Overzicht cyberaanvallen week 15-2022

Gepubliceerd op 18 april 2022 om 17:18

Industriële systemen Schneider Electric en Omron doelwit aanvallen, hogeschool VIVES slachtoffer van cyberaanval en Panasonic bevestigt cyberaanval. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 18-april-2022 | Aantal slachtoffers: 5.195



Week overzicht

Slachtoffer Cybercriminelen Website Land
e-pspl.com Industrial Spy e-pspl.com India
premierbpo.com Industrial Spy premierbpo.com USA
cos.rmb.com Industrial Spy cos.rmb.com USA
meijicorp.com Industrial Spy meijicorp.com USA
enviroplas.com Industrial Spy enviroplas.com USA
consfab.com Industrial Spy consfab.com USA
ijmondwerkt.com Industrial Spy ijmondwerkt.com Netherlands*
wenco.cl Industrial Spy wenco.cl Chile
iar.com Industrial Spy iar.com Sweden
glenbrookautomotivegroup.com Industrial Spy glenbrookautomotivegroup.com USA
in2.ie Industrial Spy in2.ie Ireland
mdindiaonline.com Industrial Spy mdindiaonline.com India
NuLife Med Vice Society www.nulifemed.net USA
Tucker Door & Trim Conti www.tuckerdoor.com USA
Ministerio de Hacienda - República de Costa Rica Conti www.hacienda.go.cr Costa Rica
empresariosagrupados.es Industrial Spy www.empresariosagrupados.es Spain
DJS associate Suncrypt forensicdjs.com USA
Fycis STORMOUS fycis.com India
Importador Ferretero Trujillo Cia. Ltda LV importadortrujillo.com.ec Ecuador
ihbrr.com Industrial Spy ihbrr.com USA
inland-engineering.com LockBit inland-engineering.com USA
enclosuresolutions.co.za LockBit enclosuresolutions.co.za South Africa
CJ Pony Parts Conti www.cjponyparts.com USA
Musco Sports Lighting Lorenz www.musco.com USA
eNoah it solutions BlackCat (ALPHV) enoahisolution.com India
Basra Multipurposr Terminal Haron bmtiq.com Iraq
Big Horn Plastering of Colorado, Inc. Conti www.bighornplastering.com USA
Gemeente Buren Suncrypt www.buren.nl Netherlands*
radmangroup.com LockBit radmangroup.com Iran
soharportandfreezone.com LockBit soharportandfreezone.com Oman
kpcg.com.hk LockBit kpcg.com.hk Hong Kong
cyberapex.com LockBit cyberapex.com Hong Kong
Atlas Copco Suncrypt www.atlascopco.com Sweden
polyplastics.com LockBit polyplastics.com Japan
Elevate Services Conti www.elevateservices.com USA
tpdrug.com LockBit tpdrug.com Thailand
heartlandhealthcareservices.com LockBit heartlandhealthcareservices.com USA
cassinobuilding.com LockBit www.cassinobuilding.com USA
mpm.fr LockBit www.mpm.fr France
verifiedlabel.com LockBit www.verifiedlabel.com USA
applya.com LockBit applya.com USA
Standard Building Supplies Ltd Everest www.standardbuildingsupplies.ca Canada
Simply Placed Lorenz www.itssimplyplaced.com USA
get-greenenergy.com LockBit get-greenenergy.com Taiwan
TIC International Corporation Conti www.tici.com USA
breadtalk.com LockBit breadtalk.com Singapore
inglotcosmetics.com LockBit inglotcosmetics.com Poland
DeeZee Lorenz www.deezee.com USA
Tavistock Cuba www.tavistock.com USA
Newlat Food SPA Conti www.newlat.it Italy
Hi Tech HoneyComb Quantum hitechhoneycomb.com USA
Broadleaf Quantum www.biotique.com India
JetStar Quantum www.jetstar.com Australia
Service Employees' International Union Quantum www.seiu.org USA
Wolfe Industrial Quantum wolfeindustrial.com USA
Success Neeti STORMOUS successneeti.com India
Advizrs Lorenz advizrs.com USA
azcomputerlabs.com LockBit azcomputerlabs.com USA
CAE Services Conti www.caeservices.com USA
tokyo-plant.co.jp LockBit tokyo-plant.co.jp Japan
ruthtaubman.com LockBit ruthtaubman.com USA
Eminox Conti www.eminox.com UK

In samenwerking met DarkTracer


Belgische hogeschool Vives blijft wegens cyberaanval dinsdag gesloten

De Belgische hogeschool Vives zal morgen vanwege een cyberaanval die ruim een week geleden plaatsvond de deuren nog niet kunnen openen. Afgelopen vrijdag meldde regionale media dat de school nog altijd zonder e-mail zat. Ook andere systemen zijn op het moment niet bruikbaar. Volgens een verklaring van de hogeschool probeerden aanvallers met het wachtwoord van een leerling toegang te krijgen tot het netwerk. "Dat lukte telkens niet. Maar afgelopen vrijdag, op 8 april, werd er rond 1 uur 's nachts opgemerkt dat die hackersgroep software probeerde te installeren, waarmee ze de wachtwoorden van ons datamanagement zou kunnen overnemen", zo liet directeur Joris Hindryckx van de hogeschool eerder weten. Na deze ontdekking werd besloten alle systemen uit te schakelen. Aangezien het vorige week vakantie in België was, was de impact hievan beperkt. Afgelopen vrijdag kregen alle 17.000 studenten gefaseerd toegang tot hun e-mail, maar dat is inmiddels alweer afgesloten, zo laat regionale televisiezender Focus & WTV weten. Op de statuspagina van de hogeschool staat vermeld dat e-mail voor docenten en studenten met een gedeeltelijke storing te maken heeft. Het VDI-platform dat de school gebruikt kampt nog altijd met een grote storing. Omdat nog niet alle systemen zijn herstart heeft Vives besloten om de schooldeuren morgen gesloten te houden. "We zijn bezig om via de platformen van Leuven iedereen, zowel docenten als studenten te contacteren om hun wachtwoord te resetten. Als dat gebeurd is, kunnen we alle nieuwe gegevens vanop de servers van KU Leuven synchroniseren naar de servers van Vives en kan alles terug normaal opgestart worden. Er moeten dus heel veel zaken gereset worden", zegt Hindryckx tegenover VRT NWS. Eerder werden alle studenten en docenten opgeroepen hun wachtwoord te resetten. "Door de vakantie heeft nog niet iedereen de informatie met instructies op hun persoonlijke mailadres gelezen. Wie wel al zijn wachtwoord vernieuwd heeft en daarbovenop zijn identiteit bevestigd heeft, kan normaal wel al terug aan zijn mails, hetzij dan op de wifi thuis of op 4G, want de algemene systemen op de campus van VIVES staan nog altijd op non-actief", voegt de directeur toe. De school wil vandaag en morgen alle systemen controleren en nakijken, zodat de lessen woensdag kunnen worden hervat.


Nieuwe Blaze ransomware


GitHub getroffen door inbraak op npm-productie-infrastructuur

Een aanvaller is erin geslaagd om in te breken op de npm-productie-infrastructuur van GitHub, daarnaast zijn van tientallen organisaties private GitHub-repositories gestolen, waaronder npm, zo laat het populaire platform voor softwareontwikkelaars weten. De aanval was mogelijk via gestolen OAuth user tokens die van Heroku en Travis-CI waren. Dit zijn third-party OAuth integrators. Bedrijven integreren de diensten van Heroku en Travis-CI bij het ontwikkelen van software. Zo biedt Heroku een cloudapplicatieplatform met GitHub-integratie, waarbij programmeurs code die op GitHub staat kunnen uitrollen naar apps die op Heroku draaien. Ontwikkelaars gebruiken Heroku daarbij als platform voor het uitrollen, beheren en opschalen van applicaties. Voor de communicatie tussen Heroku en GitHub wordt gebruikgemaakt van tokens. Een aanvaller die over een token beschikt kan dezelfde acties uitvoeren als de Heroku-gebruiker. GitHub ontdekte naar eigen zeggen op 12 april dat een aanvaller via een gestolen AWS (Amazon Web Services) API-key toegang tot de npm-productie-infrastructuur van GitHub had gekregen. Npm, dat onderdeel van GitHub is, is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. GitHub denkt dat de aanvaller de API-key in handen kreeg door het downloaden van een verzameling private npm-repositories op GitHub. Deze repositories konden via een gestolen OAuth-token worden gedownload. Het token was buitgemaakt bij Heroku of Travis-CI. Salesforce, dat eigenaar van Heroku is, laat weten dat de aanvaller via een gestolen OAuth-token toegang tot Heroku's GitHub-account kreeg. Hoe dit kon gebeuren wordt niet vermeld. Heroku host op GitHub een integration dashboard. De aanvaller gebruikte OAuth-tokens van dit dashboard om GitHub-accounts van klanten te achterhalen. Volgens Salesforces kon de aanvaller met de tokens die bij Heroku zijn gestolen toegang tot de GitHub-repositories van klanten krijgen. Vervolgens zou het mogelijk zijn om code in deze repositories te lezen en aan te passen. Volgens GitHub werden met de gestolen tokens private repositories "in de npm-organisatie op GitHub.com" gedownload en is er mogelijk toegang verkregen tot de npm-packages zoals ze in de AWS S3-storage zijn opgeslagen. GitHub gaat erop dit moment vanuit dat de aanvaller geen packages heeft aangepast of dat er toegang is verkregen tot accountgegevens of inloggegevens. Naar aanleiding van het incident heeft Salesforce alle OAuth-tokens van de Heroku Dashboard GitHub integration ingetrokken. Daardoor is het niet meer mogelijk om apps vanaf GitHub via het Heroku dashboard of Heroku automation uit te rollen. Alle getroffen klanten zouden inmiddels zijn gewaarschuwd. Het onderzoek loopt nog.


