buit van minstens een miljoen dollar sinds begin mei
Deze ransomware wordt sinds maart steeds populairder bij cybercriminelen. Het aantal slachtoffers dat niet betaalt neemt toe. Maar de sporen van betalingen wijzen op een zorgwekkende situatie. Bron
26 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Webhelp's company - XtraSource | Ragnar_Locker | 2021-05-26 |
| Ballas Capital Limited | Avaddon | 2021-05-26 |
| Servilex Advocaten | Avaddon | 2021-05-26 |
| Johann Kupp GmbH & Co. KG | Avaddon | 2021-05-26 |
| Carlos Federspiel & Co SA | Avaddon | 2021-05-26 |
| Buckeye International Inc | Avaddon | 2021-05-26 |
| LE VOLCAN | Avaddon | 2021-05-26 |
| Syndex | Avaddon | 2021-05-26 |
| Inventec Appliances Corp | Avaddon | 2021-05-26 |
| Imperial Printing and Paper Box Mfg | Avaddon | 2021-05-26 |
| Accounts IQ | Avaddon | 2021-05-26 |
| Ludwig Pfeiffer | Ragnar_Locker | 2021-05-26 |
| Möbelstadt Sommerlad | Sodinokibi (REvil) | 2021-05-26 |
| Tulsa Cardiovascular Center of Excellence | Prometheus | 2021-05-26 |
25 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| Coastal Family Health Center | XING LOCKER | 2021-05-25 |
| SEVES GROUP SPA | Conti | 2021-05-25 |
| FUNBREAK | Conti | 2021-05-25 |
Audiobedrijf Bose informeert personeel over datalek na ransomware-aanval
Audiobedrijf Bose heeft huidig en voormalig personeel geïnformeerd over een datalek nadat het slachtoffer van een ransomware-aanval was geworden. Op 7 maart ontdekte Bose dat systemen van het bedrijf in de Verenigde Staten besmet waren geraakt met ransomware.
Het audioconcern was na de aanval eerst bezig met het herstellen van de getroffen systemen. Vervolgens werd een forensisch onderzoek ingesteld. Daaruit bleek eind april dat de aanvallers, voordat ze de ransomware uitrolden, mogelijk eerst interne hr-bestanden hebben buitgemaakt.
Deze bestanden bevatten namen, social-securitynummers en salarisgerelateerde gegevens van huidige en voormalige medewerkers van Bose. Getroffen medewerkers kunnen nu een jaar lang kosteloos gebruikmaken van een identiteitsbeschermingsdienst, zo blijkt uit een brief die Bose vorige week naar het personeel stuurde. Tevens heeft het bedrijf het datalek bij het Amerikaanse ministerie van Justitie van de staat New Hampshire gemeld (pdf). In deze melding staan ook verschillende maatregelen die Bose naar aanleiding van de aanval heeft genomen.
Zscaler Ransomware rapport belicht groei double-extortion aanvallen
Zscaler, speler in cloud-native beveiliging, kondigt zijn Ransomware Report aan, met onder andere een analyse van belangrijke ransomware-trends en -details over de meest effectieve ransomware-actoren, hun aanvalstactieken en de meest kwetsbare sectoren die hier doelwit van zijn. Om opkomende ransomware-varianten, hun oorsprong en informatie over hoe zij gestopt kunnen worden te identificeren, analyseerde het Zscaler ThreatLabZ-team meer dan 150 miljard platform-transacties en 36,5 miljard geblokkeerde aanvallen tussen november 2019 en januari 2021. Het rapport bespreekt daarnaast het groeiende risico van ‘double-extortion’-aanvallen. Deze aanvallen worden steeds vaker ingezet door cybercriminelen om disruptie te veroorzaken en data gegijzeld te houden.
24 mei
| Slachtoffer | Cybercriminele organisatie | Datum |
|---|---|---|
| STAM | Conti | 2021-05-24 |
| CEFCO | Marketo | 2021-05-24 |
| Axis Communications | Marketo | 2021-05-24 |
| TECHNICAL UNIVERSITY OF BERLIN | Conti | 2021-05-24 |
| T.I.S. Group | XING LOCKER | 2021-05-24 |
Zeppelin ransomware komt weer tot leven met bijgewerkte versies
De ontwikkelaars van de Zeppelin-ransomware hebben hun activiteiten hervat na een periode van relatieve stilte. Een recente variant van de malware kwam eind vorige maand beschikbaar op een hacker forum, waardoor cybercriminelen in de ransomware-business volledige onafhankelijkheid kregen. Het bedrijf Advanced Intel ( AdvIntel ) ontdekte dat de ontwikkelaars van Zeppelin-ransomware hun activiteiten in maart nieuw leven hebben ingeblazen.
Zeppelin Update
— Yelisey Boguslavskiy (@y_advintel) May 24, 2021
"They announced a major update for the software along with a new round of sales - in an intelligence report, #AdvIntel head of research Yelisey Boguslavskiy says that the current Zeppelin version comes with a price tag of $2,300"https://t.co/3GwpQ9rYr7
De ransomware-hackers van de koloniale pijplijn hadden een geheim wapen: cyberbeveiligingsbedrijven die zichzelf promoten
Door de tool te publiceren, waarschuwde Bitdefender DarkSide voor de fout, waarbij dezelfde digitale sleutels opnieuw werden gebruikt om meerdere slachtoffers te vergrendelen en ontgrendelen. De volgende dag verklaarde DarkSide dat het het probleem had verholpen en dat "nieuwe bedrijven niets te hopen hebben". "Speciale dank aan BitDefender voor het helpen oplossen van onze problemen", zei DarkSide.“Hier worden we nog beter van.”Bron
Met speciale dank aan: Anonieme tipgevers
Tips of verdachte activiteiten gezien? Meld het hier.
Wat is Ransomware?
Ransomware is software waarmee de computer wordt ‘gegijzeld’. Het slachtoffer kan niet meer bij zijn persoonlijke bestanden. Bij het opstarten van de computer verschijnt een melding dat een bedrag betaald moet worden om weer toegang te krijgen. Wil je meer weten over Ransomware, dan kun je hier verder lezen.
Meer weten over de historie van Ransomware klik dan hier.
Doxware
Doxware is een soort ransomware die persoonlijke gegevens aan het publiek dreigt vrij te geven als de gebruiker het losgeld niet betaalt.
De term komt van de hacker-term 'doxing' of het vrijgeven van vertrouwelijke informatie via internet. Doxware-aanvallen infecteren computers vaak via phishing-e-mails. Meer weten over doxware, dan kun je hier verder lezen.
Advies
- Installeer een goede virusscanner.
- Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browser aanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash en Java is uitschakelen aan te raden.
- Klik niet op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je, kijk dan op de Opgelicht website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals of stuur hem door naar digitaalgids@consumentenbond.nl voor uitsluitsel.
- Schakel geen macro's bij Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
- Ransomware is vaak een uitvoerbaar .exe-bestand, vermomd als ander soort bestand, bijvoorbeeld een pdf-document. Schakel bestandsextensies weergeven, zodat je de vermomming kunt doorzien.
- En tenslotte: back-ups maken! Dat is sowieso verstandig, maar bij ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens te voorkomen.
Wilt u weten hoe uw digitale veiligheid is? Doe dan hier de test en ontvang uw test score. (.../10)
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 03-2025
Reading in another language
Slachtofferanalyse en Trends van Week 02-2025
Reading in another language
Slachtofferanalyse en Trends van Week 01-2025
Reading in another language
Slachtofferanalyse en Trends van Week 52-2024
Reading in another language
Slachtofferanalyse en Trends van Week 51-2024
Reading in another language
Slachtofferanalyse en Trends van Week 50-2024
Reading in another language
Ransomware nieuws
De dag dat ransomware slim werd, hoe AI de spelregels verandert
Reading in another language
De stille pandemie van 2025, ransomware explodeert wereldwijd en blijft onzichtbaar
Reading in another language
LockBit gehackt: Het onmogelijke gebeurt en onthult een duistere wereld van ransomware
Reading in another language
Ransomware in 2025, een groeiende dreiging: trends en ontwikkelingen
Reading in another language
Double Extortion Ransomware: Een onderzoek naar de winst, inspanning en risico’s voor cybercriminelen
Reading in another language
Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware
Reading in another language
Alle het nieuws
Supply chain domino, $280 miljoen DeFi diefstal en AI als cyberwapen
De gevolgen van supply chain aanvallen worden steeds groter. Het AI platform Mercor verliest 4 terabyte aan data nadat een kwaadaardig Python pakket duizenden bedrijven trof. Starbucks ziet 10 gigabyte aan firmware en broncode lekken. En zelfs Anthropic lekt per ongeluk de broncode van hun AI tool Claude Code via een fout op NPM. Ondertussen stelen hackers gelinkt aan Noord-Korea $280 miljoen van een DeFi platform, geeft ShinyHunters Cisco een ultieme deadline, en maakt AI het voor criminelen mogelijk om ook kleine organisaties te targeten met business email compromise. In Nederland debatteert de Tweede Kamer over nazorgplicht voor datalekslachtoffers, terwijl in Belgie een stad zich vrijwillig laat hacken voor televisie.
Drie NL datalekken, Noord-Korea hackt Axios en AI vindt kwetsbaarheden
Op een dag melden drie Nederlandse organisaties een datalek, van vakantiegangers tot voetbalsupporters en gemeentebestanden. Noord-Koreaanse hackers blijken achter de aanval op het populaire JavaScript pakket Axios te zitten dat wekelijks 100 miljoen keer wordt gedownload. Ondertussen zetten criminelen gekaapte computers in als anonimiseringsnetwerk en misbruiken ze vertrouwde Windows tools om antivirussoftware uit te schakelen. En AI modellen ontdekken actief onbekende kwetsbaarheden in veelgebruikte software, wat fundamentele vragen oproept over de toekomst van beveiligingsonderzoek.
TeamPCP vergiftigt alles, Telegram zero-day en FBI gehackt
De supply chain campagne van TeamPCP breidt zich razendsnel uit en heeft inmiddels vijf grote softwareprojecten vergiftigd in anderhalve week. Een kritieke zero-day in Telegram maakt het mogelijk om apparaten over te nemen door simpelweg een sticker te ontvangen. De Iraanse hackersgroep Handala hackte de persoonlijke e-mail van de directeur van de FBI Kash Patel, en de Europese Commissie bevestigde een inbraak waarbij honderden gigabytes aan data zijn buitgemaakt.
NB411: Ajax gehackt, ministerie onder vuur en supply chain aanvallen escaleren
Deze week werd duidelijk hoe breed het dreigingslandschap inmiddels reikt. Bij Ajax werden de gegevens van 300.000 fans buitgemaakt en konden seizoenkaarten worden overgenomen, terwijl het Ministerie van Financiën een cyberaanval op beleidssystemen bevestigde. De groep TeamPCP escaleerde hun campagne door achtereenvolgens de Trivy vulnerability scanner en het LiteLLM pakket te compromitteren, waarmee miljoenen ontwikkelaars werden geraakt. Vier grote botnets met samen 3 miljoen geïnfecteerde apparaten werden ontmanteld door het Amerikaanse ministerie van Justitie. De DarkSword exploitkit voor iPhones verscheen openbaar op GitHub en voice phishing steeg naar de op een na grootste aanvalsvector. Dichter bij huis verloor een verkoper uit Nijkerk ruim 12.000 euro na een neplink via Marktplaats, de politie zoekt de verdachte. Lees alle details in de vier artikelen van deze week.
Verkoper verliest 12.000 euro na Marktplaats hack
Een 47-jarige man uit Nijkerk werd in september 2025 slachtoffer van een geraffineerde hack via Marktplaats. Een oplichter deed zich voor als geïnteresseerde koper, stuurde een neplink voor een zogenaamde ophaalservice en plunderde vervolgens de bankrekening van het slachtoffer. In totaal werd ruim 12.000 euro gestolen. De politie zoekt de man die met de gestolen bankgegevens pinde in Dordrecht.
Ajax gehackt, politie doelwit en iPhone exploits op straat
Nederland werd deze week hard geraakt. Bij AFC Ajax kregen aanvallers toegang tot gegevens van meer dan 300.000 fans, konden 42.000 seizoenkaarten stelen of deactiveren en stadionverboden inzien of opheffen. De politie meldde zelf getroffen te zijn door een phishingaanval. Ondertussen liggen exploits voor iPhones openbaar op GitHub en escaleren aanvallen op de software supply chain in hoog tempo.