Overzicht cyberaanvallen week 49-2021

Gepubliceerd op 13 december 2021 om 15:00

Volvo raakt geheime data kwijt bij cyberaanval, 'ALPHV BlackCat' de meest geavanceerde ransomware van dit jaar en SP pleit voor invoering van meldplicht bij ransomware-aanvallen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 13 december 2021 : 4.079


Week overzicht

Slachtoffer Cybercriminelen Website Land
tt-network.dk LV tt-network.dk Denmark
hsisensing.com LockBit hsisensing.com USA
Social Enterprise (SEC) 54BB47H (Sabbath) www.socialenterprise.ca Canada
Interiorscapes AvosLocker interiorscapes.com USA
Shoring Engineers Grief shoringengineers.com USA
KOBE BUSSAN LV www.kobebussan.co.jp Japan
masselin.com LockBit masselin.com France
rbauction.com LockBit rbauction.com Canada
Medical Pharmacies Snatch www.medicalpharmacies.com Canada
Saksoft Ragnar_Locker www.saksoft.com India
UMW Group RansomEXX www.umw.com.my Malaysia
Trigyn Technologies Ltd 54BB47H (Sabbath) www.trigyn.com India
Powell Transportation Hive powelltransportation.com USA
tamerholding.com LockBit tamerholding.com Lebanon
robroelaw.com LockBit robroelaw.com USA
Strataworldwide.com BlackCat (ALPHV) strataworldwide.com USA
Jeffmoss Everest www.jeffmoss.com USA
Ktmtriallaw Everest www.ktmtriallaw.com USA
Quanticate BlackByte www.quanticate.com UK
Unique Home Solutions BlackByte uniquehomesolutions.org USA
P&R ENTERPRISES BlackByte www.p-and-r.com USA
benlineagencies.com LV benlineagencies.com Singapore
pacifichills.com LockBit pacifichills.com Panama
COMUNE DI TORINO Conti www.comune.torino.it Italy
Zepter Quantum www.zepter.com Switzerland
PRIDE Community Services Quantum loganpride.com USA
Digital Workplace Services & Solutions Quantum www.isec7.com Germany
The Jewelry Exchange is the Nations #1 Diamond Store. Quantum www.jewelryexchange.com USA
ENPRECIS.COM CL0P enprecis.com USA
g1group.co.uk LockBit g1group.co.uk UK
proximitysystems.com LockBit proximitysystems.com USA
tlpterminal.com.my LV tlpterminal.com.my Malaysia
se.com LockBit se.com France
volkswind.de LockBit volkswind.de Germany
ducab.com LockBit ducab.com United Arab Emirates
continuumenergy.in LockBit continuumenergy.in India
mswood.ba LockBit mswood.ba Bosnia and Herzegovina
bsm.upf.edu LockBit bsm.upf.edu Spain
kssenterprises.com LockBit kssenterprises.com USA
clubpilates.com LockBit clubpilates.com USA
northstarice.com LockBit northstarice.com USA
inperium.org LockBit inperium.org USA
apexbrasil.com.br LockBit apexbrasil.com.br Brazil
Kellersupply BlackCat (ALPHV) kellersupply.com USA
KMG Prestige, Inc. ROOK www.kmgprestige.com USA
NewWave Technologies Inc Haron www.newwavetech.com USA
Unexca.edu.ve Bl@ckt0r unexca.edu.ve Venezuela
Altrux Medical Snatch altrux.com USA
fr.shop-orchestra.com LockBit fr.shop-orchestra.com France
Fittingbox Snatch www.fittingbox.com France
hp.icon-institute.de LockBit hp.icon-institute.de Germany
MTMRECOGNITION.COM CL0P mtmrecognition.com USA
Hawthorn The Community Pub Co. Vice Society www.hawthornleisure.com UK
Pontificia Universidad Javeriana Vice Society www.javeriana.edu.co Colombia
Oroian Guest and Little PC AvosLocker txcpa.com USA
Mechanical Degrees AvosLocker mechanicaldegrees.com USA
Saand Everest saand.ca Canada
Bemis Associates BlackByte www.bemisworldwide.com USA
Unita Locale Socio Hive www.ulss7.it Italy
CHR Solutions Pysa www.chrsolutions.com USA
prairiesedgecasino.com LockBit prairiesedgecasino.com USA
vestas.com LockBit vestas.com Denmark
kerrylogistics.com LockBit kerrylogistics.com Hong Kong
ytlcement.com LockBit ytlcement.com Malaysia
caudillseed.com LockBit caudillseed.com USA
Clementoni Conti www.clementoni.com Italy
Ruwac RansomEXX www.ruwac.de Germany
MST LAWYERS Conti www.mst.com.au Australia
jpbdselangor.gov.my LV jpbdselangor.gov.my Malaysia