Duitse windmolenfabrikant Nordex getroffen door Conti-ransomware

De Duitse windmolenfabrikant Nordex is slachtoffer geworden van een aanval met de Conti-ransomware. Dat laat beveiligingsonderzoeker Brett Callow van antivirusbedrijf Emsisoft weten. Op 31 maart kreeg Nordex naar eigen zeggen met een "cybersecurityincident" te maken, waarop het besloot om systemen op meerdere locaties en van verschillende bedrijfsonderdelen uit voorzorg uit te schakelen. In een update over het incident laat Nordex weten dat het, om de middelen van klanten te beschermen, remote access van de eigen it-infrastructuur voor windmolens die onder beheer zijn heeft uitgeschakeld. De windmolens zelf zouden zonder beperkingen opereren en ook de communicatie tussen windparken, netbeheerders en energiehandelaren is niet geraakt. Nordex heeft inmiddels alternatieve remote control-oplossingen uitgerold. Uit voorlopig onderzoek naar het incident blijkt dat de impact daarvan beperkt is tot de interne it-infrastructuur. Er zijn geen aanwijzingen dat het incident zich heeft verspreid naar systemen van derden of verder dan de it-infrastructuur van Nordex. Het bedrijf is naar eigen zeggen bezig met het herstellen van systemen, maar geeft geen verdere details over het incident. De criminelen achter de Conti-ransomware hebben op hun eigen website de verantwoordelijkheid voor de aanval opgeëist. Voor zover bekend zijn er nog geen eventueel gestolen bestanden gelekt. Nordex heeft wereldwijd meer dan 8500 medewerkers in dienst en had vorig jaar een omzet van 5,4 miljard euro.


Cyberaanval en enorme cryptodiefstal door Noord-Korea

Hackers die zijn gelinkt met Noord-Korea zitten volgens de FBI achter een van 's werelds grootste crypto-diefstallen. Hackers wisten vorige maand zo'n 620 miljoen dollar (ruim 570 miljoen euro) buit te maken door een populaire onlinegame te hacken. Het geld komt volgens de FBI ten goede aan het Noord-Koreaanse regime. De hack trof eind vorige maand het blockchainnetwerk Ronin. Dat is gekoppeld aan de populaire onlinegame Axie Infinity. Met dat Vietnamese spel kunnen spelers crypto's verdienen door avatars te verhandelen. De hackers maakten gebruik van een gedeelte van de software dat nog niet altijd even betrouwbaar is. De FBI meldt dat hackersgroepen APT38 en Lazarus achter de diefstal zitten. Lazarus verwierf bekendheid in 2014 toen het Sony hackte als vergelding voor de satirische film The Interview, waarin de Noord-Koreaanse leider Kim Jong-un belachelijk werd gemaakt. Beide groeperingen zijn onderdeel van een decennialange cybercampagne van de Noord-Koreaanse overheid. Het Amerikaanse ministerie van Financiën probeert te achterhalen waar het gestolen geld naartoe verplaatst wordt. Dat doen ze door te kijken naar grote platformen waar cryptovaluta op verhandeld worden. Een bron binnen het ministerie vertelt aan persbureau Bloomberg dat overwogen wordt om sancties op te leggen aan iedereen die het regime van Kim probeert te steunen door middel van deze vorm van witwassen. Enkele weken eerder wisten hackers op een ander blockchainplatform met een vergelijkbare aanval al zo'n 300 miljoen dollar aan cryptovaluta te stelen. Het ministerie van Financiën zou werken aan richtlijnen voor cyberveiligheid van crypto's om dergelijke aanvallen in de toekomst te voorkomen.


