Overzicht cyberaanvallen week 51-2021

Gepubliceerd op 27 december 2021 om 15:00

Internationale it-dienstverlener Inetum getroffen door ransomware, ransomware aanvallen op onderwijs mogen niet lonen en AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 4.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.

Status op 27 december 2021 : 4.214


Week overzicht

Slachtoffer Cybercriminelen Website Land
TUI UK Snatch www.tui.co.uk UK
LAVA Snatch www.lavamobiles.com India
DEUTSCHE SEE Holding Conti www.deutschesee.de Germany
ENVASES GROUP Conti www.envases.mx Mexico
SVP Groupe Conti www.svp.com France
Economos properties Conti economosproperties.com USA
The Technord industrial group Conti www.technord.com Belgium
iGuzzini Group Conti www.iguzzini.com Italy
Charles Kendall Conti www.charleskendall.com UK
Arbor Contract Carpet Inc. Conti www.arborcarpet.com USA
Metamorph Group Conti metamorphgroup.co.uk UK
RKPT Conti www.rkpt.com USA
smiimaging.com LockBit smiimaging.com USA
Family Christian Health Center Hive www.familychc.com USA
riverhead.net LockBit riverhead.net USA
Hako Technology AvosLocker hakotech.pl Poland
Divestco Geoscience Inc AvosLocker divestco.com Canada
cgm.com LockBit cgm.com Germany
MAX International Converters Haron maxintl.com USA
OFFICE OF THE NATIONAL BROADCASTING AND TELECOMMUNICATIONS COMMISSION Grief www.nbtc.go.th Thailand
Uriach BlackCat (ALPHV) www.uriach.com Spain
Polysciences, Inc. Conti polyscience.com USA
lozzaspa.it LockBit lozzaspa.it Italy
sintesiautomotive.it LockBit sintesiautomotive.it Italy
Kohinoor International School CoomingProject kohinoorschool.ac.in India
cbjblawfirm.com LockBit cbjblawfirm.com USA
Heron and Brearley Vice Society hb.im Isle of Man
DFL Vice Society dfl.com.br Brazil
Bay and Bay Transportation Conti www.bayandbay.com USA
Turner Enterprises, Inc. Lorenz www.tedturner.com USA
Maad McCann RobinHood maad.co.ug Ugandan
ABE Courtage RobinHood abecourtage.com France
burgsimpson.com LockBit burgsimpson.com USA
www.hillsdalefurniture.com Payload.bin www.hillsdalefurniture.com USA
Biotique Quantum www.biotique.com India
Sodiba Quantum sodiba.com Angola
atskorea.co.kr LockBit atskorea.co.kr South Korea
pestbusters.com.sg LockBit pestbusters.com.sg Singapore
The Kessler Collection AvosLocker kesslercollection.com USA
Holiday Builders Conti www.holidaybuilders.com USA
ConForm Automotive Hive www.conformgroup.com USA
Lincoln Industries BlackCat (ALPHV) lincolnindustries.com USA
Leuze Snatch www.leuze.com Germany
InTown Suites Snatch www.intownsuites.com USA
McMenamins Conti www.mcmenamins.com USA
SPERONI SPA Everest speronispa.com Italy
hajery.com LockBit hajery.com Canada
Fastline Media Group, LLC Entropy www.fastline.com USA
JCWHITE.COM CL0P jcwhite.com USA
DUTTONFIRM.COM CL0P duttonfirm.com USA
maibroker.com LockBit maibroker.com USA
lipinskilogging.com LockBit lipinskilogging.com USA
dcashpro.com LockBit dcashpro.com Thailand
piolax.co.th LockBit piolax.co.th Thailand
urbandevelop.com.au LockBit urbandevelop.com.au Australia
reliancenj.com LV reliancenj.com USA
CASINO WINNAVEGAS Conti www.winnavegas.com USA
Skyxe Saskatoon Airport Snatch skyxe.ca Canada
Prenax 54BB47H (Sabbath) prenax.com USA
WOLSEY Hive www.wolsey.com UK
Sit'N Sleep Hive www.sitnsleep.com USA
Madix Inc Hive madixinc.com USA
Haselden Construction Hive www.haselden.com USA
The Briad Group Conti www.briad.com USA

Internationale it-dienstverlener Inetum getroffen door ransomware-aanval

De internationale it-dienstverlener Inetum is onlangs getroffen door een ransomware-aanval, zo laat het bedrijf op de eigen website weten. De aanval vond plaats op zondag 19 december, aldus een verklaring van afgelopen maandag. Donderdag meldde Inetum dat de aanval gevolgen had voor de bedrijfsvoering in Frankrijk, maar niet in andere landen waar het bedrijf actief is. Binnen de getroffen omgeving zijn alle servers geïsoleerd en alle client vpn's uitgeschakeld. Uit onderzoek blijkt dat de ransomware-aanval niets te maken heeft met de Log4j-kwetsbaarheid. Verder blijkt dat de belangrijkste systemen en tools voor klanten niet zijn getroffen. Details over hoe de aanval kon plaatsvinden en om welke ransomware het gaat zijn niet bekendgemaakt. Franse media stelt dat het om de BlackCat-ransomware gaat. Inetum heeft naar eigen zeggen alle relevante autoriteiten inmiddels ingelicht. Het onderzoek is nog gaande. Het bedrijf is actief in 26 landen, telt 27.000 medewerkers en had vorig jaar een omzet van twee miljard euro.


Noberus /ALPHV /BlackCat aanvallen tijdens Kerst

Het is niet ongebruikelijk dat ransomware-bendes tijdens de feestdagen een beetje vrij nemen. Het ziet er echter naar uit dat BlackCat-filialen door blijven werken tijdens de feestdagen.


KVK haalt website offline tijdens feestdagen om Log4j-kwetsbaarheid

De Kamer van Koophandel (KVK) heeft zijn website offline gehaald. De organisatie maakt zich zorgen om de Log4j-kwetsbaarheid en wil zo aanvallen tijdens de feestdagen voorkomen. Sinds vrijdagmiddag 18.00 uur is de website niet meer beschikbaar. Tot maandagochtend 7.30 uur zal dit zo blijven. Ook andere applicaties zoals de aansluitingen op KVK API, KVK Dataservice en KVK App Handelsregister zijn in deze periode niet te gebruiken.


Cybercriminelen vallen website Prullenbakvaccin.nl aan

Kwaadwillenden proberen de site prullenbakvaccin.nl plat te leggen door de systemen te bestoken met verkeer. Ondanks die ddos-aanvallen lukt het tot nu toe om de site in de lucht te houden, zeggen de mensen achter de site na berichtgeving van RTL Nieuws. Ze hebben een virtuele 'verkeersregelaar' voor de site gezet om overbelasting te voorkomen. Prullenbakvaccin.nl laat zien welke praktijken in Nederland vaccindoses over hebben. Mensen die graag een boosterprik willen krijgen, kunnen daar dan naartoe gaan. De beheerders weten niet of de aanvallen worden uitgevoerd door mensen die tegen vaccineren zijn of door mensen die het voor de lol doen. De site is aan het begin van de vaccinatiecampagne in het leven geroepen om te voorkomen dat overgebleven vaccindoses aan het einde van de dag zouden worden weggegooid. Ook toen was de site doelwit van ddos-aanvallen en die waren nog veel groter. Op sommige momenten kwamen er toen 3000 bezoekers per seconde. Dat waren niet alleen mensen die gevaccineerd wilden worden, maar ook gekaapte computers die massaal de site bestookten. Nu trekt de site maximaal zo'n 200 bezoekers per seconde. De drukte komt ook door systemen die volautomatisch informatie van de site willen halen. Dit zijn mensen die zelf ook zo'n site op poten willen zetten. Zij hebben geen kwade bedoelingen, aldus de beheerder van prullenbakvaccin.nl.


De politie roept bedrijven en organisaties op die worden aangevallen om hiervan aangifte te doen

De cybercrimeteams van de politie zijn extra waakzaam vanwege de recent ontdekte kwetsbaarheden in de veelgebruikte Apache Log4j-software. De politie roept bedrijven en organisaties die worden aangevallen op om hiervan aangifte te doen. Lees verder


Groot risico op cyberaanvallen deze kerst door log4j-kwetsbaarheid

Tesla, overheidsdiensten en vele andere systemen gebruiken Log4j om logs bij te houden. Door een bug daarin staan we nu voor een grote cyber-dreiging. Hoe kunnen criminelen daarvan uitgerekend tijdens de feestdagen misbruik maken? En: wat kunnen we verwachten van de nieuwe Staatsecretaris van Digitalisering (en Koninkrijksrelaties)? Enkele weken terug had nog haast niemand van Log4j en de kwetsbaarheid genaamd Log4Shell gehoord. Nu maakt deze bug duizenden systemen kwetsbaar voor cyberaanvallen. Juist ook tijdens de feestdagen. Om ons technisch te briefen hebben Ralph Moonen, technisch directeur van cybersecuritybedrijf Secura, te gast.


Nieuwe Rook Ransomware voedt zich met de code van Babuk

Een nieuwe ransomware-operatie genaamd Rook is onlangs verschenen op het cybercrime toneel en verklaart een wanhopige behoefte om "veel geld" te verdienen door bedrijfsnetwerken te doorbreken en apparaten te versleutelen. Hoewel de inleidende verklaringen op hun datalekportaal marginaal grappig waren, hebben de eerste slachtoffer aankondigingen op de site duidelijk gemaakt dat Rook geen spelletjes speelt. Onderzoekers van SentinelLabs hebben een diepe duik genomen in de nieuwe stam en onthullen de technische details, infectieketen en hoe deze overlapt met de Babuk-ransomware.

New Rook Ransomware Feeds Off The Code Of Babuk
PDF – 3,7 MB 248 downloads

Belgische overheid verwacht grote problemen door Log4j-kwetsbaarheid

De Belgische overheid verwacht "grote problemen" bij bedrijven en organisaties die geen maatregelen tegen de recent ontdekte Log4j-kwetsbaarheid nemen. Daarvoor waarschuwt het Centrum voor Cybersecurity België (CCB). Volgens de Belgische overheidsinstantie maken cybercriminelen actief misbruik van het beveiligingslek. "Wie geen actie onderneemt, kan nu zeer snel het slachtoffer worden van een cyberaanval." Het CCB stelt dat het op dit moment moeilijk valt in te schatten hoe het beveiligingslek zal worden misbruikt en op welke schaal. "Cybercriminelen proberen intussen de kwetsbaarheid uit te buiten en zoeken actief naar kwetsbare systemen. Het spreekt voor zich dat dit een gevaarlijke situatie is", aldus de overheidsinstantie, die organisaties oproept de beschikbare updates te installeren. Tevens worden bedrijven en organisaties die slachtoffer worden van een cyberaanval gevraagd om dit bij de overheid te melden.


FBI vraagt slachtoffers van Log4j-kwetsbaarheid om zich te melden

De FBI vraagt organisaties die het slachtoffer zijn geworden van een aanval via de Log4j-kwetsbaarheid om zich te melden. Aan de andere kant stelt de Amerikaanse opsporingsdienst dat het vanwege de mogelijke schaal van dit incident niet op elk slachtoffer individueel kan reageren. Aangevallen organisaties wordt gevraagd om allerlei data te delen, zoals de start- en eindtijd van de aanval, de gebruikte aanvalsinfrasrtructuur, hashes van gebruikte malware, door de aanvallers gebruikte ip-adressen en domeinen, de activiteiten van de aanvallers, de gevolgen voor de organisatie, of er logbestanden aanwezig zijn en of er al aangifte van de aanval is gedaan. "Alle informatie die we ontvangen is handig in het tegengaan van deze dreiging", aldus de FBI.


Nieuwe 'Surtr ransomware' ontdekt


EHealth-aanbieder CompuGroup Medical getroffen door ransomware-aanval

EHealth-aanbieder CompuGroup Medical is getroffen door een ransomware-aanval waardoor verschillende interne systemen zoals e-mail en telefonie onbeschikbaar zijn. CompuGroup Medical levert ict-toepassingen voor zorggroepen, huisartsen, huisartsenposten, apotheken, mantelzorgers en patiënten. Het gaat dan om informatiesystemen voor bijvoorbeeld apotheken en ziekenhuizen, maar ook apparatuur voor elektronische patiëntendossiers en telematica. Het bedrijf meldde gisteren via de eigen website dat het met een aanval op de interne systemen had te maken. Vanwege de aanval werd besloten om belangrijke onderdelen van de diensten die het levert te isoleren. In een tweede update over het incident stelt CompuGroup dat het om een ransomware-aanval gaat. Het "grootste deel" van de klantsystemen is volgens de verklaring operationeel en veilig, waardoor klanten gewoon kunnen blijven werken. Er zijn op dit moment ook geen aanwijzingen dat de aanval gevolgen heeft voor de systemen of data van klanten. Wel zijn door de aanval verschillende interne systemen onbereikbaar geworden, waaronder e-mail en telefonie. Inmiddels is CompuGroup naar eigen zeggen begonnen met het herstellen van de systemen. Verdere details over de aanval zijn niet gegeven. CompuGroup heeft 8500 medewerkers en 1,6 miljoen gebruikers wereldwijd, waaronder artsen, tandartsen, apothekers en andere zorgprofessionals. Het bedrijf had vorig jaar een omzet van 837 miljoen euro.


AvosLocker ransomware herstart in veilige modus om beveiligingstools te omzeilen

In recente aanvallen is de AvosLocker ransomware-bende zich gaan richten op het uitschakelen van endpoint-beveiligingsoplossingen die in de weg staan door gecompromitteerde systemen opnieuw op te starten in de veilige modus van Windows. Deze tactiek maakt het gemakkelijker om de bestanden van slachtoffers te versleutelen, omdat de meeste beveiligingsoplossingen automatisch worden uitgeschakeld nadat Windows-apparaten zijn opgestart in de veilige modus. En hun nieuwe aanpak lijkt behoorlijk effectief te zijn, omdat het aantal aanvallen dat aan de specifieke groep wordt toegeschreven, toeneemt.

Avos Locker Remotely Accesses Boxes
PDF – 1,3 MB 320 downloads

Hellmann Worldwide waarschuwt voor datalek na aanval door ransomwaregroep

Logistiek dienstverlener Hellmann Worldwide Logistics heeft klanten gewaarschuwd voor een datalek nadat een ransomwaregroep wist in te breken op het netwerk. Bij de aanval door de RansomExx-groep werd meer dan zeventig gigabyte aan data buitgemaakt, die inmiddels door de groep op de eigen website is gepubliceerd. Na ontdekking van de aanval, die op 9 december plaatsvond, haalde Hellmann de systemen offline. Uit nader onderzoek bleek dat de aanvallers op dat moment al gegevens van het netwerk hadden gestolen. Vanwege de datadiefstal waarschuwt Hellmann klanten om alert te zijn op frauduleuze e-mails en telefoongesprekken, met name wanneer het gaat over transacties en het wijzigen van bankgegevens. Hellmann Worldwide Logistics had vorig jaar een omzet van 2,53 miljard euro. Het bedrijf heeft wereldwijd 489 kantoren in 173 landen en telt meer dan tienduizend medewerkers. De logistiek dienstverlener verzorgt jaarlijks meer dan zestien miljoen zendingen.


PYSA-ransomware achter meeste dubbele afpersingsaanvallen in november

Beveiligingsanalisten van NCC Group melden dat ransomware-aanvallen in november 2021 de afgelopen maand zijn toegenomen, waarbij dubbele afpersing een krachtig hulpmiddel blijft in het arsenaal van cybercriminelen. De focus van de cybercriminelen verschuift ook naar entiteiten die behoren tot de overheidssector, die 400% meer aanvallen ontvingen dan in oktober. De schijnwerpers in november schijnen op de PYSA-ransomwaregroep (ook bekend als Mespinoza), die een explosieve toename van infecties had, met een toename van 50%. Andere dominante ransomwaregroepen zijn Lockbit en Conti, die aanvallen lanceerden tegen kritieke entiteiten, zij het minder dan in voorgaande maanden. De eerste tekenen van PYSA-activiteit die bedreigende niveaus bereikte, werden duidelijk in maart 2021, wat ertoe leidde dat de FBI een waarschuwing publiceerde over de escalatie van de activiteit van deze cybercriminelen. Zoals bijna alle ransomware-groepen momenteel, exfiltreert PYSA gegevens van het gecompromitteerde netwerk en versleutelt (ransomware) vervolgens de originelen om de activiteiten te verstoren. De gestolen bestanden worden gebruikt als hefboom bij losgeldonderhandelingen, waarbij de aanvallers dreigen gegevens openbaar te maken als er geen losgeld wordt betaald. (doxware)

NCC Group Monthly Threat Pulse November 2021
PDF – 357,2 KB 322 downloads

Van Engelshoven: ransomware-aanvallen op onderwijs mogen niet lonen

Ransomware-aanvallen op het onderwijs mogen niet lonen. Daarom is het belangrijk dat erbij aanvallen geen losgeld wordt betaald, zo stelt demissionair minister Van Engelshoven van Onderwijs. De minister deed haar uitspraken tijdens een commissiedebat over digitalisering in het onderwijs, waar ook het onderwerp ransomware ter sprake kwam. Het afgelopen jaar werden meerdere Nederlandse onderwijsinstellingen het slachtoffer van ransomware. "Ik hecht eraan hier te zeggen dat de norm bij ransomwarehacks is: er wordt geen losgeld betaald. Dat is de norm en dat is ook wat we willen uitstralen, want we mogen van het hacken van onderwijsinstellingen geen verdienmodel maken", aldus Van Engelshoven. Naar aanleiding van aanvallen op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), de Hogeschool en Universiteit van Amsterdam, ROC Mondriaan en de Hogeschool van Arnhem en Nijmegen zijn er binnen het onderwijs maatregelen aangekondigd en genomen. "We zijn stap voor stap bezig om dat te verbeteren. Risicomanagement, 24/7 monitoring. Weet wat er op je instelling gebeurt. Structureel invoeren van interne, maar ook externe audits van instellingen naast uiteraard het vergroten van bewustzijn, en wel door je hele organisatie heen. Samenwerking in de keten, trainingen en crisisoefeningen", ging de minister verder. Volgens Van Engelshoven moet het voor onderwijsinstellingen duidelijk zijn wat de beveiligingsnormen inhouden en waaraan ze moeten voldoen. In het eerste kwartaal van volgend jaar komt daar een stappenplan voor, waarin staat wat de norm is waaraan voldaan dient te worden en hoe de instellingen daar stap voor stap naartoe gaan werken. Verder zal het Nationaal Cyber Security Centrum (NCSC) onderwijsinstellingen van de "juiste informatie" voorzien en zal er twee keer per jaar overleg plaatsvinden om te monitoren hoe het gaat met de implementatie van beveiligingsmaatregelen.

Erslag Van Een Commissiedebat Gehouden Op 1 December 2021 Over Digitalisering In Het Onderwijs
RTF bestand – 324,6 KB 230 downloads

Belgisch ministerie van Defensie is aangevallen via log4j-kwetsbaarheid

Het Belgische ministerie van Defensie is afgelopen donderdag aangevallen via een log4j-kwetsbaarheid. Het ministerie geeft weinig details over de aanval; mogelijk is het e-mailverkeer verstoord. De aanval begon donderdag op een computernetwerk van het ministerie met internettoegang, zegt een woordvoerder volgens onder meer HLN. Defensie nam 'snel' quarantainemaatregelen om de getroffen netwerken te kunnen isoleren. Het ministerie heeft nu de prioriteit om het netwerk operationeel te houden; afgelopen weekend zouden teams aan het werk zijn gesteld om de situatie onder controle te houden, Defensie-activiteiten voort te zetten en partners te waarschuwen. Er zijn nog niet veel details over de aanval bekend; zo is het niet duidelijk wat de aanvallers wilden en wat de precieze omvang is. HLN schrijft dat de aanval 'ernstig' lijkt te zijn. Persdienst Belga zegt sinds vrijdag geen mails meer te hebben ontvangen van het ministerie en denkt daarom dat het e-mailverkeer van het ministerie is verstoord. Het ministerie geeft wel aan dat de cybercriminelen een log4j-kwetsbaarheid gebruikten. De eerste kwetsbaarheid in deze logging library kwam anderhalve week geleden aan het licht. Tweakers schreef eerder een achtergrondartikel over de Log4Shell-kwetsbaarheid Lees verder


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers

Tips of verdachte activiteiten gezien? Meld het hier.


Meer weekoverzichten

Iedere maandag om 15:00 het complete overzicht van de afgelopen week. Wil je deze in de mail ontvangen zodat je geen enkel overzicht mist? Laat het ons dan weten via het volgende e-mailadres aanmelden.cybercrimeinfo.nl@gmail.com onder de vermelding van 'Aanmelding overzicht cyberaanvallen'