1,6 miljoen WordPress-sites doelwit van grootschalige aanval via plug-ins

Meer dan 1,6 miljoen WordPress-sites zijn het doelwit van een grootschalige aanval waarbij aanvallers de websites via kwetsbaarheden in verschillende plug-ins en themes proberen over te nemen. Het gaat om de plug-ins Kiwi Social Share, Pinterest Automatic, WordPress Automatic en PublishPress Capabilitie, waarvoor sinds respectievelijk 12 november 2018, 23 augustus 2021 en 6 december 2021 beveiligingsupdates beschikbaar zijn. Tevens worden vijftien themes aangevallen die van het Epsilon Framework gebruikmaken. Voor veertien van deze themes zijn updates beschikbaar. Alleen in het geval van het NatureMag Lite-theme ontbreekt een update en wordt beheerders aangeraden het theme te verwijderen. Door middel van de kwetsbaarheden schakelen de aanvallers in dat gebruikers zich op de site kunnen registreren en standaard de rol van beheerder krijgen. "Dit maakt het mogelijk voor aanvallers om zich op elke website als beheerder te registreren en effectief de site over te nemen", aldus Chloe Chamberland van Wordfence, het securitybedrijf dat de aanvallen waarnam. Aangezien het hier alleen gaat om WordPress-sites die Wordfence monitort, ligt het werkelijke aantal aangevallen websites mogelijk hoger. Beheerders en webmasters die van de aangevallen themes en plug-ins gebruikmaken wordt aangeraden om de laatste versie te installeren. Daarnaast wordt geadviseerd om te controleren of er geen ongeautoriseerde gebruikersaccounts zijn


Volvo raakt geheime data kwijt bij cyberaanval

Volvo is het slachtoffer geworden van een cyberaanval, meldt de autofabrikant. Daarbij hebben de hackers geheime ontwikkelingsdata buit weten te maken. Data van de auto's van klanten is volgens Volvo buiten schot gebleven. Uit het persbericht van Volvo blijkt dat 'een derde partij' binnen is gedrongen in één van de databases van de autofabrikant. Wie dat is, meldt Volvo niet, maar wel laat het bedrijf weten dat er een 'beperkte hoeveelheid onderzoeks- en ontwikkelingsdata is gestolen'. Verder houdt Volvo het vaag en zegt het merk dat de cyberaanval 'mogelijk een impact heeft op de werkwijze binnen het bedrijf', maar wat voor impact dat dan is, wil Volvo eveneens niet kwijt. De autofabrikant zegt naar aanleiding van de cyberaanval de nodige stappen te hebben ondernomen om ongewilde toegang tot zijn intellectuele eigendom tegen te gaan. Volvo voert momenteel zelf en in samenwerking met een derde partij een onderzoek uit naar de cyberaanval. Persoonlijke data van klanten en data van hun auto's zijn volgens Volvo niet in gevaar geweest. Sindsdien heeft Snatch ook 35,9 MB gelekt van wat ze beweren documenten te zijn die tijdens de inbraak van de servers van Volvo zijn gestolen.


Data tienduizenden Australische ambtenaren gestolen bij ransomware-aanval

Bij een ransomware-aanval op een salarisverwerker voor de Australische overheid zijn de privégegevens van tienduizenden ambtenaren gestolen en gepubliceerd, waaronder mogelijk de premier van de deelstaat Zuid-Australië. Salarisverwerker Frontier Software is één van de bedrijven die de afgelopen weken slachtoffer werd van de Conti-ransomware, zo stelt het Australische Cyber Security Centre. Op 16 november meldde Frontier Software dat het was getroffen door een "cyberincident" waardoor het beperkte toegang tot systemen en data had en de dienstverlening aan klanten verstoord was geraakt. Gisteren liet het softwarebedrijf weten dat bij de aanval gegevens van klanten zijn gestolen. Het bedrijf laat echter niet weten dat het om een ransomware-aanval gaat. Dat doet de regering van de deelstaat Zuid-Australië wel. Volgens een verklaring zijn de gegevens van 38.000 ambtenaren buitgemaakt en kan dit aantal nog oplopen tot 80.000. Het gaat om namen, geboortedatum, belastingnummer, adresgegevens, rekeninggegevens, belastinginformatie, salaris, belastingvoordelen en andere data. Ambtenaren wordt dringend opgeroepen om meteen actie te ondernemen om het risico op frauduleuze activiteiten te verkleinen. The Australian Financial Review meldt dat de salarisverwerker is getroffen door de Conti-ransomware. Het bedrijf laat in een reactie weten dat een deel van de buitgemaakte gegevens inmiddels op internet is gepubliceerd. Volgens de Conti-groep is de 3,75 gigabyte aan nu geopenbaarde data slechts tien procent van de totale hoeveelheid gestolen data. Frontier Software doet voor meer organisaties de salarisverwerking, maar voor zover bekend is er alleen data van de regering van Zuid-Australië buitgemaakt. Het Australische Cyber Security Centre (ACSC) waarschuwt vandaag dat in november en december meerdere Australische organisaties door de Conti-ransomware zijn getroffen, waarbij bestanden werden versleuteld en data gestolen, waaronder persoonsgegevens. Volgens het ACSC gebruikt de Conti-groep verschillende manieren om toegang tot netwerken te krijgen, waaronder bruteforce-aanvallen en gestolen inloggegevens voor RDP en VPN.


ALPHV BlackCat - De meest geavanceerde ransomware van dit jaar

De nieuwe ALPHV ransomware-operatie, ook bekend als BlackCat, werd vorige maand gelanceerd en zou de meest geavanceerde ransomware van het jaar kunnen zijn, met een zeer aanpasbare functieset die aanvallen op een breed scala aan bedrijfsomgevingen mogelijk maakt. Het uitvoerbare ransomware-bestand is geschreven in Rust, wat niet typisch is voor malware-ontwikkelaars, maar langzaam in populariteit toeneemt vanwege de hoge prestaties en geheugenveiligheid. MalwareHunterTeam vond de nieuwe ransomware en vertelde dat de eerste ID Ransomware-indiening voor de nieuwe operatie op 21 november was.


SP pleit voor invoering van meldplicht bij ransomware-aanvallen

De SP wil dat slachtoffers van ransomware-aanvallen verplicht worden dit te melden om zo andere organisaties te waarschuwen. Demissionair minister Grapperhaus wil vooral inzetten op het versterken van de "digitale dijkbewaking" als antwoord op aanvallen met ransomware. Dat blijkt uit een recent overleg van de vaste commissie voor Digitale Zaken. Tijdens het overleg van de commissie, dat over online veiligheid en cybersecurity ging, werd er ook over ransomware gesproken. Volgens SP-Kamerlid Leijten is nu onbekend hoeveel schade ransomware veroorzaakt doordat de meldingsbereidheid van getroffen organisaties zo laag is. "Dat moet anders, want we kunnen deze criminelen alleen treffen door het verdienmodel aan te pakken, te leren hoe ze werken en die ervaringen te delen. Is het kabinet bereid een meldingsplicht in te stellen voor als je slachtoffer wordt van ransomware?", vroeg Leijten aan Grapperhaus. "Dan kunnen we namelijk informatie uitwisselen en kunnen we proberen het verdienmodel aan te pakken, door bijvoorbeeld geen losgeld te betalen. Is het kabinet het met de SP eens dat we dit als norm moeten inzetten? En is het kabinet bereid om dit uit te werken?", vroeg het SP-Kamerlid verder. De minister stelde dat er al een meldplicht voor vitale aanbieders geldt en er wordt gekeken om die verder uit te breiden. "Hoe dat zou moeten lopen, lijkt me een goed punt van discussie tussen uw Kamer en het kabinet." Volgens Leijten is het belangrijk dat organisaties op een veilige manier melding moeten kunnen doen. "Dat betekent niet dat het een publieke melding moet zijn en dat het meteen in de krant moet staan. Ik begrijp heel erg goed dat je dat op een veilige manier moet doen", merkte ze op. "We moeten het ook begeleiden als gezegd wordt dat er geen losgeld wordt betaald. Je moet weten dat je meteen hulp kunt krijgen met het misschien oplossen daarvan. Ik zou er heel erg voor zijn dat we dat wel creëren. Dat kan je via zo'n meldingsplicht doen." Grapperhaus herhaalde het overheidsadvies om bij ransomware geen losgeld te betalen. "We moeten echt alle nuances heel goed met elkaar gaan bekijken. We hebben gewoon te maken met geavanceerde, internationaal georganiseerde cybercriminele groeperingen. Houd er dus rekening mee dat die niet door één keer betalen voorgoed van het bord zijn." De minister wil dan ook vooral inzetten op preventie. "We moeten even doordenken. Als we dat ransomwaregedoe zo veel mogelijk willen temmen, dan is het allerbelangrijkste dat iedereen zijn systemen met optimale digitale dijkbewaking zo veilig mogelijk houdt. Dat is het eerste. Het tweede is dat iedereen zo veel mogelijk moet melden wat er gebeurt." Organisaties die hun "digitale dijkbewaking" op orde hebben zouden veel minder schade hebben van ransomware, als er al schade is, aldus de minister.

Conceptverslag Online Veiligheid En Cybersecurity
PDF – 358,7 KB 265 downloads

QNAP waarschuwt voor coinminer die NAS-apparaten infecteert

QNAP heeft in een bericht aan zijn klanten geconstateerd dat een coinminer het op nas-apparaten van het merk heeft gemunt. De malware draagt de naam '[oom_reaper]' en verbruikt 50% van de cpu-capaciteit van geïnfecteerde apparaten. Specifiek Bitcoin wordt genoemd als keuze van de malware. Het doet zich volgens de hardwarefabrikant voor als een kernelproces, terwijl het personal ID over het algemeen hoger is dan 1000. Verder zijn er nog maar weinig details over het probleem, in ieder geval roept QNAP op om QTS of QuTS Hero en andere software op je nas te updaten naar de nieuwste versie, hetzelfde geldt voor de Malware Remover-software. Verder zou je een veiliger wachtwoord kunnen gebruiken op je administrator-account en op andere gebruikeraccounts. Je kunt je nas loskoppelen van het internet of standaardpoortnummers zoals 443 en 8080 vermijden. De fabrikant van nas-apparatuur is de afgelopen tijd relatief vaak getroffen door malware. Zo heeft de Qlocker-ransomware flink huisgehouden, en nieuwe eCh0raix-ransomware trof naast QNAP ook Synology. Het nieuwe probleem van de coinminer wordt volgens QNAP nog onderzocht. Alle apparaten zouden kwetsbaar zijn.


Vermeende ransomware-partner gearresteerd voor aanvallen in de gezondheidszorg

Een 31-jarige Canadees staatsburger is aangeklaagd in verband met ransomware-aanvallen tegen organisaties in de Verenigde Staten en Canada, blijkt uit een federale aanklacht die vandaag is verzegeld. Parallelle onderzoeken van het Federal Bureau of Investigation en de Ontario Provincial Police (OPP) onthulden dat Matthew Philbert uit Ottawa betrokken was bij verschillende cyberaanvallen. Philbert werd op 30 november 2021 gearresteerd, na een onderzoek genaamd 'Project CODA' dat begon in januari 2020, toen de FBI contact opnam met de OPP over cyberincidenten in Canada. Volgens de aanklacht richtte Philbert zich tussen april 2018 en mei 2018 op minstens tien computers van een organisatie in de gezondheidszorg uit het district Alaska. De beklaagde slaagde er niet in om ransomware in te zetten op de computers van het slachtoffer, zo blijkt uit de aanklacht, wel werd het "medisch onderzoek, diagnose, behandeling en de zorg" van meerdere personen beïnvloed.

02312312774
PDF – 126,7 KB 271 downloads

Amerikaanse leger voert offensieve operaties uit tegen ransomwaregroepen

Het Amerikaanse leger heeft offensieve operaties tegen ransomwaregroepen uitgevoerd, zo heeft generaal Paul Nakasone, hoofd van het U.S. Cyber Command, tegenover The New York Times laten weten. Een woordvoerder van het U.S. Cyber Command bevestigt het ook tegenover CNN. Het U.S. Cyber Command is een afdeling van het Pentagon die zich met het plannen en coördineren van cyberoperaties bezighoudt, met als doel het verdedigen en bevorderen van nationale belangen. Daarbij wordt er samengewerkt met binnenlandse en buitenlandse partners. Het cybercommando werd in 2009 opgericht. Vorig jaar meldde anonieme bronnen dat het cybercommando een aanval had uitgevoerd op het Trickbot-botnet. Vorige maand stelde Nakasone dat het Cyber Command acties tegen ransomwaregroep had genomen, een boodschap die de generaal dit weekend tegenover The New York Times herhaalde. Naar aanleiding van de aanvallen op de Colonial Pipeline en vleesverwerker JBS zijn het Cyber Command, de Amerikaanse geheime dienst NSA en andere diensten nauwer gaan samenwerken en delen informatie over ransomwaregroepen. Wat voor operaties er precies zijn uitgevoerd en tegen welke groepen wil de generaal niet zeggen.


STOP Ransomware-vaccin vrijgegeven om codering te blokkeren

Het Duitse beveiligingssoftwarebedrijf G DATA heeft een vaccin uitgebracht dat STOP Ransomware zal blokkeren om de bestanden van slachtoffers na infectie te versleutelen. "Deze tool voorkomt de infectie zelf niet. STOP ransomware zal nog steeds losgeldnota's plaatsen en kan de instellingen op de systemen wijzigen," legden G DATA malware-analisten Karsten Hahn en John Parol uit."Maar STOP ransomware zal geen bestanden meer versleutelen als het systeem het vaccin heeft. In plaats van een persoonlijke ID, zullen de losgeldnota's een reeks bevatten van bestanden die werden beschermd door het vaccin." U kunt het STOP Ransomware-vaccin hier downloaden,als een gecompileerde . EXE- of Python-script. 


Honderden SPAR-winkels sluiten en schakelen over op contant geld na cyberaanval

Ongeveer 330 SPAR-winkels in Noord-Engeland worden geconfronteerd met ernstige operationele problemen na een cyberaanval in het weekend. Veel winkels moeten sluiten of overschakelen op contante betalingen. SPAR is een internationale supermarktfranchise die 13.320 winkels in 48 landen exploiteert, maar het recente beveiligingsincident trof alleen winkels in het noorden van Engeland. Volgens Lawrence Hunt & Co Ltd., dat 25 vestigingen in Lancashire, VK, exploiteert, heeft de "totale IT-storing" kassa's, systemen voor het verwerken van creditcardbetalingen getroffen en voorkomt het nog steeds dat ze toegang hebben tot e-mails.


Nieuwe Cerber ransomware richt zich op Confluence en GitLab servers

Cerber ransomware is terug, als een nieuwe ransomware familie en neemt de oude naam over. Cerber richt zich op Atlassian Confluence en GitLab servers met behulp van remote code execution kwetsbaarheden. Toen ransomware in 2016 in een stroomversnelling kwam, ontstond er een nieuwe Cerber ransomware-operatie die al snel een van de meest productieve bendes op dat moment werd. De activiteit liep echter langzaam af totdat deze eind 2019 verdween. Vanaf vorige maand stak een ransomware genaamd Cerber (CerberImposter op ID Ransomware) opnieuw zijn lelijke kop op.


Frankrijk waarschuwt voor Nobelium-cyberspies die Franse organisaties aanvallen

Het Franse nationale cyberbeveiligingsagentschap ANSSI melde vandaag dat de door Rusland gesteunde Nobelium-hackgroep achter de SolarWinds-hack van vorig jaar op Franse organisaties zat. Hoewel ANSSI (afkorting van Agence Nationale de la Sécurité des Systèmes d'Information) niet heeft vastgesteld hoe Nobelium e-mailaccounts van Franse organisaties heeft gecompromitteerd, voegde het eraan toe dat de hackers ze gebruikten om kwaadaardige e-mails te bezorgen die gericht waren op buitenlandse instellingen. Op hun beurt waren Franse openbare organisaties ook het doelwit van vervalste e-mails die werden verzonden vanaf servers van buitenlandse entiteiten, waarvan wordt aangenomen dat ze zijn aangetast door dezelfde bedreigingsacteur. De infrastructuur die Nobelium gebruikte bij de aanvallen op Franse entiteiten werd voornamelijk opgezet met behulp van virtual private servers (VPS) van verschillende hostingbedrijven (ten gunste van servers van OVH en dicht bij de beoogde landen). "Er zijn overlappingen geïdentificeerd in de tactieken, technieken en procedures (TTP) tussen de phishing-campagnes die door ANSSI worden gecontroleerd en de SOLARWINDS supply chain-aanval in 2020," legde ANSSI uit in een rapport dat vandaag is gepubliceerd.

CERTFR 2021 CTI 011
PDF – 887,1 KB 366 downloads

Nordic Choice Hotels getroffen door Conti ransomware, nog geen losgeld eisen

Nordic Choice Hotels heeft een cyberaanval op zijn systemen van de Conti ransomware-groep bevestigd. Het incident heeft voornamelijk gevolgen voor de reserverings- en kamersleutelkaartsystemen van het hotel. Hoewel er geen aanwijzingen zijn dat wachtwoorden of betalingsinformatie worden beïnvloed, is informatie met betrekking tot gastboekingen mogelijk gelekt. De Scandinavische hotelketen, met zijn merken Comfort, Quality en Clarion, heeft meer dan 16.000 medewerkers in dienst en heeft 200 panden in Scandinavië, Finland en de Baltische staten.


Ransomwaregroep steelt data van leverancier Nederlandse politie en Defensie

Een groep ransomwarecriminelen heeft weten in te breken op het netwerk van het Nederlandse bedrijf Abiom dat technologie aan onder andere politie, Defensie, Schiphol, de GGD en brandweer levert. De bij het bedrijf gestolen documenten zijn deels door de LockBit-ransomwaregroep openbaar gemaakt. Abiom ontwikkelt en levert onder andere oplossingen en accessoires voor het C2000-netwerk waar hulpdiensten als politie, ambulance en brandweer gebruik van maken. Ook levert het bedrijf uit Wijchen technologie voor verschillende defensieonderdelen, alsmede gemeenten en provincies. Zo zijn handhavers in de gemeente Utrecht sinds augustus uitgerust met de bodycams van Abiom. Op 8 november meldde een beveiligingsonderzoeker met het alias RedPacket Security dat Abiom was getroffen door de ransomwaregroep Abiom. Die eiste losgeld, anders zou het de tienduizenden bij Abiom gestolen bestanden publiceren. Als deadline hadden de criminelen 18 november gegeven. Inmiddels zijn verschillende documenten online gekomen, zo meldt de Volkskrant. Het gaat om facturen van meer dan een miljoen euro aan de politie, persoonsgegevens van leidinggevenden, kopieën van paspoorten, verschillende overeenkomsten met buitenlandse overheden en bedrijven, en details van apparatuur die bij politie- en defensieonderdelen is geplaatst. Abiom heeft nog niet op de datadiefstal gereageerd. Hoe de documenten konden worden gestolen is onbekend.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'