Cyberaanvallen op VM kwetsbaarheden

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in VMware Workspace One Access waarvoor vorige week een update verscheen, zo heeft VMware bevestigd. Workspace One is een platform waarmee organisaties apps op smartphones, tablets en laptops kunnen installeren en beheren. Een kwetsbaarheid in de software, aangeduid als CVE-2022-22954, maakt het mogelijk voor een ongeauthenticeerde aanvaller om door middel van server-side template injection willekeurige code op het systeem uit te voeren. Server-side template injection is een kwetsbaarheid die zich voordoet wanneer een aanvaller kwaadaardige code in een template op de server kan injecteren, die vervolgens wordt uitgevoerd. De impact van het beveiligingslek in VMware Workspace One Access is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 6 april bracht VMware een beveiligingsupdate voor de kwetsbaarheid uit en liet toen weten dat er nog geen misbruik van het lek werd gemaakt. Gisteren voegde VMware een update aan de advisory toe waarin het stelt dat misbruik nu wel plaatsvindt. Eerder hadden ook al verschillende securitybedrijven en experts misbruik van het lek gemeld. Daarbij zouden kwetsbare systemen met cryptominers worden geïnfecteerd. Het Dutch Institute for Vulnerability Disclosure (DIVD) gaat kwetsbare organisaties over het lek waarschuwen.


RDP belangrijkste aanvalsvector voor ransomwaregroepen

Het gebruik van het Remote Desktop Protocol (RDP) om toegang tot systemen te krijgen en daarvandaan complete netwerken met ransomware te infecteren is de belangrijkste aanvalsvector voor ransomwaregroepen, zo stelt het Britse National Cyber Security Centre (NCSC). De Britse overheidsinstantie heeft start-ups in het land gevraagd om oplossingen te bedenken voor ransomware-aanvallen via RDP. Ransomware is volgens het NCSC de grootste dreiging voor mkb-bedrijven en grotere onderneming. Een van de grootste doelwitten voor cybercriminelen zijn systemen die op afstand toegankelijk zijn. "Dus zoeken we naar oplossingen en nieuwe aanpakken die de risico's kunnen mitigeren die met tools zoals RDP samenhangen", aldus de overheidsinstantie. Zo wordt er gezocht naar oplossingen om blootgestelde endpoints en onveilige configuraties te detecteren, alsmede alternatieven voor bestaande remote access tools. Ook zoekt het NCSC naar start-ups die tweefactorauthenticatie aan RDP kunnen toevoegen, bruteforce-aanvallen tegen RDP kunnen detecteren en blokkeren en het gebruik van zwakke RDP-wachtwoorden kunnen voorkomen. Eerder vroeg het NCSC start-ups om oplossingen voor besmette advertenties.


Industriële systemen Schneider Electric en Omron doelwit aanvallen

Verschillende APT-groepen hebben speciale tooling ontwikkeld om industriële ICS- en SCADA-systemen van Schneider Electric en Omron Sysmac aan te vallen, zo waarschuwt de Amerikaanse overheid. Zodra de aanvallers toegang tot het operationele technologie (OT)-netwerk hebben kunnen ze de systemen scannen, compromitteren en besturen, aldus de waarschuwing van onder andere de FBI en NSA. Door volledige controle over de ICS- en SCADA-systemen te krijgen kunnen de aanvallers vitale apparaten en functies verstoren. De FBI en NSA roepen organisaties in de vitale infrastructuur op, en dan met name energiebedrijven, om detectie- en mitigatiemaatregelen door te voeren en hun ICS- en SCADA-systemen verder te beveiligen. De tools waarvoor de Amerikaanse overheidsinstanties waarschuwen zijn ontwikkeld voor PLC's (programmable logic controllers) van Schneider Electric en Omron Sysmac. PLC's worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen. Daarnaast beschikken de aanvallers ook over tools om OPC Unified Architecture (OPC UA)-servers aan te vallen. OPC is een verzameling van standaarden en specificaties voor industriele telecommunicatie. "De tools van de aanvallers hebben een modulaire architectuur en laten de aanvallers geautomatiseerde exploits tegen aangevallen apparaten uitvoeren", zo stellen de FBI en NSA. Ook beschikken de tools over een virtuele console met een command-interface die identiek is aan de interface van het aangevallen ICS- of SCADA-systeem. Hierdoor kunnen minder ervaren aanvallers over de mogelijkheden van meer ervaren aanvallers beschikken, aldus de waarschuwing. Via de tools zijn verschillende aanvallen mogelijk, zoals bruteforce-aanvallen om toegang te krijgen of het uitvoeren van dos-aanvallen om te voorkomen dat netwerkverkeer de PLC bereikt. Ook kunnen de tools de verbinding met de PLC verbreken, zodat gebruikers opnieuw moeten inloggen, vermoedelijk om zo inloggegevens te bemachtigen. Verder is het mogelijk om via de tools een "packet of death" te versturen waardoor de PLC crasht en pas weer werkt na het uit- en aanzetten en het herstellen van de configuratie. Om dergelijke aanvallen te voorkomen krijgen vitale organisaties het advies om ICS- en SCADA-systemen van zakelijke netwerken en het internet te isoleren, multifactorauthenticatie voor remote toegang tot ICS-netwerken te gebruiken, het beperken van het aantal workstations dat toegang tot ICS- en SCADA-systemen heeft en het monitoren van systemen op het laden van ongewone drivers, en dan met name drivers van ASRock als die normaal niet op het systeem worden gebruikt. De aanvallers maken namelijk gebruik van een kwetsbare driver voor ASRock-moederborden waarmee ze Windows-gebaseerde engineering workstations weten te compromitteren.

Alert AA 22 103 A
PDF – 322,0 KB 231 downloads

Miko slachtoffer van cyberaanval

Het beursgenoteerde koffieservicebedrijf Miko is het slachtoffer geworden van een cyberaanval, meldt Miko woensdag voorbeurs. Voorlopig lijkt het er volgens het bedrijf op dat de financiële impact van de aanval 'beperkt' zal blijven. Een team van interne en externe professionals werkt er volgens Miko hard aan om weer volledig operationeel te zijn. Om zijn strategie niet te onthullen, geeft het management geen verdere commentaar.


Spanje onderworpen aan cyberaanvallen na verklaring Kremlin als ‘vijandig land’

De afgelopen maand is er een ware golf aan cyberaanvallen geconstateerd op Spaanse instellingen en bedrijven. De cyberaanvallen begonnen uren nadat het Kremlin Spanje als ‘vijandig land’ had verklaard. Spanje vreest dat het ergst nog moet komen. Volgens bronnen van de Spaanse veiligheidsdiensten zijn de cyberaanvallen op Spaanse overheidsinstellingen en bedrijven vermenigvuldigd sinds 7 maart, enkele uren nadat het Kremlin Spanje samen met 50 andere landen op een lijst van ‘vijandige landen’ plaatste vanwege de economische en militaire steun aan Oekraïne. De nieuwssite Lasprovincias.es schreef op maandag dat Amerikaanse en Spaanse veiligheidsinstellingen aanwijzingen hebben dat Russische geheime diensten en door hen ingehuurde hackers achter twee van de grootste cyberaanvallen van de afgelopen weken zitten. Het betreft de aanval op Iberdrola op 15 maart waarbij gegevens van 1,3 miljoen klanten werden gestolen. De tweede cyberaanval betreft de sabotage van de systemen van het Congres van Afgevaardigden op 24 maart. Specialisten claimen dat de omvang van de cyberaanvallen weliswaar is toegenomen maar dat het risiconiveau tot dusver laag tot gemiddeld is. Alsof de hackers een waarschuwing willen afgeven aan Spanje sinds het standpunt van de regering ten opzichte van Rusland sinds de aanvallen op Oekraïne. De aanvallen hebben vooralsnog niet de impact van de zware cyberaanval in maart 2021 waarbij de systemen van de Spaanse arbeidsdienst SEPE wekenlang platlagen.


Karakurt onthuld als data-afpersingstak van Conti cybercrime syndicaat

Na het doorbreken van servers die door de cybercriminelen worden beheerd, vonden beveiligingsonderzoekers een verband tussen Conti-ransomware en de onlangs opgekomen Karakurt-gegevensafpersingsgroep, waaruit blijkt dat de twee bendes deel uitmaken van dezelfde operatie. Het Conti ransomware syndicaat is een van de meest productieve cybercriminele groepen van vandaag die onverminderd opereert ondanks het massale lekken van interne gesprekken en broncode die een hackgroep al gebruikte om Russische organisaties te verlammen. Karakurt is een bende actief sinds ten minste juni 2021 die zich richt op het stelen van gegevens van bedrijven en hen dwingt losgeld te betalen door te dreigen de informatie te publiceren. Meer dan 40 organisaties zijn in ongeveer twee maanden, tussen september en november 2021, het slachtoffer geworden van Karakurt.

Threat Spotlight
PDF – 5,8 MB 233 downloads

Hackers probeerden elektriciteit in Oekraïne uit te schakelen

Russische hackers hebben vorige week geprobeerd een grote cyberaanval op het elektriciteitsnet van Oekraïne uit te voeren, meldt persbureau Bloomberg dinsdag. Volgens Oekraïense functionarissen en cybersecurityexperts gaat het om de hackersgroep Sandworm. De leden zouden eerder betrokken zijn geweest bij verschillende andere cyberaanvallen op Oekraïne, die aan Rusland worden toegeschreven. Deze keer zouden de hackers hebben geprobeerd malware te zetten op computers die hoogspanningsstations in Oekraïne besturen, heeft het Computer Emergency Response Team van Oekraïne (CERT-UA) gezegd. Daarmee zouden ze de computernetwerken van een energieleverancier kunnen overnemen om vervolgens de stroom uit de schakelen. De eerste aanval vond plaats in februari, de tweede aanval afgelopen vrijdag. Volgens het team hebben hackers vorige week geprobeerd elektrische stations te ontkoppelen. Experts wisten de aanvallen af te slaan. Om welke betrokken Oekraïense energieleverancier het gaat, is niet bekendgemaakt. Rusland ontkent steevast de beschuldiging dat het cyberaanvallen op Oekraïne uitvoert.


