Overzicht cyberaanvallen week 23-2021

Gepubliceerd op 14 juni 2021 om 18:18

Vleesverwerker JBS betaalde ransomwaregroep 11 miljoen dollar losgeld, hackers maken inbreuk op gaming gigant Electronic Arts en stelen broncode van games en nieuwe RaaS ontdekt op het darkweb genaamd HimalayA. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


13 juni

Slachtoffer Cybercriminele organisatie Datum
grupodiagnosticoaries.com LV 2021-06-13

Hackergroep REvil eist aanval op energiegigant Invenergy op

Volgens de Financial Times kwam Invenergy pas naar buiten met de informatie nadat REvil op zijn darkwebsite claimde dat het het bedrijf getroffen heeft. Invenergy stelt dat het 'onderzoek heeft ingesteld naar ongeautoriseerde activiteit op een deel van zijn informatiesystemen'. Daaruit zou blijken dat de operaties van het bedrijf niet geleden hebben onder de inbraak en dat niets versleuteld is. Invenergy zegt 'niet van plan te zijn om enig losgeld te betalen'. (zie 11 juni)


Poetin toont bereidheid tot uitlevering cybercriminelen aan VS

De Russische president Vladimir Poetin is bereid onder een aantal voorwaarden cybercriminelen over te dragen aan de Verenigde Staten. Hij vindt dat Washington dan ook cybercriminelen moet overdragen die volgens Moskou Russische belangen schaden.

In een interview met het Russische persbureau Interfax zei Poetin dat Rusland en de VS mogelijk een akkoord kunnen sluiten over uitlevering van cybercriminelen. Het Witte Huis meldde eerder dat president Joe Biden woensdag tijdens zijn ontmoeting met Poetin wil praten over hackers die zich specialiseren in digitale afpersing van internationale bedrijven. Zo zouden hackers die achter een grote cyberaanval op oliepijplijnenbedrijf Colonial Pipeline zaten afkomstig zijn uit Rusland of Oost-Europa.


12 juni

Slachtoffer Cybercriminele organisatie Datum
Obama's friend is a dirty pervert Sodinokibi (REvil) 2021-06-12
WestCongress Insurance Services LLC Sodinokibi (REvil) 2021-06-12

Cyberaanval op EA geslaagd door gestolen cookies Slack

Er zijn nieuwe details naar voren gekomen over hoe de cybercriminelen achter de recente EA-hack toegang hebben gekregen tot het bedrijfsnetwerk. In de cyberaanval werd 780 GB aan interne broncode voor Frostbite Engine, FIFA 21 en het matchmaking-systeem gestolen.

Volgens het rapport van Vice's Motherboard zouden de verantwoordelijke hackers in staat zijn in te breken in het netwerk van EA door één van zijn medewerkers te misleiden om een Slack login-token te geven.


Een forum op het DeepWeb heeft een post geplaatst waarin COVID-19-vaccinatiegegevens van 7,4 miljoen Italianen zijn verkocht


11 juni

Slachtoffer Cybercriminele organisatie Datum
Database of Covid19 Vaccination INDIA Dark Leak Market 2021-06-11
Elmich Prometheus 2021-06-11
Feedback Technology Corp. Sodinokibi (REvil) 2021-06-11
Hasgoe Prometheus 2021-06-11
Invenergy Sodinokibi (REvil) 2021-06-11
Oz Architecture, Inc. Grief 2021-06-11
Refuah Health Lorenz 2021-06-11
RockYou2021 Avrin Club 2021-06-11
Woodruff Institute Grief 2021-06-11

Avaddon ransomware cybercriminelen stoppen en geven decoderingssleutels vrij

De Avaddon ransomware-bende hebben de operatie stopgezet en de decoderingssleutels voor hun slachtoffers vrijgegeven. BleepingComputer ontving vanmorgen een anonieme tip die deed alsof hij van de FBI was en die een wachtwoord en een link naar een met een wachtwoord beveiligd ZIP-bestand bevatte. Dit bestand beweerde de "Decryption Keys Ransomware Avaddon" te zijn en bevatte de drie onderstaande bestanden.

Na het delen van de bestanden met Fabian Wosar  van Emsisoft en Michael Gillespie van Coveware , bevestigden ze dat de sleutels legitiem zijn.


McDonald's maakt datalek bekend na hack van klant-, medewerker informatie

McDonald's, de grootste fastfoodketen ter wereld, heeft een datalek bekendgemaakt nadat hackers hun systemen hadden gehackt en informatie hadden gestolen van klanten en werknemers uit de VS, Zuid-Korea en Taiwan. Als 's werelds wereldwijde foodservice-retailer bedient McDonald's dagelijks bijna honderden miljoenen klanten op meer dan 39.000 locaties in meer dan 100 landen, waaronder ongeveer 14.000 restaurants in de VS alleen. Bron


Cyberaanval op VW in Noord-Amerika

Onbekende cybercriminelen hebben persoonlijke informatie gestolen van ongeveer drie miljoen VW- en Audi-klanten in de Verenigde Staten en Canada. In sommige gevallen ging het zelfs om zeer gevoelige gegevens. Bron


Ransomware-aanval trof Teamsters in 2019 - maar ze weigerden te betalen

Volgens bronnen adviseerde de FBI de vakbond om het losgeld 'gewoon te betalen'. Vakbondsfunctionarissen kozen ervoor in plaats daarvan hun computernetwerk opnieuw op te bouwen.

Toen de Teamsters tijdens het Labor Day-weekend in 2019 werden getroffen door een ransomware-aanval, vroegen de hackers om een ​​betaling van zeven cijfers.

Maar in tegenstelling tot veel van de bedrijven die de afgelopen maanden werden getroffen door spraakmakende ransomware-aanvallen, weigerde de vakbond te betalen, ondanks het advies van de FBI om dit te doen, vertelden drie bronnen die bekend waren met de eerder niet-gemelde cyberaanval aan NBC News.


10 juni

Slachtoffer Cybercriminele organisatie Datum
Macpherson Kelley Lawyers Sodinokibi (REvil) 2021-06-10
Stride Tool Conti 2021-06-10
wbseedlings.com.au LV 2021-06-10

Overheid organiseert grootste cybercrisisoefening in Nederland ooit

Het Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum (NCSC) hebben deze week de grootste cybercrisisoefening in Nederland ooit georganiseerd. Aan cyberoefening ISIDOOR 2021 deden zo'n 96 organisaties uit de publieke en private sector mee, waaronder de vitale sector, banken en drinkwatervoorziening. Het ging bij elkaar om meer dan vijftienhonderd personen.

Tijdens de oefening werden verschillende soorten aanvallen gesimuleerd, waaronder phishingmails, ransomware-aanvallen en exploits. Zo werd er fictief gevoelige bedrijfsinformatie buitgemaakt en vitale processen verstoord. Het doel van ISIDOOR is het oefenen van diverse crisisprocedures en het uitwisselen van informatie in crisisomstandigheden.


Amerikaanse onderwijsinstelling vier dagen zonder lessen wegens cyberaanval

Een Amerikaanse onderwijsinstelling heeft wegens een cyberaanval vier dagen lang geen lessen aan studenten gegeven. Het Des Moines Area Community College (DMACC) meldde op donderdag 3 juni dat het bezig was om een "internetstoring" te verhelpen en alle online klassen voor de dag waren geannuleerd. De volgende dag meldde de school, die ruim 23.000 studenten telt, dat er sprake was van een beveiligingsincident.


Vleesverwerker JBS betaalde ransomwaregroep 11 miljoen dollar losgeld

De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel. Lees verder


Cybercriminelen worden steeds persoonlijker

Dat cybercriminelen in staat zijn om een hele organisatie stil te leggen, is alom bekend. Een sprekend voorbeeld is de aanval op het transportbedrijf Bakker Logistiek, waardoor het bedrijf 1,5 week vrijwel geen kaas meer kon leveren aan Albert Heijn. Lees verder


Foodservice leverancier Edward Don getroffen door ransomware aanval

Foodservice-leverancier Edward Don heeft te maken gehad met een ransomware-aanval waardoor het bedrijf delen van het netwerk heeft afgesloten om verspreiding van de aanval te voorkomen. Edward Don and Company is een van de grootste distributeurs van foodservice-apparatuur en -benodigdheden, zoals keukenbenodigdheden, barbenodigdheden, bestek en servies. Bron


Hackers maken inbreuk op gaming gigant Electronic Arts en stelen broncode van games

Gaming gigant Electronic Arts (EA) is gehackt en cybercriminelen beweren ongeveer 750 GB aan gegevens te hebben gestolen, inclusief game broncode en debug-tools. De aanvallers beweren toegang te hebben tot alle EA-services en vertellen klanten die $ 28 miljoen willen betalen voor de gestolen gegevens dat ze ook "volledige capaciteit krijgen om alle ea-services te exploiteren", zoals voor het eerst gemeld door Motherboard .


CD Projekt: Gegevens gestolen bij ransomware-aanval circuleren nu online

CD Projekt waarschuwt vandaag dat interne gegevens die tijdens hun ransomware-aanval in februari zijn gestolen, op internet circuleren. In een nieuwe verklaring die vandaag is gepubliceerd, zei CD Projekt dat ze hebben vernomen dat deze gestolen gegevens nu worden verspreid en mogelijk details van werknemers en aannemers bevatten.

Lees ook, Cybercriminelen verkopen broncode van o.a. 'The Witcher 3' op darkweb


9 juni

Slachtoffer Cybercriminele organisatie Datum
M&J Evans Construction Avaddon 2021-06-09
TPI Corporation Conti 2021-06-09
Lancaster Independent School District Grief 2021-06-09

Colonial Pipeline weet niet hoe vpn-wachtwoord gebruikt bij aanval werd gestolen

De Colonial Pipeline Company weet niet hoe het vpn-wachtwoord waardoor criminelen toegang tot het netwerk kregen en ransomware konden uitrollen is gestolen. Dat liet ceo Joseph Blount tijdens een hoorzitting voor een commissie van de Amerikaanse senaat weten. Vorige week werd al bekend dat de aanvallers via een gelekt vpn-wachtwoord waren binnengekomen.


Geheugenfabrikant ADATA getroffen door ransomware-aanval

ADATA, één van de grootste fabrikanten van computergeheugen een ssd-schijven ter wereld, is eind mei getroffen door een ransomware-aanval waardoor het zich genoodzaakt zag om systemen offline te halen. Criminelen achter de Ragnar Locker-ransomware wisten toegang tot systemen van de Taiwanese fabrikant te krijgen. In een bericht op hun eigen website claimen de criminelen dat ze anderhalve terabyte aan gevoelige data hebben buitgemaakt. Op 6 juni maakte Rangnar Locker dit bekend op het darkweb.


Spaanse ministerie van Arbeid en Sociale Economie getroffen door cyberaanval

Het Spaanse ministerie van Arbeid en Sociale Economie (MITES) werkt aan het herstel van de dienstverlening nadat het woensdag werd getroffen door een cyberaanval. MITES is een ministerieel departement met een jaarlijks budget van bijna 39 miljoen euro, dat belast is met de coördinatie van en het toezicht op het Spaanse werkgelegenheids-, sociale economie- en maatschappelijk verantwoord ondernemen. "Het ministerie van Arbeid en Sociale Economie is getroffen door een computeraanval", zei het mediabureau van MITES eerder vandaag. "De technische managers van het ministerie en het Nationaal Cryptologisch Centrum werken samen om de oorsprong te bepalen en de normaliteit zo snel mogelijk te herstellen."


Nieuwe Ryuk-imitator

Beveiliging Joes vond een .NET Ryuk-imitator die kan worden aangepast met een ransomware-builder.


8 juni

Slachtoffer Cybercriminele organisatie Datum
TOYO TANSO USA Payload.bin 2021-06-08
demarnefreres.com LV 2021-06-08
Arnoff Moving & Storage Sodinokibi (REvil) 2021-06-08
Image one Conti 2021-06-08

VS recupereert het grootste deel van de ransomware betaling van $ 4,4 miljoen van Colonial Pipeline

Het Amerikaanse ministerie van Justitie heeft het grootste deel van het losgeld van $ 4,4 miljoen dat door Colonial Pipeline aan de DarkSide-ransomware-operatie is betaald, teruggevorderd. In een persconferentie van het ministerie van Justitie heeft het Amerikaanse ministerie van Justitie vandaag aangekondigd dat het een cryptocurrency-portemonnee in beslag heeft genomen die wordt gebruikt door DarkSide-ransomware die het losgeld van Colonial Pipeline bevatte. In een beëdigde verklaring ingediend bij de Amerikaanse rechtbank voor het noordelijke district van Californië, stelt een FBI-agent dat wetshandhavers de controle hebben gekregen over een privésleutel van een DarkSide Bitcoin-portemonnee met het losgeld van de Colonial Pipeline.

Affidavit
PDF – 2,9 MB 326 downloads

Nieuwe RaaS ontdekt op het darkweb genaamd HimalayA


7 juni

Slachtoffer Cybercriminele organisatie Datum
Ingram Marine Group Marketo 2021-06-07
Labet Prometheus 2021-06-07
Otto Instrument Marketo 2021-06-07
Oritani - Valley Bank Avaddon 2021-06-07
PLURIPHARMA SRL Conti 2021-06-07
X-FAB Marketo 2021-06-07

Juridische afdeling van New York City getroffen door cyberaanval

Hackers hebben dit weekend het computersysteem van de New York City Law Department gehackt, wat de stad ertoe bracht de toegang tot het netwerk te beperken terwijl het de cyberaanval onderzoekt, zeiden functionarissen maandag.


Ransomware heeft een ander pijplijnbedrijf getroffen - en 70 GB aan gegevens gelekt

LineStar Integrity Services werd rond dezelfde tijd gehackt als Colonial Pipeline, maar radicale transparantie-activisten hebben de aanval aan het licht gebracht.


Amerikaanse fabrikant van vrachtwagens en militaire voertuigen Navistar onthult cyberaanval

Navistar International Corporation (Navistar), een in de VS gevestigde fabrikant van vrachtwagens en militaire voertuigen, zegt dat onbekende aanvallers gegevens van hun netwerk hebben gestolen na een cyberbeveiligingsincident dat op 20 mei 2021 werd ontdekt.


Anti-ransomware-biz ExaGrid 'betaalde $ 2,6 miljoen' aan ransomware criminelen Conti!

ExaGrid, leverancier van computeropslag, heeft geprobeerd een rapport te bagatelliseren waarbij ze bijna $ 3 miljoen hebben betaald aan cybercriminelen die hun bedrijfsnetwerk hadden geïnfecteerd met ransomware.

Maandag werd gemeld dat ExaGrid was geraakt door de Conti- ransomware bende en dat niet alleen 800 GB aan vertrouwelijke interne informatie - inclusief klant- en personeelsdossiers, contracten en broncode - was versleuteld, maar dat de boeven de gegevens ook hadden geëxfiltreerd en miljoenen dollars eisten om het geheim te houden.

In reactie op dit nieuws vertelde ExaGrid CEO en President Bill Andrews aan  Blocks & Files : “Zoals je weet kan iedereen tegenwoordig alles maken en schrijven wat ze willen en het publiceren. Daar kunnen we niet veel aan doen. ExaGrid is volledig operationeel en het is business as usual.”


Politie doet onderzoek naar 'ernstige cyberaanval' op school Brechin

De politie Schotland is een onderzoek gestart nadat persoonlijke gegevens van honderden Angus-leerlingen zijn vrijgegeven tijdens een cyberaanval. Examenresultaten en "leerlingen profielen" die leermoeilijkheden en geestelijke gezondheidsproblemen van Brechin High School-studenten beschrijven werden gelekt.


Fujifilm weigert om ransomware-vraag te betalen, herstelt netwerk vanaf back-ups

Het Japanse multinationale conglomeraat Fujifilm zei dat het weigerde losgeld te betalen aan de cyberbende die vorige week zijn netwerk in Japan aanviel en in plaats daarvan vertrouwt op back-ups om de operaties te herstellen.


Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »