Overzicht cyberaanvallen week 44/45-2021

Gepubliceerd op 15 november 2021 om 15:00

Gezochte Russische cybercrimineel aangehouden op Schiphol, malafide advertenties besmetten ongepatchte IE-gebruikers met ransomware en wetsvoorstel VS verbiedt losgeld betaling ransomware van boven 100.000 dollar. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 3.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 15 november 2021 : 3.813


Week overzicht

Slachtoffer Cybercriminelen Website Land
transaher.es LockBit transaher.es Spain
Architectural Systems Conti www.asi-mo.com USA
Tri Tech Surveying Conti www.tritechtx.com USA
Società Italiana degli Autori ed Editori Everest www.siae.it Italy
Cabinet Remy Le Bonnois Everest cabinet-lebonnois.com France
GPV FRANCE Grief www.gpvfrance.fr France
Visage Imaging BlackByte visageimaging.com USA
ASPECT STUDIOS ASIA PTY LTD BlackByte www.aspect-studios.com Australia
The Glass House BlackByte glasshouse.london UK
era.org.uk LockBit era.org.uk UK
mfitexas.com LockBit mfitexas.com USA
Tangent Communications Conti www.tangent.co.uk UK
iPS Conti www.ipspowerfulpeople.com Netherlands
Lineage Logistics Conti www.lineagelogistics.com USA
bsg-llp.com LockBit bsg-llp.com UK
barfieldinc.com LockBit barfieldinc.com USA
rintal.com LockBit rintal.com Italy
COMMUNAUTÉ DE COMMUNES PAYS D’APT LUBERON Conti www.paysapt-luberon.fr France
Holy Family RC & CE College Vice Society www.hfch.co.uk UK
Epstein Conti www.epsteinglobal.com USA
Star Island Resort Conti www.star-island.com USA
Alco Plastics Conti www.alcoplastics.com USA
redsrugby.com.au LV redsrugby.com.au Australia
Cogan Wire and Metal Products Ltd Conti www.cogan.com Canada
VISTRA Conti vistra.com Hong Kong
Orgill, Inc. Conti www.orgill.com USA
Johnson Memorial Health Hive johnsonmemorial.org USA
Axiсorp GMBH Conti www.axicorp.de Germany
Greymouse VA PTY Ltd Conti www.greymouse.com.au Australia
INTOO Habitat Conti www.intoo-habitat.com France
Moneyfacts Group Conti www.moneyfacts.co.uk UK
John Sisk and Son Conti www.johnsiskandson.com UK
City of Witten Vice Society www.witten.de Germany
Renault India CoomingProject www.renault.co.in India
cardigos.com LockBit cardigos.com Portugal
daviscrump.com LockBit daviscrump.com USA
ideaitaliausa.com LockBit ideaitaliausa.com USA
home.hktdc.com LockBit home.hktdc.com Hong Kong
comfacundi.com.co LockBit comfacundi.com.co Columbia
thinkcaspian.com LockBit thinkcaspian.com USA
Connect Housing AvosLocker connecthousing.org.uk UK
EQUITY Bank Conti www.equitybank.com USA
betsaisonparagot.fr LockBit betsaisonparagot.fr France
abvalve.com LockBit abvalve.com USA
breslowstarling.com LockBit breslowstarling.com USA
Electra Link Conti electralink.com USA
Hutt Conti www.hutt.com USA
gunninglafazia.com LockBit gunninglafazia.com USA
evolvedevelopment.com.au LockBit evolvedevelopment.com.au Australia
Jonas Software Conti jonassoftware.com Canada
The Xssentials Conti www.xssentials.com USA
ONTEC Automation Conti ontec-automation.de Germany
Wisconsin Homes Inc Home Builders AvosLocker www.wisconsinhomesinc.com USA
Eileen Fisher AvosLocker eileenfisher.com USA
Symonds And Sampson AvosLocker symondsandsampson.co.uk UK
Jet Industries Full Service Design And Construction Services AvosLocker jet.industries USA
TestOil Oil Analysis AvosLocker testoil.com USA
abiom.nl LockBit abiom.nl Netherlands
MPRL E&P Pysa mprlexp.com Myanmar
Capitol Beauty School Pysa hairschoolomaha.com USA
Bryant Industrial Services Pysa bryantindustrialservicesllc.com USA
Alternatives, Inc. Pysa alternativesyouth.org USA
Family Dental Health Pysa fdhonline.com USA
Community Brands Pysa communitybrands.com UK
Vision Source Pysa visionsource.com USA
AECOM Pysa aecom.com USA
Jalasoft Pysa jalasoft.com Bolivia
Astera Software Pysa astera.com USA
Thunderbird Adventist Academy Pysa thunderbirdacademy.org USA
Raj Transport Inc. Pysa rajtransportinc.com USA
Metaenergia Pysa metaenergia.it Italy
The Skinners Kent Academy Pysa skinnerskentacademy.org.uk UK
Kent County Council Pysa kent.gov.uk UK
Rusty Hardin & Associates Pysa rustyhardin.com USA
R.E. Pedrotti Co. Pysa repedrotti.com USA
UEMOA Pysa uemoa.int South Africa
Skatetown Pysa skatetown.biz USA
CHRYSO Pysa chryso.com France
itimCloud Pysa info.itimcloud.cloud USA
Bayonet Pysa bayonet-inc.com USA
Fly Arik Air Pysa arikair.com Nigeria
Las Vegas Cancer Center Pysa lvcancer.com USA
CarpenterProjects Pysa www.carpenterproject.org UK
Westmont Helena Pysa westmonthelena.com USA
Woodchurch High School Pysa woodchurchhigh.com UK
Emkay Food Sales Pysa emkayfoods.com USA
Premier Energy Pysa premierenergy.co.uk UK
Schmincke Künstlerfarben Pysa schmincke.de Germany
Stratford Land Pysa stratfordland.com USA
Dr Schneider Pysa schneidereye.com USA
Rockbridge and Bath County Pysa racsb.org USA
Nordic Pharma Pysa nordicpharma.com France
The Leschaco Group Pysa leschaco.com Germany
Eason Horticultural Resources Pysa ehrnet.com USA
ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ Pysa cut.ac.cy Cyprus
SWL Pysa swl.be Belgium
Lucton School Pysa luctonschool.org UK
Hickory Veterinary Hospital Pysa hickoryvet.com USA
Westvale Primary School Pysa westvaleprimary.co.uk UK
Property Damage Restoration Pysa louisville.pauldavis.com USA
Garner Dental Group Pysa lakegarnerdentalgroup.com USA
MVS Mailers Pysa mvsmailers.com USA
EHS Pysa ehscommerce.net USA
Comstock Johnson Architects Pysa cja-architects.com USA
La Bodega Pysa labodegameat.com USA
Gulfport MS Pysa oecsmartbusiness.com USA
Pitts Baptist Church Pysa pbcweb.org USA
Emi Jay Pysa emijay.com USA
Niemi Bil i Luleå Pysa niemibil.se Switzerland
Department of Justice and Constitutional Development Pysa justice.gov.za South Africa
cool-pak.com LockBit cool-pak.com USA
Marten Transport (MRTN NASDAQ) Hive marten.com USA
Florida Heart Associates Pysa flaheart.com USA
Family Dentist Newbury Pysa briarsdentalcentre.com UK
ProActive Works Pysa proactivework.com USA
Diputación de Segovia Pysa dipsegovia.es Spain
City of Bridgeport, WV Pysa bridgeportwv.com USA
Ferrara Pysa ferrarausa.com USA
Universitat Autònoma de Barcelona Pysa uab.cat Spain
ARGOS CONNECT ENERGY Conti www.argos.company Italy
City of Fulton police department Grief fultonpd.com USA
Enduro Pipeline Services Conti www.enduropls.com USA
W A RASIC CONSTRUCTION Conti www.warasic.com USA
Burkhart Conti burkhartdental.com USA
VERBIO Conti verbio.de Germany
Antal International Conti www.antal.com UK
TRINA SOLAR Conti www.trinasolar.com China
MEYER CORPORATION Conti meyerus.com Hong Kong
JEAN FLOC’H Conti www.jean-floch.com France
eberlesrl.com LockBit eberlesrl.com Italy
Ehud Leviathan Engineering Moses Staff e.ehudl.co.il Israel
David Engineers Moses Staff www.davideng.co.il Israel
H.G.M Engineering Moses Staff hgm-eng.co.il Israel
AHEC Tax Solutions Moses Staff ahec-tax.co.il Israel
V-ON Moses Staff Unknown Unknown
MATITIAHU BRUCHIM Law office Moses Staff www.bml-law.co.il Israel
DALLOYAU Conti www.dalloyau.fr France
Royale.co.uk LockBit royale.co.uk UK
chatrium.com LockBit chatrium.com Thailand
INDIAN CREEK Conti www.indiancreekfab.com USA
nurihiko.co.jp LockBit nurihiko.co.jp Japan
eban.com LockBit eban.com Hong Kong
cilentospa.it LockBit cilentospa.it Italy
HUDSON BROTHERS Construction Company Conti www.hudsonbros.com USA
XacBank Hive xacbank.mn Mongolia
autolaundrysystems.com LockBit autolaundrysystems.com USA
VIENNA INSURANCE GROUP Conti www.vig.com Austria
PORTALP Conti www.portalp.com France
Lakeway Publishers, Inc. Grief lakewaypublishers.com USA
MUTUAL MATERIALS Conti www.mutualmaterials.com USA
THE METRO GROUP, INC. Conti metrogroupinc.com USA
plumascounty.us LockBit plumascounty.us USA
Bochane Groep Conti www.bochane.nl Netherlands
Lantech Conti www.lantech.com USA
Pronghorn Controls Conti www.pronghorn.ca Canada
EZ Loader Conti www.ezloader.com USA
STAR REFRIGERATION LIMITED Conti www.star-ref.co.uk UK
lkma Conti www.lkma.com USA
waclighting.com LockBit waclighting.com USA
Agricorp Company Conti www.agricorp.com.ni Nicaragua
logistia.com LockBit logistia.com Australia
waveridernursery.com LockBit waveridernursery.com USA
fandi.fr LockBit fandi.fr France
cepimanagement.com LockBit cepimanagement.com France
arrowheadadvance.com LockBit arrowheadadvance.com USA
mym.com.pe LockBit mym.com.pe Peru
optimumdesign.com LockBit optimumdesign.com USA
rttax.com LockBit rttax.com Lithuania
interfor.com LockBit interfor.com Canada
mcmanislaw.com LockBit mcmanislaw.com USA
owenscarolina.com LockBit owenscarolina.com USA
trueblueenvironmental.com LockBit trueblueenvironmental.com USA
besttaxfiler.com LockBit besttaxfiler.com USA
Outdoor Venture Corporation (OVC) Suncrypt outdoorventure.com USA
M3 Inc. Conti www.m3as.com USA
Laurenty Conti laurenty.com Belgium
pacificstarnetwork.com.au LV pacificstarnetwork.com.au Australia
ARM CHINA Conti www.armchina.com China
groweeisen.com LockBit groweeisen.com USA
ENESCO.COM CL0P enesco.com USA
Regence Footwear BlackByte www.regence.ca Canada
The Npd Group Inc Grief npd.com USA
Midwest Packaging Solutions, Inc. Grief midwestpkg.com USA
Websites.co.in CoomingProject websites.co.in India
tornel.com.mx LockBit tornel.com.mx Mexico
socage Conti socage.it Italy
benefitexpress Conti www.benefitexpress.info USA
The Harrison Law Firm Marketo harrisonlawlouisiana.com USA
Valley Machine Co. Marketo valleymachineco.com USA
Varney Marketo varneyinc.com USA
Virginia Department of Health Marketo vdh.virginia.gov USA
Lootah BCGas Marketo lootahgas.com United Arab Emirates
Align Technology, Inc Marketo aligntech.com USA
dtstechnical.ca LockBit dtstechnical.ca Canada
wpdn.net LockBit wpdn.net USA
Blue Harbor Resort AvosLocker www.blueharborresort.com USA
Southland Holdings Conti www.southlandholdings.com USA
bdtaid.com LockBit bdtaid.com USA
morganskenderian.com LockBit morganskenderian.com USA
immodelaet.be LockBit immodelaet.be Belgium
MCH-GROUP.COM CL0P mch-group.com Switzerland
comune.gonzaga.mn.it LockBit comune.gonzaga.mn.it Italy
promo.parker.com LockBit promo.parker.com USA
gvalue.com LockBit gvalue.com USA
Finite Recruitment Conti www.finite.com.au Australia
Power Plumbing Conti powerlp.com USA
Power Plumbing Conti powerlp.com USA

Gezochte Russische cybercrimineel aangehouden op Schiphol

De Koninklijke Marechaussee heeft op 2 november een Russische zakenman aangehouden op Schiphol op verdenking van grootschalige hackaanvallen. De 29-jarige Denis Doebnikov zou behoren tot de Russische ransomwaregroep Ryuk. De arrestatie gebeurde op verzoek van de Amerikaanse FBI. Ryuk is volgens het aanhoudingsbevel dat door de Volkskrant werd ingezien verantwoordelijk voor 2400 digitale besmettingen met gijzelsofware in de afgelopen twee jaar. Dat zou de groep 87 miljoen euro aan losgeld hebben opgeleverd. Doebnikov zou losgeld hebben witgewassen. De Rus was eerder tijdens een vlucht naar Bolivia tegengehouden in Mexico, vermoedelijk op verzoek van de Amerikanen. Hij kreeg opdracht een ticket voor een vlucht naar Moskou te kopen met een tussenstop in Amsterdam. Daar werd hij door de marechaussee aangehouden. Het Openbaar Ministerie zal hem naar alle waarschijnlijkheid overdragen aan de Amerikanen.

De aanhouding wordt gezien als een grote vangst. Ryuk zou onder meer verantwoordelijk zijn voor ransomware-aanvallen vorig jaar op Amerikaanse ziekenhuizen. Rusland levert geen onderdanen uit, dat maakt het moeilijk om Russische cybercriminelen aan te pakken. Veel aanvallen met gijzelsoftware worden toegeschreven aan Russische hackersgroepen.

Volgens de Wall Street Journal heeft Doebnikov aan zijn werk voor Ryuk meer dan 350.000 euro overgehouden. Zijn advocaat zegt dat zijn cliënt onschuldig is.


Malafide advertenties besmetten ongepatchte IE-gebruikers met ransomware

Criminelen achter de Magniber-ransomware maken gebruik van malafide advertenties om ongepatchte gebruikers van Internet Explorer met ransomware te infecteren. De advertenties maken misbruik van twee kwetsbaarheden in Microsofts browser (CVE-2021-40444 en CVE-2021-26411) waarvoor op 9 maart en 14 september van dit jaar beveiligingsupdates verschenen. Alleen het te zien krijgen van de malafide advertenties met een kwetsbare IE-versie is voldoende om besmet te worden. Er is geen interactie van gebruikers vereist. In eerste instantie richtte de Magniber-ransomware zich op Zuid-Korea, maar nu zijn ook gebruikers in andere Aziatische landen het doelwit, meldt securitybedrijf Tencent Security. Volgens onderzoekers van het bedrijf zorgt het gebruik van advertenties ervoor dat zowel thuisgebruikers, overheden als bedrijven getroffen kunnen worden. Eenmaal actief versleutelt Magniber allerlei bestanden op het systeem en vraagt gebruikers losgeld voor de decryptiesleutel. Het bedrag ligt tussen de 1100 en 2200 dollar en wordt na vijf dagen verdubbeld.


Wetsvoorstel VS verbiedt losgeldbetaling ransomware van boven 100.000 dollar

Financiële instellingen in de Verenigde Staten die door ransomware worden getroffen mogen geen losgeld van meer dan 100.000 dollar betalen, tenzij de Amerikaanse president stelt dat dit in het belang van de nationale veiligheid is. Dat is één van de onderdelen van een wetsvoorstel dat het Amerikaanse congreslid Patrick McHenry heeft gepresenteerd. Met het wetsvoorstel wil McHenry de vitale financiële infrastructuur tegen ransomware beschermen. "Ransomwarebetalingen in de VS bedroegen sinds 2020 meer dan 1 miljard dollar", aldus het congreslid. "Een Russische ransomware-aanval dwong de Colonial Pipeline om de olievoorziening aan de oostelijke Verenigde Staten te sluiten voordat het bedrijf de hackers betaalde. Hoe verstorend deze hack ook was, het verbleekt in vergelijking met wat er zou gebeuren wanneer de vitale financiële infrastructuur van de Verenigde Staten offline gaat", aldus McHenry. Met de Ransomware and Financial Stability Act wil hij aanvallers die financiële instellingen bedreigen afschrikken, stoppen en opsporen. Zo worden instellingen verplicht om bij het Amerikaanse ministerie van Financiën te melden dat ze van plan zijn om losgeld bij een ransomware-aanval te betalen. Ook wordt het verboden voor getroffen organisaties om meer dan 100.000 dollar losgeld te betalen, tenzij opsporingsdiensten hier toestemming voor geven of de Amerikaanse president bepaalt dat dit in het belang van de nationale veiligheid is.

Mc Henry Introduces Bill To Protect Americas Critical Financial Infrastructure From Ransomware Attacks
PDF – 207,0 KB 322 downloads

VS neemt sancties tegen cryptobeurs Chatex voor faciliteren ransomwaregroepen

De Amerikaanse overheid heeft voor de tweede keer in korte tijd sancties genomen tegen een cryptobeurs voor het faciliteren van de transacties van ransomwaregroepen. Het gaat om cryptobeurs Chatex. Volgens het Amerikaanse ministerie van Financiën blijkt uit een analyse van de bekende transacties van Chatex dat meer dan de helft direct is te traceren naar illegale of zeer risicovolle activiteiten, zoals darknetmarktplaatsen en ransomware. Onlangs kondigde de VS al sancties aan tegen cryptobeurs Suex voor het faciliteren van ransomwaregroepen. Het ministerie van Financiën stelt dat Chatex directe banden met Suex heeft. Tevens zijn er sancties genomen tegen drie leveranciers van Chatex, namelijk Izibits, Chatextech en Hightrade Finance. "Deze drie bedrijven verzorgden de infrastructuur voor Chatex, waardoor het bedrijf kon functioneren", aldus het ministerie. "Gewetenloze cryptobeurzen zoals Chatex zijn essentieel voor de winstgevendheid van ransomware-activiteiten, met name door de opbrengsten voor criminelen te witwassen en uit te betalen", stellen de autoriteiten verder. Door de opgelegde sancties mogen Amerikanen geen zaken meer met de bedrijven doen en zijn alle tegoeden van de ondernemingen die onder Amerikaanse jurisdictie vallen bevroren.


MediaMarkt: geen klantgegevens gestolen bij aanval, ruilen weer mogelijk

Bij de aanval op elektronicaketen MediaMarkt zijn geen klantgegevens gestolen, zo heeft het bedrijf vandaag bekendgemaakt. Daarnaast is het weer mogelijk voor klanten om producten te ruilen en ter reparatie aan te bieden. Het afhalen van bestellingen is sinds de cyberaanval van afgelopen maandagochtend nog altijd niet mogelijk. Alle Europese vestigingen van het bedrijf werden door de aanval geraakt. "Het allerbelangrijkste zijn onze klanten en na uitgebreid onderzoek kunnen we zeggen dat er geen klantgegevens zijn gestolen’’, laat een woordvoerder van de MediaMarkt tegenover het AD weten. "De klantdata is volledig veilig en klanten hoeven zich dus geen zorgen te maken." Volgens verschillende media is de onderneming getroffen door een aanval met de Hive-ransomware en zouden de aanvallers miljoenen euro's losgeld eisen, maar dat wil de woordvoerder niet bevestigen. "We reageren niet op speculaties. We zijn met professionele partijen in Duitsland bezig om alles te onderzoeken. Wat de volgende stap is, is nu nog niet bekend. Voor ons waren de klantgegevens het allerbelangrijkste en we zijn blij dat die volledig veilig zijn."


Medische softwareleverancier Medatixx getroffen door ransomware-aanval

Medische softwareleverancier Medatixx is getroffen door een ransomware-aanval en heeft duizenden artsen opgeroepen om hun wachtwoorden te wijzigen. Medatixx levert software voor allerlei taken in artsenpraktijken, zoals het maken en beheren van online afspraken, videoconsultaties, vaccinatiemanagement, patiëntencommunicatie, facturatie en archivering. Volgens Medatixx maken meer dan 21.000 artsenpraktijken en 40.000 artsen gebruik van de oplossingen die het biedt. Vorige week werd de softwareleverancier getroffen door een ransomware-aanval waardoor belangrijke onderdelen van de interne systemen zijn versleuteld. Hierdoor is de beschikbaarheid en bedrijfsvoering van Medatixx ernstig ontregeld. Voor zover bekend heeft de aanval geen gevolgen voor de systemen en software van artsenpraktijken. Toch roept Medatixx artsen op om de wachtwoorden te resetten van hun praktijksoftware, Windowsaccounts en de software om verbinding met de telematica-infrastructuur te maken. Op dit moment is nog onduidelijk of de aanvallers ook gegevens bij Medatixx hebben buitgemaakt. Dit kan echter niet worden uitgesloten, zo stelt de onderneming. Het bedrijf zegt bezig te zijn met het herstellen van de beschikbaarheid van klantensupport. Verdere details over de aanval zijn op dit moment nog niet bekend.


Clop-ransomware maakt misbruik van kwetsbaarheid in SolarWinds-software

De bende achter de Clop-ransomware, die ook de Universiteit van Maastricht infecteerde, maakt nu misbruik van een bekende kwetsbaarheid in software van SolarWinds om bedrijven en organisaties aan te vallen. Voorheen verstuurde de groep vooral phishingmails voor het infecteren van organisaties. Dat meldt securitybedrijf NCC Group in een analyse. Het beveiligingslek dat de Clop-groep gebruikt is aanwezig in SolarWinds Serv-U. Via Serv-U kunnen organisaties een server opzetten om bestanden via FTP, FTPS en SFTP uit te wisselen. In juli waarschuwde SolarWinds voor een actief aangevallen zerodaylek waardoor remote code execution op de server mogelijk is. Volgens Microsoft, dat de zeroday-aanvallen ontdekte, was een vanuit China opererende groep aangeduid als DEV-0322 hiervoor verantwoordelijk. Nu beschikt ook de Clop-groep, aangeduid als TA505, over exploits om kwetsbare Serv-U ftp-servers aan te vallen. Zodra de server is gecompromitteerd proberen de aanvallers daarvandaan andere systemen in het netwerk aan te vallen. Volgens NCC Group waren er in juli nog zesduizend kwetsbare Serv-U ftp-servers vanaf het internet toegankelijk. Drie maanden nadat SolarWinds de beveiligingsupdate beschikbaar maakte gaat het nog altijd om 2800 ongepatchte machines die risico lopen om te worden aangevallen. Van deze kwetsbare servers bevinden zich er 29 in Nederland, aldus de onderzoekers.


Websites van de rechtspraak doelwit van DDoS-aanval

Door een DDoS-aanval zijn meerdere websites van de rechtspraak slecht bereikbaar. Burgers, advocaten en andere procespartijen kunnen problemen ondervinden bij het bezoeken van de website rechtspraak.nl, of inloggen op online portalen. Het is onbekend wanneer het probleem is opgelost. Dat meldt rechtspraak.nl op Twitter.


VS klaagt mannen aan voor wereldwijde aanvallen met REvil-ransomware

De Amerikaanse autoriteiten hebben twee mannen aangeklaagd voor wereldwijde aanvallen met de REvil-ransomware, waaronder de aanval via de software van Kaseya. Volgens de aanklacht is een 22-jarige Oekraïense man verantwoordelijk voor de Kaseya-aanval van eerder dit jaar en aanvallen op andere bedrijven. De andere verdachte is een 28-jarige Russische man. Van deze man is 6,1 miljoen dollar in beslag genomen. Het zou gaan om losgeld van ransomwareslachtoffers. De Oekraïense man werd op 8 oktober in Polen aangehouden. De Amerikaanse autoriteiten hebben een uitleveringsverzoek ingediend. Hij kan tot een gevangenisstraf van maximaal 115 jaar worden veroordeeld. De Russische man hangt een gevangenisstraf van maximaal 145 jaar boven het hoofd. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. Daarnaast raakte vleesverwerker JBS met de REvil-ransomware besmet en betaalde de aanvallers 11 miljoen dollar losgeld. In tegenstelling tot wat verschillende media beweren is de REvil-groep niet verantwoordelijk voor de aanval op de Colonial Pipeline van eerder dit jaar. Die werd uitgevoerd door een ransomwaregroep die zich DarkSide noemde. Bij het onderzoek naar de verdachten was ook de Nederlandse politie betrokken, alsmede BitDefender; McAfee en Microsoft.


Amerikanen identificeren kopstukken REvil ransomware bende

Een van de kopstukken achter de REvil ransomware bende is begin oktober al in Polen gearresteerd en is nu samen met nog een nog Revil voortvluchtige door de Amerikaanse autoriteiten aangeklaagd. Daarnaast is er voor 6 miljoen dollar aan losgeld teruggevonden. Bovendien leggen de VS ook sancties op aan cryptobeurzen die de bendeleden hielpen om geld wit te wassen. De 22-jarige Oekrainer Yaroslav Vasinskyi en de Russische Yevgeniy Polyanin zijn geïdentificeerd en aangeklaagd voor hun betrokkenheid bij de activiteiten van de REvil ransomware bende. De jonge Yaroslav Vasinskyi opereerde online onder de alias Rabotnik. Hij wordt gezien als een van de kopstukken achter de ernstige supply chain aanval op IT-beheerder Kaseya. Terwijl de Rus Polyanin nog op de vlucht is, werd Rabotnik begin oktober in Polen al opgepakt. De VS hebben Polen al om zijn uitlevering gevraagd. Wanted by the FBI poster dowloaden Yevgyeniy Igoryevich Polyanin.


"Elektronicaketen MediaMarkt getroffen door aanval met Hive-ransomware"

Elektronicaketen MediaMarkt is getroffen door een aanval met de Hive-ransomware, zo laten verschillende media vandaag weten. De aanvallers zouden 240 miljoen dollar losgeld eisen. Het bedrijf verklaarde gisteren slachtoffer te zijn van een cyberaanval waardoor het niet mogelijk is om bestellingen op te halen en producten te retourneren. MediaMarkt heeft zelf nog altijd geen details over de aanval gegeven. Op een Poolse website zijn foto's van een versleuteld systeem verschenen dat van de MediaMarkt zou zijn. Volgens de website eisen de aanvallers 240 miljoen dollar losgeld. Ook anonieme tipgevers melden dat het om een aanval met de Hive-ransomware gaat en noemt een zelfde losgeldbedrag. Bij de aanval zouden 3100 servers van de elektronicaketen zijn versleuteld. In augustus waarschuwde de FBI nog voor de Hive-ransomware. Om toegang tot organisaties te krijgen maken de aanvallers achter de ransomware gebruik van malafide e-mailbijlagen. Vervolgens wordt het remote desktop protocol (RDP) gebruikt om zich lateraal door het netwerk te bewegen, aldus de Amerikaanse opsporingsdienst. Nadat het netwerk is gecompromitteerd schakelen de aanvallers processen van antivirus- en back-upsoftware uit. Vervolgens wordt aanwezige data gestolen, waarna bestanden worden versleuteld. Via een live chat kunnen slachtoffers in contact met de aanvallers komen om hun bestanden terug te krijgen. Ook hebben slachtoffers laten weten dat ze door de aanvallers zijn gebeld.


VDL Groep maand na cyberaanval volledig hersteld dankzij back-ups

De VDL Groep is nagenoeg volledig hersteld van de cyberaanval waar het op 6 oktober door werd getroffen. Dankzij back-ups konden de 105 werkmaatschappijen van VDL veilige omgevingen creëren en de productie steeds verder herstellen, zo heeft het bedrijf vandaag via de eigen website bekendgemaakt. "Tijdens de monitoring van de VDL-netwerken zijn op woensdag 6 oktober, als gevolg van zaken buiten de eigen invloedsfeer, afwijkende activiteiten geconstateerd. Door adequate signalering is het draaiboek Cyberaanvallen in werking getreden, en zijn direct alle it-systemen van VDL ontkoppeld en van de buitenwereld geïsoleerd. Cruciaal daarbij is dat de back-upomgeving van voor het moment van de aanval is veiliggesteld", aldus de onderneming. "Vanuit veiligheidsoverwegingen zijn direct offline decentrale systemen opgebouwd en hebben we een start gemaakt met het opnieuw opbouwen van onze it omgeving. Vervolgens zijn data uit onze eigen, 'schone' én tijdig veilig gestelde back-ups teruggeplaatst. Decentraal maatwerk leveren voor onze 105 afzonderlijke werkmaatschappijen is een intensieve én tijdrovende klus", voegt president-directeur Willem van der Leegte toe. Om wat voor aanval het precies gaat wil VDL niet laten weten. Het onderzoek naar de achtergronden en de gevolgen van de cyberaanval op de systemen van het bedrijf zijn nog niet in zijn geheel afgerond. Waar de Universiteit van Maastricht en de gemeente Hof van Twente, beide getroffen door ransomware, uitgebreide informatie over de aanval openbaar maakten wil VDL dat niet doen. "Om toekomstige pogingen tot cyberaanvallen niet te vergroten, wordt geen nadere informatie verstrekt inzake de recente hack bij VDL Groep." >Door de aanval kwam de productie bij VDL zeker een week plat te liggen. Het concern had vorig jaar een omzet van 4,5 miljard euro, wat neerkomt op 87 miljoen euro per week. De verwachting is dan ook dat de schade in de miljoenen euro's zal lopen. De exacte kosten van de aanval zal VDL in het eerste kwartaal van 2022 vaststellen.


Verdachten achter verspreiden REvil-ransomware aangehouden in Roemenië

De Roemeense autoriteiten hebben twee personen aangehouden die worden verdacht van het verspreiden van de beruchte REvil-ransomware en het infecteren van duizenden computers. Daarmee komt het aantal partners van de REvil-groep die de afgelopen maanden zijn aangehouden op vijf. REvil opereert als een ransomware-as-a-service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De REvil-ransomware kwam deze zomer groot in het nieuws toen het wereldwijd door een beveiligingslek in de software van Kaseya werd verspreid. De in Roemenië opgepakte mannen zouden voor vijfduizend infecties verantwoordelijk zijn en 500.000 euro losgeld hebben ontvangen. Eerder wisten autoriteiten in Europa een vermeende partner van de REvil-groep aan te houden. In Zuid-Korea werden twee "affiliates" opgepakt die bij de REvil-ransomware betrokken zouden zijn geweest, alsmede iemand die van betrokkenheid bij de Gandcrab-ransomware wordt verdacht. Vorige week werd een andere vermeende GandCrab-partner in Koeweit aangehouden. GandCrab wordt gezien als de voorganger van de REvil-ransomware en zou verantwoordelijk zijn voor honderdduizenden infecties wereldwijd. Net als REvil werd ook GandCrab als RaaS aangeboden. In 2019 kondigden de GandCrab-ontwikkelaars hun afscheid aan. Sommige van de GandCrab-partners zouden vervolgens naar REvil zijn overgestapt. Bij de operatie naar REvil en GandCrab zijn ook de Nederlandse autoriteiten betrokken geweest, zo meldt Europol.


Europese vestigingen MediaMarkt getroffen door cyberaanval

Europese vestigingen van elektronicaketen MediaMarkt in onder andere België, Duitsland en Nederland zijn getroffen door een cyberaanval, waardoor het niet mogelijk is om bestellingen op te halen en producten te retourneren. Volgens berichten op Twitter gaat het om een aanval met ransomware waarbij 3100 servers zijn versleuteld. RTL Nieuws meldt op basis van interne communicatie dat personeel is gevraagd om computers in de winkels niet meer te gebruiken. Ook is verzocht om de internetkabels uit kassa's te halen en systemen niet opnieuw op te starten. Bronnen laten aan RTL weten dat "alles is versleuteld". Een woordvoerder van de elektronicaketen verklaart tegenover het AD dat het bedrijf in heel Europa door de aanval is getroffen. "Onze winkels zijn op dit moment gewoon open. We onderzoeken wat er aan de hand is met onze systemen", zegt Janick De Saedeleer van MediaMarkt België tegenover De Tijd. Of er gevolgen zijn voor webshop kon de woordvoerster niet zeggen. Het Belgische persbureau Belga meldt dat alle vestigingen van MediaMarkt zijn geraakt. Verdere details zijn op dit moment niet bekend.


Interpol leidde internationale operatie naar Cl0p-ransomwaregroep

nterpol heeft een internationale operatie geleid naar de Cl0p-ransomwaregroep wat in juni tot de aanhouding van zes verdachten in de Oekraïne leidde, zo laat de internationale politieorganisatie weten. De Universiteit van Maastricht was één van de instanties die door de Cl0p-ransomware werd getroffen. Na aanvallen op Zuid-Koreaanse bedrijven en Amerikaanse academische instellingen werd er een dertig maanden durend, wereldwijd politieonderzoek naar de Cl0p-groep gestart, aldus Interpol. Operation Cyclone resulteerde in juni in de aanhouding van zes mensen die geld voor de Cl0p-groep zouden hebben witgewassen. Zo zouden ze 500 miljoen dollar gelinkt aan ransomware-activiteiten hebben verwerkt. De verdachten dreigden ook met het publiceren van gestolen data als slachtoffers het losgeld niet betaalden. Tijdens de operatie werden door de Oekraïense politie twintig woningen, bedrijven en voertuigen doorzocht en computers en 185.000 dollar in beslag genomen. De zes verdachten kunnen indien schuldig bevonden tot een gevangenisstraf van maximaal acht jaar worden veroordeeld.


VS looft 10 miljoen dollar uit voor informatie over ransomwaregroep DarkSide

De Amerikaanse autoriteiten hebben 10 miljoen dollar uitgeloofd voor informatie die leidt tot de identificatie of locatie van de personen achter de ransomwaregroep DarkSide. Deze groep was verantwoordelijk voor de ransomware-aanval op de Colonial Pipeline in mei van dit jaar, waardoor de brandstofvoorziening in de VS verstoord raakte. Naast de beloning van 10 miljoen dollar looft het Amerikaanse ministerie van Buitenlandse Zaken ook een beloning van 5 miljoen dollar uit voor informatie die leidt tot de aanhouding en/of veroordeling van personen, in welk land dan ook, die bij aanvallen van de DarkSide-groep betrokken waren. "In het uitloven van deze beloning laten de Verenigde Staten zijn inzet zien in het beschermen van ransomwareslachtoffers wereldwijd tegen cybercriminelen", aldus het ministerie. Het is niet voor het eerst dat de VS hoge beloningen uitlooft voor de aanhouding van vermeende cybercriminelen. Eerder ging het om bedragen van 3 miljoen dollar en 5 miljoen dollar. Deze beloningen hebben voor zover bekend nooit iets opgeleverd. Tips kunnen via het formulier gemeld worden.

Reward Offers For Information To Bring Dark Side Ransomware Variant Co
PDF – 112,6 KB 355 downloads
Fbi Darkside Wanted Poster
PDF – 144,1 KB 373 downloads

Britse Labour Party meldt datalek na ransomware-aanval op derde partij

De Britse Labour Party heeft leden, donateurs en andere personen die met de politieke partij data hebben gedeeld gewaarschuwd voor een datalek. In de waarschuwing meldt Labour dat het op 29 oktober werd ingelicht over een ransomware-aanval op een derde partij, waarbij een "grote hoeveelheid" partijdata op de systemen van deze derde partij ontoegankelijk werd gemaakt. Om welke derde partij het precies gaat laat Labour niet weten. De eigen systemen van Labour zouden niet zijn gecompromitteerd. Na te zijn ingelicht over het incident schakelde de politieke partij het Britse National Crime Agency (NCA) en het National Cyber Security Centre (NCSC) in en deed het melding bij de Britse privacytoezichthouder ICO. Op dit moment vindt er onderzoek naar de volledige omvang van het incident plaats. Voor zover nu bekend gaat het om gegevens die leden, geregistreerde en gelieerde supporters en andere personen met Labour deelden. Deze personen worden gewaarschuwd om alert te zijn op verdachte activiteit.


FBI: bedrijven betrokken bij overnames doelwit ransomwaregroepen

Bedrijven die betrokken zijn bij fusies en overnames, of met andere belangrijke financiële gebeurtenissen te maken hebben, zijn het doelwit van ransomwaregroepen, zo waarschuwt de FBI. De opsporingsdienst is bekend met verschillende incidenten waarbij ondernemingen werden getroffen en de aanvallers dreigden om beursgevoelige informatie te publiceren tenzij er losgeld werd betaald. Zodra aanvallers toegang tot een netwerk hebben gekregen wordt er eerst gezocht naar niet-publieke informatie waarmee het slachtoffer is af te persen. Volgens de FBI richten ransomwaregroepen bewust hun pijlen op organisaties die met fusies en overnames te maken krijgen, of aankondigingen gaan doen die invloed op de beurswaarde hebben, of besluiten hun tijdslijn voor het afpersen op basis hiervan aan te passen. Vorig jaar werden zeker drie beursgenoteerde bedrijven betrokken bij fusies en overnames tijdens hun onderhandelingen getroffen door ransomware. Ook wijst de FBI naar een analyse van de Pyxie RAT die vaak voorafgaat aan de installatie van ransomware. Deze malware zoek actief naar financiële documenten met bijvoorbeeld het woord nasdaq erin en persberichten. Om ransomware-infecties te komen geeft de FBI verschillende adviezen, zoals het maken van offline back-ups, installeren van antivirussoftware, het gebruik van tweefactorauthenticatie en het vermijden van openbare wifi-netwerken. Het niet gebruiken van publieke wifi is een advies dat in de ransomwarecontext niet vaak wordt gegeven. (pdf).

211101
PDF – 1,1 MB 374 downloads

Canadese ziekenhuizen annuleren afspraken wegens mogelijke cyberaanval

Ziekenhuizen in de Canadese provincie Newfoundland en Labrador hebben meerdere afspraken wegens een "mogelijke cyberaanval" moeten annuleren. Ook is de gezondheidszorg in de regio wegens de verstoring teruggevallen op pen en papier. Bronnen laten tegenover CBC News weten dat het om een ransomware-aanval gaat, maar de autoriteiten willen dit niet bevestigen. Volgens John Haggie, minister van Volksgezondheid van de provincie, is de gezondheidszorg slachtoffer van een mogelijke cyberaanval door een derde partij. Daarbij is "het brein van het datacenter" getroffen dat de systemen van het gezondheidszorgsysteem in de provincie aanstuurt. De impact van de aanval, die afgelopen zaterdagmorgen plaatsvond, wordt nog onderzocht maar heeft voor allerlei zorgdiensten gevolgen, zo blijkt uit een overzicht van de provinciale overheid. Doordat allerlei systemen onbeschikbaar zijn is de zorg in de regio teruggevallen op pen en papier. Veel administratieve taken die normaliter via systemen worden verwerkt moet zorgpersoneel nu opschrijven. "Nagenoeg al onze systemen bij Eastern Health zijn als gevolg van deze storing onbeschikbaar", zegt Eastern Health ceo David Diamond tegenover The Star. "We kunnen mensen niet elektronisch registreren. Onze e-mailsystemen zijn offline. We kunnen geen scanafbeeldingen of laboratoriumresultaten elektronisch bekijken en we zijn in een noodtoestand gegaan." Tevens zijn alle niet-spoedeisende procedures gisteren en vandaag geannuleerd en naar verwachting zal dit ook morgen nog het geval zijn. Ook chemotherapiebehandelingen, laboratoriumonderzoeken en scanafspraken zijn afgezegd. Het online systeem waar patiënten hun testresultaten kunnen opvragen is ook door de storing getroffen. Wanneer de systemen zijn hersteld is op dit moment nog onbekend.


Systemen openbaar vervoer Toronto getroffen door ransomware-aanval

Systemen van de Toronto Transit Commission (TTC), verantwoordelijk voor het openbaar vervoer in de Canadese stad, zijn getroffen door een ransomware-aanval. Daardoor zijn verschillende diensten waar reizigers gebruik van maken onbeschikbaar. Het gaat onder andere om het online portaal voor het maken van reserveringen, de apps voor het plannen van reizen, informatieborden op perrons en andere communicatiesystemen. Ook het Vision System, dat voor de communicatie met voertuigbestuurders wordt gebruikt, is offline. In de tussentijd gebruikt de TTC radio als back-up om met personeel te communiceren. Chauffeurs zijn ook gevraagd om de eigen mobiele telefoons te gebruiken, meldt de Toronto Sun. Verder heeft de transportautoriteit geen beschikking over e-mail en is het interne netwerk uitgeschakeld. De aanval werd vorige week donderdagnacht na verdachte netwerkactiviteit ontdekt. Er zouden zich geen grote ov-verstoringen hebben voorgedaan, maar het is nog onbekend of er ook gegevens van reizigers en medewerkers zijn gestolen, laat CTV News weten. Verdere details over hoe de aanval kon plaatsvinden zijn niet gegeven, maar de TTC laat weten dat het systemen gaat upgraden om herhaling te voorkomen.


Politie waarschuwde besmette bedrijven voor aankomende ransomware-aanval

Het Team High Tech Crime (THTC) van de politie en het Nationaal Cyber Security Centrum (NCSC) hebben bedrijven wereldwijd gewaarschuwd dat hun netwerk met nog niet geactiveerde ransomware besmet was. Hierdoor konden deze ondernemingen maatregelen nemen om de schade te beperken. Het waarschuwen van potentiële slachtoffers was onderdeel van het onderzoek naar een ransomwarebende die verantwoordelijk wordt gehouden voor meer dan achttienhonderd slachtoffers in meer dan zeventig landen. Onder andere de Noorse aluminiumproducent Hydro werd slachtoffer van de bende, zo meldt de Noorse politie. Het bedrijf besloot geen losgeld te betalen, maar de aanval kostte Hydro een bedrag van tussen de 57 en 67 miljoen euro. Het onderzoek van de Nederlandse autoriteiten naar de bende startte in 2019, nadat een multinational uit Rotterdam aangifte van een ransomware-aanval had gedaan. Het THTC wist de identiteit van de verdachte achter de ransomware-aanval op de Rotterdamse multinational te achterhalen, alsmede honderden potentiële slachtoffers wereldwijd. Het ging om multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. "Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen", zo laat de politie weten. Volgens het NCSC is door de slachtoffernotificatie in veel gevallen de uitrol van ransomware, uitval en heel veel schade bij een groot aantal slachtoffers voorkomen. Bij de operatie, waar vrijdag al over werd bericht, wisten de autoriteiten twaalf verdachten op te sporen die worden verdacht van het gebruik van de LockerGoga-, MegaCortex- en Dharma-ransomware. "Het lukt criminelen achter ransomware-aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware-aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid.


Dekker: softwarestoring bij Justis niet veroorzaakt door ransomware

De softwarestoring bij de dienst Justis van het ministerie van Justitie en Veiligheid waardoor het niet mogelijk is om VOG’s (Verklaring Omtrent het Gedrag) en GVA’s (Gedragsverklaring Aanbesteden) aan te vragen is niet veroorzaakt door ransomware of andere malware, zo heeft demissionair minister Dekker voor Rechtsbescherming laten weten. De storing wordt inmiddels stap voor stap opgelost, meldt Justis zelf.

Storing Systemen Justis
PDF – 131,7 KB 299 downloads

FBI: ransomwaregroep zet slachtoffers met ddos-aanvallen verder onder druk

Een groep criminelen die achter de Hello Kitty/FiveHands-ransomware zit maakt gebruik van ddos-aanvallen om slachtoffers verder onder druk te zetten, zo stelt de FBI (pdf). De aanvallers weten via gecompromitteerde inloggegevens en bekende kwetsbaarheden in producten van SonicWall toegang tot bedrijven te krijgen. Vervolgens worden publiek beschikbare penetratietesttools, zoals Cobalt Strike, Mandiants Commando of PowerShell Empire, gebruikt om zich door het netwerk te bewegen en verdere rechten te krijgen. Via een programma als rclone stelen de aanvallers aanwezige data, waarna gegevens op het netwerk door de ransomware worden versleuteld. Wanneer slachtoffers niet snel genoeg reageren of het gevraagde losgeld niet betalen voeren de aanvallers een ddos-aanval uit op de website van het aangevallen bedrijf. Ook dreigen de aanvallers gestolen data openbaar te maken of aan een datahandelaar door te verkopen. In de nu uitgegeven waarschuwing geeft de FBI verschillende standaard beveiligingsadviezen voor het voorkomen van ransomware-infecties en het omgaan met besmette systemen. Er wordt echter ook aangeraden om berichtgeving over gelekte vpn-wachtwoorden in de gaten te houden en wanneer van toepassing die te veranderen.

211029
PDF – 1,4 MB 389 downloads

Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'