Hogeschool VIVES slachtoffer van cyberaanval: "Data van studenten en docenten is veiliggesteld"

De hogeschool VIVES is het slachtoffer van een cyberaanval. Sinds vrijdag proberen hackers data te pakken te krijgen van de hogeschool en daarom werd er besloten om alles systemen tijdelijk plat te leggen. In samenwerking met de KU Leuven wordt er nu gevraagd aan de studenten om hun wachtwoorden opnieuw in te stellen. De hackers kregen gelukkig geen data van de docenten of studenten te pakken. Hogeschool VIVES is al een tijdje lang slachtoffer van een cyberaanval, maar afgelopen weekend nam het verhaal een ingrijpende wending. "Het begon eigenlijk al op 17 maart", legt algemeen directeur van VIVES Joris Hindryckx uit. "Onze IT-experts hebben ontdekt dat er al sinds dan een groep hackers probeert binnen te geraken op onze systemen via het paswoord van een van de leerlingen. Dat lukte telkens niet. Maar afgelopen vrijdag, op 8 april, werd er rond 1 uur 's nachts opgemerkt dat die hackersgroep software probeerde te installeren, waarmee ze de wachtwoorden van ons datamanagement zou kunnen overnemen. Ik heb toen vlug gereageerd en alles laten blokkeren. Het was slechts een kwestie van minuten of die hackers hadden de data in handen."

Sinds vrijdag liggen er verschillende systemen van hogeschool VIVES plat, zoals de e-mailservice. "Maar er zijn ook problemen met Sharepoint, het platform waarop docenten hun leermateriaal bewaren. Voor de studenten zelf zijn er geen grote problemen op dit moment, want we gebruiken het platform Toledo, zoals de KU Leuven om lesmateriaal te delen met de studenten. We hebben ook geluk dat het op dit moment vakantie is en er geen lessen doorgaan, dus de studenten kunnen voorlopig alleen maar hun mailadres niet meer gebruiken."


Panasonic bevestigt cyberaanval, Conti claimt verantwoordelijkheid

De Canadese tak van Panasonic is getroffen door een cyberaanval. Ransomwaregroep Conti beweert verantwoordelijk te zijn. Panasonic Canada werd in februari slachtoffer van een “gerichte cyber attack”. Dat verklaart een woordvoerder tegen TechCrunch“We hebben onmiddellijk actie ondernomen om het probleem aan te pakken, met behulp van securityexperts en serviceproviders. We isoleerden de malware, herstelden de servers, bouwden applicaties opnieuw op en communiceerden met klanten en autoriteiten.” Dit is het tweede incident in zes maanden tijd. Eind vorig jaar onthulde een Japanse omroep dat cybercriminelen met verloop van 2021 herhaaldelijk toegang hadden tot de servers van Panasonic. In december bevestigde de elektronicagigant het lek. Cybercriminelen hadden zicht op de persoonsgegevens van sollicitanten, medewerkers en partners. We weten dat de meest recente aanval om malware draait, maar daarbuiten zijn de details schaars. Hoewel Panasonic bevestigt dat de aanval door cybercriminelen is gepleegd, wijst de organisatie geen daders aan. Securityonderzoeker VX-Underground stelt dat ransomwaregroep Conti de aanval heeft opgeëist. TechCrunch beweert de lekwebsite ingezien te hebben. Malwaregroepen gebruiken lekwebsite’s om aanvallen op te eisen en data te lekken. Gedeeltelijke datalekken kunnen een slachtoffer overtuigen om een losgeldsom te betalen. De lekwebsite van Conti bevat interne bestanden, spreadsheets en documenten van HR- en boekhoudafdelingen. Volgens Conti zijn de bestanden afkomstig van het datalek bij Panasonic. De totale buit zou 2,8 gigabyte bedragen. TechCrunch vroeg aan Panasonic of het om een ransomwareaanval gaat. Panasonic ontkende de mogelijkheid niet. De organisatie weigerde te verduidelijken of en welke gegevens er zijn gestolen. De reactie is vergelijkbaar met het incident van 2021, toen de organisatie een maand na de bekendmaking met de details naar voren kwam.

En 220107 3 1
PDF – 141,1 KB 231 downloads

Actieve cyberaanvallen tegen Google Pixel-telefoons

De Amerikaanse overheid heeft een waarschuwing gegeven voor actieve aanvallen tegen Google Pixel-telefoons en roept federale overheidsinstanties op om de toestellen voor 2 mei te patchen. Vorige maand kwam Google met een beveiligingsbulletin waarin het stelde dat er aanwijzingen waren dat twee zerodaylekken, aangeduid als CVE-2021-22600 en CVE-2021-39793, bij beperkte, gerichte aanvallen waren ingezet. Verdere details over de aanvallen werden niet gegeven. Het gaat om twee kwetsbaarheden waardoor een malafide app of aanvaller die al toegang tot een Pixel-telefoon heeft zijn rechten kan verhogen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging bestaat uit acht kwetsbaarheden, waaronder de beveiligingslekken in de Google Pixel-telefoons. Eén van deze beveiligingslekken, CVE-2021-22600, bevindt zich in de Linux-kernel waar Android gebruik van maakt. De overige zes kwetsbaarheden op de lijst bevinden zich in software van QNAP, Microsoft, Checkbox, Telerik en WatchGuard.


Cyberaanval op WordPress-installaties

De afgelopen weken wisten aanvallers meerdere schone WordPress-installaties met malware te infecteren, waarbij ze vermoedelijk logs of informatie van certificaatautoriteit Let's Encrypt gebruikten. Na de installatie van WordPress moet die nog worden geconfigureerd. Het gebeurt al lange tijd dat aanvallers erin slagen om nog niet geconfigureerde WordPress-installaties te kapen. "Dit kan omdat WordPress geen beperkingen voor het configureren kent zodra de bestanden op de website zijn geladen kun je die met een database op een andere server configureren, zodat je geen toegang tot bestaande inloggegevens voor de website hoeft te hebben", stelt securitybedrijf White Fir Design. In de meeste gevallen zullen mensen na de installatie van WordPress die ook meteen configureren. De afgelopen weken verschenen echter meerdere meldingen van WordPress-gebruikers die stelden dat hun installatie werd geïnfecteerd kort na het aanvragen van een tls-certificaat voor hun website bij Let's Encrypt. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft die zijn te gebruiken voor het opzettten van een beveiligde verbinding en het identificeren van de website. Let's Encrypt maakt gebruik van Certificate Transparency (CT), een systeem dat de uitgifte van tls-certificaten logt en monitort. Hiervoor slaat Let's Encrypt alle uitgegeven certificaten in CT-logs op. Het vermoeden is nu dat aanvallers deze CT-logs continu bekijken om zo WordPress-websites te vinden die nog niet zijn geconfigureerd. De aanvallers configureren deze websites en voegen een malafide script toe. Het gaat om een webshell waarmee aanvallers op afstand code kunnen uitvoeren. De gecompromitteerde WordPress-sites worden vervolgens voor het uitvoeren van ddos-aanvallen gebruikt.


Meerdere Atlassian-klanten hebben al een week last van storing Jira-clouddienst

De Jira-clouddienst van Atlassian kampt sinds vorige week dinsdag met een storing. Hierdoor kunnen ongeveer 400 gebruikers onder meer niet bij hun Atlassian-omgeving komen. Wanneer de storing helemaal is opgelost, is nog niet duidelijk. De storing komt door een fout in een script dat tijdens onderhoud werd uitgevoerd, zegt een woordvoerder van Atlassian tegen ZDNet. Het softwarebedrijf sluit een cyberaanval uit en zegt dat er geen ongeautoriseerde toegang is geweest tot klantgegevens. Verder zegt Atlassian dat het 'honderden engineers heeft gemobiliseerd' om de uitval op te lossen. De storing heeft ongeveer 400 klanten getroffen, zegt Atlassian. Dat is ongeveer 0,18 procent van de 226.000 klanten van het bedrijf. Deze klanten hebben al een week geen toegang meer tot de Jira-clouddiensten. De diensten die door de storing niet of gebrekkig werken zijn onder andere Jira Software, Jira Work Management, Jira Service Management, Confluence, Opsgenie Cloud, Statuspage en Atlassian Access. Het bedrijf laat maandag in een update weten dat 35 procent van de getroffen klanten weer bij zijn diensten kan. De website zou zijn hersteld en er zou geen data verloren zijn gegaan. Wanneer de storing helemaal is opgelost, is niet duidelijk. Volgens een supportticket van Atlassian die Tweakers heeft ingezien, kan dat nog twee weken duren.


OldGremlin ransomware bende richt zich op Rusland met nieuwe malware

OldGremlin, een weinig bekende bedreigingsacteur die zijn bijzonder geavanceerde vaardigheden gebruikt om zorgvuldig voorbereide, sporadische campagnes uit te voeren, heeft vorige maand een comeback gemaakt na een onderbreking van meer dan een jaar. De groep onderscheidt zich van andere ransomware-operaties door het kleine aantal campagnes - minder dan vijf sinds begin 2021 - die zich alleen richten op bedrijven in Rusland en het gebruik van aangepaste backdoors die in eigen huis zijn gebouwd. Ondanks dat het minder actief is, wat kan suggereren dat de ransomware-business dichter bij maanlicht is, heeft OldGremlin losgeld geëist van een van zijn slachtoffers tot $ 3 miljoen.

Old Gremlins
PDF – 3,7 MB 246 downloads

Australische vitale infrastructuur moet ransomware binnen 12 uur melden

In Australië is nieuwe wetgeving van kracht geworden die de vitale infrastructuur in het land verplicht om ransomware-aanvallen of andere cyberincidenten die gevolgen hebben voor de beschikbaarheid van de aangeboden dienst binnen twaalf uur bij het Australische Cyber Security Centre (ACSC) te melden. Wanneer de aanval of het incident een "relevante impact" heeft moet er binnen 72 uur na de ontdekking melding worden gedaan. Bij een relevante impact heeft de aanval gevolgen voor de integriteit, betrouwbaarheid of vertrouwelijkheid van de dienstverlening of systemen. "Het compromitteren van de vitale infrastructuur kan vergaande gevolgen voor andere entiteiten hebben. Dit kan leiden tot een sneeuwbaleffect in heel Australië, de economie en kan de nationale veiligheid raken", aldus het ACSC.


Nieuwe Democratie Whisperers ransomware


Nieuwe blockZ Ransomware


Luxe modehuis Zegna bevestigt ransomware-aanval

Het Italiaanse luxe modehuis Ermenegildo Zegna heeft een ransomware-aanval van augustus 2021 bevestigd die resulteerde in een uitgebreide uitval van IT-systemen. De openbaarmaking kwam in de indiening van vandaag van een SEC-formulier 424B3 dat hun beleggingsprospectus bijwerkt om beleggers te waarschuwen voor bedrijfsonderbrekingen en risico's op gegevensinbreuken als gevolg van geavanceerde cyberaanvallen. Om de potentiële investeringsrisico's te benadrukken, geeft het rapport een voorbeeld van een ransomware-aanval die het bedrijf in augustus 2021 trof, de meeste van zijn IT-systemen beïnvloedde en een grootschalige onderbreking veroorzaakte. Zegna benadrukt dat ze niet met de ransomware-actoren hebben onderhandeld over een losgeldbetaling, dus moesten ze in de weken na het incident herstellen van back-ups. Hoewel Zegna eerder ongeautoriseerde toegang tot hun systemen op dat moment had onthuld, was het pas bij de SEC-aanvraag van vandaag dat ze bevestigden dat het een ransomware-aanval was. "In augustus 2021 werden we getroffen door een ransomware-aanval die de meerderheid van onze IT-systemen trof. Omdat we weigerden deel te nemen aan discussies met betrekking tot de betaling van het losgeld, publiceerden de verantwoordelijke partijen bepaalde boekhoudkundige materialen die uit onze IT-systemen waren gehaald," luidt zegna's SEC-aanvraag. "We hebben de inbreuk op de IT-systemen publiekelijk aangekondigd en onze IT-systemen geleidelijk hersteld vanaf beveiligde back-upservers in de weken na de inbreuk."


Topambtenaren EU vorig jaar doelwit van hackpogingen met spionagesoftware

Verschillende topambtenaren van de Europese Commissie zijn vorig jaar het doelwit geworden van Israëlische spionagesoftware. Dat blijkt uit onderzoek van Reuters. Onder hen was de Belgische Eurocommissaris voor Justitie Didier Reynders. Naast Reynders zouden ook ten minste vier andere werknemers van de Europese Commissie zijn getroffen. De Commissie werd op de zaak gewezen nadat Apple in november duizenden iPhone-bezitters waarschuwde voor mogelijke besmettingen van spionagesoftware. De bekendste Israëlische spionagesoftware is Pegasus, gemaakt door het bedrijf NSO Group. Dat bedrijf ontkent betrokken te zijn. Mogelijk betreft het een concurrent van het bedrijf. Het is niet bekend wie er achter de aanval zat, of de installatie van de spionagesoftware is gelukt en zo ja, wat de hackers mogelijk hebben ingezien. Het Europees Parlement onderzoekt het gebruik van spionagesoftware in de Europese Unie. D66-Europarlementariër Sophie in 't Veld wil deze zaak opnemen in dat onderzoek. "Naast activisten, oppositieleden en journalisten zijn nu ook Europese instellingen doelwit van groepen die sterke spionagesoftware tot hun beschikking hebben", zegt ze. "In de eerste plaats moeten we weten wie hier achter zit. Dat is allesbepalend voor vragen over de mate waarin dit de integriteit van de hele EU raakt. Alle EU-instellingen moeten aan het werk om dit tot de bodem uit te zoeken."


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »