Hackersgroep Stormous hackt Coca Cola, kamervragen over ransomware-aanval op gemeente Buren en Onyx ransomware vernietigt bestanden in plaats van ze te versleutelen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.
Update: 02-mei-2022 | Aantal slachtoffers: 5.371
Week overzicht
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
Jasper County Sheriff's Office | ONYX | jaspercountysheriffoffice.com | USA |
Collegiate sports medicine | Everest | collegiatesportsmedicine.ca | Canada |
willsent | Mindware | www.willisent.com | USA |
welplaat | Mindware | www.vpwerkt.nl | *Netherlands |
toshfarms | Mindware | toshfarms.net | USA |
thebureau | Mindware | www.thebureau.com | USA |
smd | Mindware | smd-markeur.de | Germany |
simpsonplastering | Mindware | www.simpsonplastering.com | USA |
nottco | Mindware | www.nottco.com | USA |
micropakk | Mindware | mikropakk.hu | Hungary |
mediuscorp | Mindware | www.mediuscorp.com | USA |
diager | Mindware | www.diager.com | France |
callinc | Mindware | www.carillonassistedliving.com | USA |
allwell | Mindware | allwell.org | USA |
acorentacar | Mindware | www.acorentacar.com | USA |
orthopaedie-appenzell.ch | LockBit | orthopaedie-appenzell.ch | Switzerland |
zdgllc.com | LockBit | zdgllc.com | USA |
smtuc.pt | LockBit | smtuc.pt | Portugal |
IKPT | BlackCat (ALPHV) | www.ikpt.com | Indonesia |
NECSUM | BlackCat (ALPHV) | necsum.com | Spain |
NECSUM TRISON | BlackCat (ALPHV) | www.trisonworld.com | Spain |
Innotec, Corp. | BlackCat (ALPHV) | www.innotecgroup.com | USA |
FRANSABANK | BlackByte | www.fransabank.com | Lebanon |
M+R SPEDAG GROUP | BlackByte | www.mrspedag.com | Switzerland |
SOGEGROSS SPA | BlackByte | www.sogegross.it | Italy |
Autumn Transport | BlackByte | www.autumngrain.com | USA |
hispanoamericano.edu.mx | LockBit | hispanoamericano.edu.mx | Mexico |
sagefruit.com | LockBit | sagefruit.com | USA |
7generations.org | LockBit | 7generations.org | Canada |
Valley Rentals | Quantum | www.valleyrentals.com | USA |
Hufcor | Quantum | www.hufcor.com | USA |
Petro Serve | Quantum | www.petroserveusa.com | USA |
Drive Products | Quantum | driveproducts.com | Canada |
Henry | Quantum | www.henry.com | USA |
Grosvenor Engineering Group | Quantum | www.gegroup.com.au | Australia |
fraunhofer.de | Industrial Spy | fraunhofer.de | Germany |
Monterey Mechanical Co. | Hive | www.montmech.com | USA |
MOTIVE-ENERGY | LV | www.motiveenergy.com | USA |
Mercadocar Mercantil Ltda. | Vice Society | www.mercadocar.com.br | Brazil |
Suhl. City in Germany | Vice Society | www.suhltrifft.de | Germany |
Associazione Bancaria Italiana | Vice Society | www.abi.it | Italy |
Domingues and Pinho Contadores | Vice Society | www.dpc.com.br | Brazil |
Building Plastics, Inc. | Vice Society | www.bpiteam.com | USA |
Fonseca Supermarkets | Vice Society | www.fonsecasupermercados.com.br | Brazil |
GOLDENDUCK GROUP | Vice Society | www.goldenduckgroup.com | Thailand |
Pacific Maritime Industries Corp. | ONYX | www.pacmaritime.com | USA |
WAYNE FAMILY PRACTICE, ASSOC., P.C. | ONYX | www.waynefamilypractice.com | USA |
Advantage Direct Care | ONYX | www.advantagedirectcare.com | USA |
C&C FARMERSβ SUPPLY CORP | ONYX | www.candcfarmsupply.com | USA |
Semaphore Solutions Inc | ONYX | www.semaphorehq.com | Canada |
Ackerman Plumbing Inc | ONYX | www.ackermanplumbinginc.com | USA |
quito.gob.ec | BlackCat (ALPHV) | quito.gob.ec | Ecuador |
LARON an otp industrial solutions company | Conti | www.laron.com | USA |
Tehama County Social Services | Quantum | www.tcdss.org | USA |
Levantina, Ingenieria y Construccion | Vice Society | www.lic-sl.com | Spain |
Stratton Finance | Vice Society | www.strattonfinance.com.au | Australia |
Est Ensemble | Vice Society | www.est-ensemble.fr | France |
Ragle Incorporated | Black Basta | www.ragleinc.com | USA |
hydromaxusa.com | LockBit | hydromaxusa.com | USA |
CORFERIAS | Vice Society | www.corferias.com | Colombia |
ALMANIE GROUP | Vice Society | www.almaniegroup.com | Kuwait |
Attica Group | Hive | www.attica-group.com | Greece |
ospreyvideo.com | LockBit | ospreyvideo.com | USA |
network-contacts.it | Industrial Spy | network-contacts.it | Italy |
warrengibson.com | LockBit | warrengibson.com | Canada |
Elgin County | Quantum | www.elgincounty.ca | Canada |
PhoenixPackagingPA | BlackCat (ALPHV) | phoenixpackagingpa.com | USA |
Attica Holdings S.A. | Conti | attica-group.com | Greece |
TΓV NORD GROUP | Black Basta | www.tuev-nord.de | Germany |
Plauen Stahl Technologie GmbH | Black Basta | www.plauen-stahl.de | Germany |
Oralia | Black Basta | oralia.fr | France |
Boswell Engineering | Black Basta | www.boswellengineering.com | USA |
LECHLER S.p.A. | Black Basta | www.lechler.eu | Italy |
Laiteries Reunies Societe cooperative | Black Basta | lrgg.ch | Switzerland |
IMA Schelling Group | Black Basta | www.imaschelling.com | Germany |
LACKS | Black Basta | www.lacks.com | USA |
Basler Versicherungen | Black Basta | www.basler.de | Germany |
Deutsche Windtechnik | Black Basta | www.deutsche-windtechnik.de | Germany |
Alliant Physical Therapy | BlackCat (ALPHV) | www.coraphysicaltherapy.com | USA |
For Peru | Conti | digimin.gob.pe | Peru |
The H Dubai | Haron | www.hhoteldubai.com | United Arab Emirates |
Davis Law Group, P.C. | BlackCat (ALPHV) | dlgva.com | USA |
La SCP MOREAU & ASSOCIΓSΒ | Haron | www.moreau-avocatsassocies.com | France |
Axxes | Haron | www.axxes.com | *Belgium |
SSK IngenierΓa Y ConstrucciΓ³n S.A.C. | Hive | www.ssk.com.pe | Peru |
j-w-anderson.com | BlackCat (ALPHV) | j-w-anderson.com | UK |
FRISA.com | BlackCat (ALPHV) | frida.com | Mexico |
Confcommercio - Alessandria - Home | Quantum | www.confcommercio.al.it | Italy |
Danaher | STORMOUS | www.danaher.com | USA |
Coca-Cola | STORMOUS | www.coca-cola.com | USA |
Mattlel | STORMOUS | mattel.com | USA |
La NaciΓ³n | KelvinSecurity | www.nacion.com | Costa Rica |
emucor.es | LockBit | emucor.es | Spain |
cronos.com.ar | LockBit | cronos.com.ar | Argentina |
huesser.ch | LockBit | huesser.ch | Switzerland |
multimmobiliare.ch | LockBit | multimmobiliare.ch | Switzerland |
Elgin_Ca | Conti | www.elgincounty.ca | Canada |
schriesheim.de | LockBit | schriesheim.de | Germany |
kdaponte.com | LockBit | kdaponte.com | USA |
In samenwerking met DarkTracer
Cyberaanval treft autoverhuurder Sixt: klantendienst al dagenlang plat
In verscheidene Europese landen, waaronder België en Nederland, was het centrale telefoonnummer van autoverhuurbedrijf Sixt de voorbije dagen onbereikbaar. Dat leidde tot grote ergernis bij de klanten, want het bedrijf heeft geen lokale back-up telefoonnummers. Hoewel de problemen zich al sinds vrijdag voordeden, kwam Sixt pas zondagavond met een verklaring. Het gaat niet om een grote IT-panne, maar om een cyberaanval. “De IT-beveiliging van Sixt heeft op 29 april IT-onregelmatigheden ontdekt. Er werden onmiddellijk responsmaatregelen geïmplementeerd volgens de beveiligingsprotocollen. Vervolgens is bevestigd dat Sixt het slachtoffer was van een cyberaanval, die het in een vroeg stadium heeft weten in te dammen”, zegt het Duitse beursgenoteerde bedrijf. Een belangrijke vraag is of de hackers tot aan de financiële gegevens van de klanten geraakt zijn. Sixt, wereldwijd goed voor 242.000 voertuigen in 2.180 stations, blokkeert bij de verhuur doorgaans een bedrag op de kredietkaart van zijn klanten. Onder meer in België wordt alle klantencommunicatie gecentraliseerd, met slechts één contactnummer. Die centralisatie speelt de huurders van auto’s en bestelwagens nu zwaar parten, want ze kunnen hun lokale verkooppunt ook niet via een ander nummer bereiken. Op sociale media doen klanten hun beklag over onbereikbare callcenters, terwijl ze online hun boeking ook niet kunnen aanpassen. Het bedrijf zelf zegt evenwel dat “veel centrale systemen, in het bijzonder de website en apps, operationeel gehouden werden, waardoor de gevolgen voor het bedrijf, zijn activiteiten en diensten tot een minimum beperkt zijn.” Sixt erkent wel dat “er op korte termijn waarschijnlijk tijdelijke verstoringen kunnen optreden, met name in de klantenservicecentra en selectieve filialen” en vraagt de klanten daarom om “begrip en geduld”.
Russische hacktivisten hebben het gemunt op Roemenië
Overheidssites in Roemenië kregen de voorbije week een reeks DDoS-aanvallen te verwerken. Dat zegt het nationale cyberveiligheidsteam in een mededeling. Het gaat om een reeks publieke websites van overheidsinstellingen. De aanvallen worden geclaimd door Killnet, een groep pro-Russische activisten. Die zouden de sites overladen hebben met grote hoeveelheden aanvragen, waardoor die niet langer responsief zijn. In essentie een DDoS- of Distributed Denial of Service-aanval, dus. De websites zijn ondertussen terug paraat. Een groep genaamd Killnet zegt voor de aanval verantwoordelijk te zijn. De groep, die zich hacktivisten noemen, zegt in een mededeling dat het om een reactie gaat op een recente uitspraak van de Roemeense senaatsvoorzitter Marcel Ciolacu. Die beloofde onlangs dat hij zoveel mogelijk hulp, waaronder ook wapens, richting Oekraïne wil sturen. De groep zou eerder ook aanvallen hebben uitgevoerd in de VS, Tsjechië, Estland, Duitsland en Polen, telkens met de vraag wapenleveringen aan Oekraïne te stoppen.
Solana netwerk opnieuw uit de lucht door DDoS aanval
Solana (SOL) heeft een vervelende nacht achter de rug (30-4/1-5). Het netwerk ging uit de lucht nadat een project op het netwerk werd aangevallen door een zwerm van bots. Solana ging hierdoor uiteindelijk 7 uur uit de lucht. Het aanvalspunt voor de bots was Candy Machine, een tool waarmee non-fungible tokens (NFT) gemaakt kunnen worden. De bots veroorzaakten naar verluidt maar liefst vier miljoen transacties per seconde. Uiteindelijk kon het netwerk de druk niet meer aan waardoor de validators geen consensus meer konden bereiken. De aanmaak van nieuwe blocks werd tot stoppen gedwongen. “Solana Mainnet Beta verloor de consensus nadat een enorme hoeveelheid inkomende transacties (4 miljoen per seconde) het netwerk overspoelde, met meer dan 100 gbps. Ontwikkelaars onderzoeken nog steeds waarom het netwerk niet kon herstellen en validator operators bereiden zich voor op een herstart.” En die herstart is uiteindelijk om 5 uur vanochtend gerealiseerd. Dit houdt in dat het netwerk weer is opgestart vanaf het punt waar het misging. Even werd overwogen om Candy Machine uit te sluiten middels de herstart, maar al gauw kwam de Solana community tot de conclusie dat dit censuur zou zijn. Solana doet het dus weer en ook Candy Machine heeft ervoor gezorgd dat het niet nog eens kan gebeuren. Het heeft namelijk een botting penalty ingesteld om te voorkomen dat bots talloze transacties kunnen uitvoeren. Het is overigens niet de eerste keer dat Solana uit de lucht was. Begin dit jaar was het al eens raak na een distributed denial of service (DDoS) aanval. Kort daarna ondervond het netwerk opnieuw problemen. De problemen, die zich helaas vaker voordoen, zijn reden voor heftige kritiek. Zo zei de CIO van Cyber Capital eind vorig jaar dat Solana “fundamentele ontwerpfouten” heeft.
Nieuwe Pipikaki ransomware
A new #Pipikaki #Ransomwarehttps://t.co/yvZpOhF7j5
β Amigo-A (@Amigo_A_) April 28, 2022
Threaten to publish stolen data.
Extension .[<ID>].@PIPIKAKI
Filemarker (sample): 5391F333MONSTER
R/n: WE CAN RECOVER YOUR DATA.txt
Skype and ICQ: PIPIKAKI
Email: pipikaki@onion*
No sample yet. @demonslay335 @BleepinComputer pic.twitter.com/k4g3HceYiK
‘Neppe Windows 10-updates installeren Magniber-ransomware’
Neppe Windows 10-updates die via fake sites worden gedistribueerd, installeren de ransomware-variant Magniber. Dat stelt Bleeping Computer. De techwebsite ontving de laatste tijd veel meldingen over valse Windows 10-updates die ransomware installeren. De lastig te bestrijden Magniber-variant manifesteert zich sinds 8 april. De valse bestanden doen zich voor als cumulatieve of security-updates. De schadelijke updates worden aangebonden onder namen als Win10.0_System_Upgrade_Software.msi en Security_Upgrade_Software_Win10.0.msi. Andere benamingen zijn System.Upgrade.Win10.0-KB47287134.msi, System.Upgrade.Win10.0-KB82260712.msi, System.Upgrade.Win10.0-KB18062410.msi en System.Upgrade.Win10.0-KB66846525.msi. Wanneer de kwaadaardige bestanden worden geïnstalleerd, zorgt de ransomware ervoor dat shadow volume copies worden verwijderd en de bestanden op de getroffen bestanden worden versleuteld. Na de versleuteling verschijnen er bestanden met een willekeurige uit acht karakters bestaande extensie. Denk daarbij aan de extensie .gtearevf. Ook wordt aan iedere map een readme.txt-bestand toegevoegd die instructies bevat voor het betalen van het losgeld voor de ontsleuteling. De betaalsite heeft de naam My Decryptor en biedt slachtoffers aan een bestand gratis te ontsleutelen. Verder beschikt de pagina over contactinformatie voor ‘ondersteuning’, het losgeldbedrag en het bitcoin-adres waarnaar slachtoffers het geld moeten overmaken. De losgeldeisen zijn zo’n 0,068 bitcoin (ongeveer 2400 euro). Vooral consumenten zijn doelwit van de ransomware-aanval.
India verplicht melden cyberincidenten binnen 6 uur en registratie vpn-klanten
De Indiase overheid heeft nieuwe regels afgekondigd waardoor organisaties onder andere verplicht zijn om allerlei soorten cyberincidenten binnen zes uur te melden en moeten datacenters, vpn-providers en andere it-bedrijven gegevens van klanten verplicht registreren en voor een periode van minimaal vijf jaar bewaren. Dat meldt het Indiase ministerie van Elektronica en IT (pdf). Serviceproviders, bedrijven en overheidsinstanties die met "cyberincidenten" te maken krijgen zullen dit vanaf juli verplicht binnen zes uur bij het Indiase Computer Emergency Response Team (CERT-In) moeten melden. Volgens het ministerie liep CERT-In bij het onderzoeken van cyberincidenten vaak tegen problemen aan die het onderzoek bemoeilijkten. Door het invoeren van een meldplicht moet de overheidsinstantie sneller op cyberincidenten kunnen reageren en die onderzoeken. Het soort cyberincidenten dat moet worden gemeld is aanzienlijk. Het gaat onder andere om scans van vitale systemen, phishingaanvallen, datalekken, dos- en ddos-aanvallen, aanvallen op IoT-apparaten, malafide mobiele apps en ongeautoriseerde toegang tot socialmedia-omgevingen. Organisaties kunnen dergelijke incidenten via e-mail, fax of telefoon doorgeven. Een ander onderdeel van de aangekondigde maatregelen maakt het voor it-bedrijven verplicht om klantgegevens te registreren en voor een bepaalde periode te bewaren. De registratieplicht gaat gelden voor datacenters, vps-providers, cloudserviceproviders en vpn-providers. Die moeten onder andere gecontroleerde naam, adres- en contactgegevens van klanten registreren, alsmede de reden voor het afnemen van de dienst. De klantgegevens moeten minimaal vijf jaar worden bewaard.
Ransomware sneller en beter geworden
Sans Institute heeft een onderzoeksrapport gepubliceerd over de ontwikkeling van ransomware-aanvallen in de afgelopen twee jaar. Onder andere nieuwe tactieken en technieken van de aanvallers worden beschreven, net als valkuilen voor bedrijven. Het European Union Agency for Cybersecurity meldt dat het aantal ransomware-aanvallen in de periode april 2020 tot juli 2021 met 150 procent is toegenomen. Dit is onder andere te danken aan de komst van ‘Ransomware as a Service’, waarmee ook criminelen zonder kennis van hacken ransomware-aanvallen uit kunnen laten voeren. Cybercriminelen lijken ook steeds vaker vooronderzoek te doen bij hun slachtoffers. Het rapport noemt de Broward County Public Schools in Florida als voorbeeld; daar werd bij een ransomware-aanval 40 miljoen dollar geëist, waar de criminelen nog even bij vermeldden dat dit slechts één procent van het jaarlijkse schoolbudget van 4 miljard was. De ontwikkeling van de ransomware zelf heeft ook niet stilgestaan. De malware laat steeds minder sporen achter, en nestelt zich vooral in het geheugen, Windows Register, of binnenin bestaande (systeem)bestanden. Verder wordt de gijzelsoftware steeds meer geautomatiseerd, waardoor verspreiding binnen een computernetwerk veel sneller gaat. Aan de kant van de verdediging staat de ontwikkeling gelukkig ook niet stil. Het monitoren van metadata bij netwerkverkeer en detecteren van ongebruikelijk gedrag in software kan een aanval tegengaan. Toch zal de malware-ontwikkeling altijd een stap voor zijn, al is het maar voor een paar uur.
KSB produceert weer na cyberaanval
Na het succesvol afweren van een hackeraanval durfde KSB de productie in heel Duitsland op 20 april 2022 te herstarten. Begin april ontdekte de pomp- en afsluiterfabrikant in Frankenthal een cyberaanval op zijn IT. Na de ontdekking van de cyberaanval haalde het bedrijf bijna alle systemen wereldwijd van het net. En alle medewerkers kregen een verlengde paasvakantie. Inmiddels slaagden het IT-team en externe experts erin om de belangrijkste systemen op te schonen en opnieuw op te starten. Ook de communicatie via de gebruikelijke kanalen zoals e-mail en telefoon verloopt op veel locaties in Europa met weinig beperkingen weer normaal. Wereldwijd gelden nog beperkingen waar met man en macht aan wordt gewerkt. Dat laatste geldt ook voor de webshop, catalogus en documentatie in Europa.
Losgeld is ongeveer 15% van de totale kosten van ransomware-aanvallen
Onderzoekers die de nevengevolgen van een ransomware-aanval analyseren, omvatten kosten die ongeveer zeven keer hoger zijn dan het losgeld dat door de bedreigingsactoren wordt geëist. Dit omvat de financiële last die wordt opgelegd door de incidentresponsinspanning, systeemherstel, juridische kosten, monitoringkosten en de algehele impact van bedrijfsonderbreking. Ransomware-aanvallen omvatten meestal het stelen van gegevens van het bedrijf en het versleutelen van systemen om het slachtoffer onder druk te zetten om te betalen om bestanden te decoderen en om een datalek te voorkomen. Onderzoekers van Check Point stelden ransomware-statistieken samen door gegevens uit openbare bronnen en enkele duizenden cyberaanvallen te analyseren in de Kovrr-database, een expert op het gebied van cyberrisico's en cyberverzekeringen.
Meer bedrijven betalen losgeld na ransomware-aanval en herstellen niet via back-ups
Onderzoeken naar ransomware-aanvallen duiden op een grote toename van het aantal bedrijven dat in 2021 slachtoffer werd van dergelijke cyberdreigingen. Tegelijk bleek de bereidheid om het losgeld te betalen hoger te liggen. 66 procent van de organisaties bleek in 2021 slachtoffer te zijn geworden van een ransomware-aanval. Dat blijkt uit het jaarlijkse ‘State of Ransomware’-rapport van Sophos. Het jaar voordien lag dat percentage op 37 procent. Het onderzoek bevroeg 5.600 IT-besluitvormers in 31 landen. Een onderzoek van Check Point Research dat zich toespitste op dezelfde cyberdreiging geeft wat meer inzicht in hoe het met de Europese markt is gesteld. Wekelijks worden in Europa 1 op 68 organisaties getroffen. In België blijkt het wekelijks om 77 organisaties te gaan die slachtoffer worden. Het rapport van Check Point onderzocht de situatie vanuit andere gegevens. Analyses van datalekken van de ransomwarebende Conti en verschillende datasets van ransomwareslachtoffers vormden de cijfers.
Japanse overheid lanceert tool die 64-bit versies Emotet-malware detecteert
Het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een tool voor het detecteren van de Emotet-malware van een update voorzien, zodat voortaan ook 64-bit exemplaren worden gedetecteerd. De eerste versie van "EmoCheck", zoals de opensourcetool heet, verscheen in 2020 en was specifiek ontwikkeld voor het detecteren van Emotet. Emotet is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, wachtwoorden steelt en zelf zeer lastig te verwijderen is. Om zich te verspreiden maakt Emotet gebruik van e-mails die als bijlage doc-bestanden met kwaadaardige macro's bevatten. Zodra de ontvanger van de e-mail de macro's in het document inschakelt wordt Emotet geïnstalleerd en zal vervolgens proberen om andere machines in het netwerk te infecteren. Emotet kan aanvullende malware downloaden en was verantwoordelijk voor een aantal zeer ernstige ransomware-uitbraken bij grote organisaties. Eerder deze maand lieten onderzoekers via Twitter weten dat nieuwe Emotet-exemplaren gebruikmaakten van 64-bit modules en loaders. Om ook deze varianten te detecteren heeft JPCERT EmoCheck van een update voorzien. De nieuwe versie is via GitHub te downloaden.
#Emotet Update π¨- Looks like Ivan was experimenting with 64 bit XLLs on the week of April 11th. This is big news! Awesome find by the ProofPoint Team and Axel F! (That alias always causes the song to play in my head btwπ) - https://t.co/BvcuOlGick 1/x
β Cryptolaemus (@Cryptolaemus1) April 26, 2022
π¨#Emotet Updateπ¨ - Looks like Ivan laid an egg for easter and has been busy. As of about 14:00UTC today 2022/04/18 - Emotet on Epoch 4 has switched over to using 64-bit loaders and stealer modules. Previously everything was 32-bit except for occasional loader shenanigans. 1/x
β Cryptolaemus (@Cryptolaemus1) April 19, 2022
EmoCheck v2.2 released. This version detects the new 64-bit variant. ^YU https://t.co/xVX7ee09AS
β JPCERT/CC (@jpcert_en) April 25, 2022
Cloudflare blokkeert gigantische HTTPS DDoS-aanval
Cloudflare detecteerde een DDoS-aanval van 15,3 miljoen HTTPS requests-per-second (rps). Dit is een van de grootste HTTPS-aanvallen die Cloudflare ooit heeft waargenomen. DDoS-aanvallers gebruiken botnets om de server van een slachtoffer met HTTP- of HTTPS-requests te overspoelen. In 2021 detecteerde Cloudflare een recordaanval van 17,2 miljoen HTTP requests-per-second. Onlangs maakte de organisatie een nieuw incident bekend. De recente aanval bestond uit 15,3 miljoen HTTPS requests-per-second. Uniek, want HTTPS requests zijn duurder. Een aanvaller heeft meer capaciteit nodig voor versleutelde TLS-verbindingen. De aanval duurde ongeveer 15 seconden en vond in het begin van april plaats. 6.000 bots in 112 landen probeerden een anonieme klant van Cloudflare te overspoelen. Botnets bestaan uit systemen die met malware zijn geïnfecteerd. 15 procent van het verkeer van de recordaanval kwam uit Indonesië, gevolgd door Rusland, Brazilië, India, Colombia en de Verenigde Staten.
Duits windmolenbedrijf Windtechnik getroffen door ransomware
Het Duitse windmolenbedrijf Windtechnik is eerder deze maand het slachtoffer van ransomware geworden. Een kleine twee weken eerder werd ook de Duitse windmolenfabrikant Nordex getroffen door gijzelsoftware. Volgens Windtechnik, dat onderhoud aan windmolens uitvoert, vond de aanval plaats in de nacht van 11 op 12 april. Wegens veiligheidsredenen werd vervolgens besloten om de remote datamonitoring van tweeduizend windmolens uit te schakelen. Deze verbindingen werden na een of twee dagen hersteld, aldus het onderhoudsbedrijf. Volgens Windtechnik had de aanval geen gevolgen voor de werking van de windmolens die het beheert en zou het operationele beheer dat het voor klanten verzorgt slechts met kleine beperkingen te maken hebben gekregen. "Op it-niveau was het mogelijk om alle systemen in een beveiligde omgeving te controleren en de fouten te identificeren en isoleren", aldus een verklaring van Windtechnik. Details over het soort aanval en hoe de aanvallers konden binnendringen zijn niet gegeven. Naar aanleiding van het forensisch onderzoek heeft Windtechnik besloten om de beveiliging in alle bedrijfsonderdelen te verscherpen. Wederom worden er geen details gegeven. In een interview met The Wall Street Journal erkent het bedrijf dat het om een ransomware-aanval ging. Inmiddels zou negentig procent van de e-mailaccounts van het personeel zijn hersteld. Windtechnik verwacht dat nog een aantal weken zal duren voordat alle uit voorzorg uitgeschakelde systemen weer online zijn. Eerder bleek dat de Duitse windmolenfabrikant Nordex op 31 maart slachtoffer was geworden van de Conti-ransomware.
Microsoft: cyberaanvallen spelen grotere rol bij conflict dan gedacht
Cybercriminaliteit speelt een grotere rol in de oorlog tussen Rusland en Oekraïne dan eerder bekend was. Dat stelt softwarebedrijf Microsoft in een rapport dat is ingezien door persbureau Reuters. De hackers worden onder meer ingezet om de militaire aanvallen van Rusland te ondersteunen. Experts zeggen dat de bevindingen aantonen hoe in moderne oorlogsvoering digitale aanvallen en bijvoorbeeld raketaanvallen kunnen worden gecombineerd. "Generaals en spionnen uit Rusland hebben geprobeerd om cyberaanvallen onderdeel te maken van hun oorlogsinspanningen terwijl ze streden op het slagveld", zegt hoogleraar Strategische Studies Thomas Rid tegen Reuters. Microsoft noemt als voorbeeld de aanval op een tv-toren in Kiev: de mediabedrijven die via die toren uitzonden werden digitaal aangevallen op dezelfde dag dat de toren werd bestookt met raketten.
VS looft miljoenen beloning uit voor tips over Russische hackers
Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning tot 10 miljoen dollar uitgeloofd voor informatie die kan leiden tot de aanhouding van zes beruchte Russische hackers. De zes Russen zouden in opdracht van de Russische militaire inlichtingendienst (GROe) onder meer de ransomware NotPetya hebben verspreid. Dat zorgde in 2017 voor grote problemen bij Oekraïense bedrijven en instanties, maar ook elders in de wereld, waaronder bij het bedrijf Maersk in de haven van Rotterdam. In de VS werd de aangerichte schade voor onder meer ziekenhuizen en de farmaceutische industrie geschat op bijna 1 miljard dollar. In oktober 2020 stelde een federale Amerikaanse jury het zestal in staat van beschuldiging vanwege een serie digitale misdrijven. De beloning voor informatie werd dinsdagavond aangekondigd. De verdachten bereidden vorige maand een cyberaanval voor door duizend systemen te besmetten zodat die konden worden overgenomen. De VS en Groot-Brittannië verijdelden die aanval. Voor de Russische invasie in Oekraïne hadden beide landen al gewaarschuwd voor deze digitale oorlogsvoering.
REWARD! Up to $10M for information on 6 Russian GRU hackers. They targeted U.S. critical infrastructure with malicious cyber ops. Send us info on their activities via our Dark Web-based tips line at: https://t.co/WvkI416g4Whttps://t.co/oZCKNHU3fY pic.twitter.com/u1NMAZ9HQl
β Rewards for Justice (@RFJ_USA) April 26, 2022
Hackersgroep Stormous hackt Coca Cola
Hackers hebben wellicht toegeslagen bij Coca Cola. De hackersgroep Stormous heeft naar verluidt 161 GB aan vertrouwelijke gegevens van de bedrijfsservers gestolen. De frisdrankfabrikant onderzoekt momenteel de geruchten over de mogelijke datadiefstal. Via zijn eigen website op het darkweb vertelt Stormous dat ze 161 GB aan data heeft gestolen van Coca Cola. De hackersgroep zegt de gegevens te verkopen aan de hoogste bieder. Voor de complete dataset willen de hackers 1,65 Bitcoin hebben, wat tegen de huidige koers een waarde vertegenwoordigt van zo’n 62.000 euro. De hackers hebben een deel van de buitgemaakte informatie reeds online gezet. Het gaat om e-mailcorrespondentie, wachtwoorden, ZIP-bestanden met financiële transacties, gecomprimeerde documenten en andere vertrouwelijke data. In een reactie laat Coca Cola weten dat het op de hoogte is van de geruchten over de datadiefstal. De frisdrankmaker bevestigt, noch ontkent dat het voorval heeft plaatsgevonden. Om de onderste steen boven te krijgen, onderzoekt het bedrijf samen met handhavingsinstanties de geruchten. Meer wil de frisdrankproducent op dit moment niet kwijt over het mogelijke incident.
Nieuwe 'Black Basta' cybercriminelen maken in korte tijd veel slachtoffers
Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta. Volgens de techsite Bleepingcomputer is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen. Lees verder
Kamervragen over ransomware-aanval op gemeente Buren
Op 1 april wisten criminelen achter de SunCrypt-ransomware toegang te krijgen tot systemen van de gemeente Buren en daar naar eigen zeggen vijf terabyte aan data buit te maken. Het gaat onder andere om gevoelige persoonsgegevens en vertrouwelijke informatie van inwoners. Honderddertig gigabyte aan gestolen data is inmiddels online gezet. De aanval is aanleiding voor VVD-Kamerlid Rajkowski om minister Bruins Slot van Binnenlandse Zaken om opheldering te vragen. "Is bekend op welke manier ransomware criminelen zijn binnengedrongen in de systemen van de gemeente Buren? Zo ja, op welke manier is de aanval verlopen? Worden andere gemeentes over deze modus operandi geïnformeerd, al dan niet via de Informatiebeveiligingsdienst (IBD)", zo vraagt ze aan de minister. De gemeente liet eerder weten dat het nog geen idee heeft hoe de criminelen het netwerk konden binnendringen. Bruins Slot moet ook duidelijk maken of andere Nederlandse gemeentes onlangs het slachtoffer van ransomware zijn geworden en om welke gemeentes het gaat. Verder wil Rajkowski weten welke stappen er vanuit de Rijksoverheid worden genomen om gemeentes weerbaar tegen ransomware-aanvallen te maken en of een ondersteuningspakket de digitale weerbaarheid van gemeentes kan verhogen. De Kamervragen dienen binnen drie weken te zijn beantwoord.
Nieuwe Axxes ransomware
Axxes Ransomware; Extension: .axxes; Ransom notes: RESTORE_FILES_INFO.hta and RESTORE_FILES_INFO.txthttps://t.co/2GcqB3UnFC@Amigo_A_ @LawrenceAbrams @JakubKroustek @demonslay335 @struppigel
β PCrisk (@pcrisk) April 27, 2022
Pas op: Onyx ransomware vernietigt bestanden in plaats van ze te versleutelen
Een nieuwe Onyx ransomware operatie is het vernietigen van bestanden groter dan 2MB in plaats van ze te versleutelen, waardoor voorkomen dat die bestanden worden gedecodeerd, zelfs als er losgeld wordt betaald. Vorige week ontdekte beveiligingsonderzoeker MalwareHunterTeam dat er een nieuwe ransomware-operatie was gestart genaamd Onyx. Zoals de meeste ransomware-operaties van vandaag, stelen Onyx-bedreigingsactoren gegevens van een netwerk voordat ze apparaten versleutelen. Deze gegevens worden vervolgens gebruikt in dubbele afpersingsschema's waarbij ze dreigen de gegevens openbaar te maken als er geen losgeld wordt betaald.
There's one more ransomware gang: ONYX.
β MalwareHunterTeam (@malwrhunterteam) April 21, 2022
Not have samples yet, only seen a note, which is mostly a copy-paste of Conti's note...
π€ pic.twitter.com/kG745eOUNu
Europese windenergiesector getroffen door golf cyberaanvallen
Door drie recente aanvallen op Europese windenergiebedrijven is er vrees dat er vanuit Rusland actie ondernomen wordt om de sector te verstoren. Windenergie zou Europa minder afhankelijk kunnen maken van olie en gas uit Rusland. De gehackte bedrijven hebben de aanvallen niet officieel toegeschreven aan een specifieke criminele bende of natie. Rusland heeft voortdurend ontkend cyberaanvallen te hebben uitgevoerd. Volgens Christoph Zipf, een woordvoerder van brancheorganisatie WindEurope, wijst de timing van de aanvallen echter op mogelijke banden met aanhangers van de Russische invasie in Oekraïne. Volgens securityexperts zijn zware aanvallen op industriële machines zeldzaam en vereisen ze veel voorbereiding. Alle drie aangevallen bedrijven bevinden zich in Duitsland. In april werd het Duitse Windtechnik AG, een bedrijf gespecialiseerd in het onderhoud van windturbines, gehackt. Het bedrijf meldde dat de hack de afstandsbedieningssystemen voor ongeveer 2.000 windturbines in Duitsland bijna een dag buiten werking stelde. Nordex SE, een bouwer van turbines, verklaarde op 31 maart dat het een inbreuk op de beveiliging had ontdekt. De aanval zette het ertoe aan het informatietechnologiesystemen stil te leggen. Conti, een ransomware-bende die sympathie heeft betuigd aan de Russische regering, eiste eerder deze maand de verantwoordelijkheid op. Enercon GmbH, een fabrikant van turbines, zei dat het “bijkomende schade” ondervond van een hack op een satellietbedrijf in februari. De hack vond bijna op hetzelfde moment plaats als de Russische inval in Oekraïne. De aanval schakelde de afstandsbediening van 5.800 windturbines van Enercon uit, hoewel ze in de automatische modus bleven werken. Matthias Brandt, hoofd van Deutsche Windtechnik, zei dat er strengere IT-beveiligingsnormen nodig zijn om het bedrijf, dat ongeveer 2.000 werknemers telt, te beschermen omdat de opkomende hernieuwbare-energie-industrie een belangrijker doelwit voor hackers zal worden. Brandt zei dat de situatie in Rusland en Oekraïne aantoont dat hernieuwbare energiebronnen uiteindelijk olie en gas zullen vervangen.
Cyberverzekeringen flink duurder door ransomware
De cyberverzekeringsmarkt blijft ook in 2022 hoogst uitdagend. Voor de eerste helft van dit jaar verwacht Aon prijsstijgingen, met in de tweede helft van 2022 kans op lichte stabilisatie. De enorme toename van ransomware-aanvallen zorgt ervoor dat het acceptatieproces van cyberverzekeraars steeds uitvoeriger en arbeidsintensiever is geworden in vergelijking met voorgaande jaren. Dat blijkt uit het wereldwijde rapport 2022 Errors & Omissions and Cyber Market Review van Aon, wereldwijd dienstverlener op het gebied van risico-, pensioen- en gezondheidsoplossingen. Hierin analyseert Aon verlies- en prijstrends en structurele veranderingen op het gebied van cyberverzekeringen en beroepsaansprakelijkheid.
2,4 miljoen dollar gestolen aan NFT's na cyberaanval op Instagram-account
Een criminele hacker heeft via een cyberaanval toegang gekregen tot het Instagram-profiel van de Bored Ape Yacht Club. Bij de aanval werden 133 NFT's gestolen, die bij elkaar naar schatting zo'n 2,4 miljoen dollar (ruim 2,2 miljoen euro) waard zijn. Bored Ape Yacht Club geeft unieke afbeeldingen van getekende apen uit als NFT's. Dat zijn gewilde werken die soms voor honderdduizenden dollars worden verhandeld. De hackers kwam door middel van een phishingaanval binnen bij het Instagram-account, meldt Bored Ape Yacht Club in een bericht op Twitter. Bij een phishingaanval doet een crimineel zich voor als iemand anders om in te breken. Eenmaal in het account deelde de kwaadwillende hacker een frauduleuze link naar een namaakwebsite van Bored Ape Yacht Club. Mensen werd beloofd dat ze gratis NFT's zouden krijgen als ze hun portemonnee koppelden, maar de hacker kon daarmee juist hun portemonnee overnemen.
This morning, the official BAYC Instagram account was hacked. The hacker posted a fraudulent link to a copycat of the BAYC website with a fake Airdrop, where users were prompted to sign a βsafeTransferFromβ transaction. This transferred their assets to the scammer's wallet.
β Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
Nieuwe Parker ransomware
PARKER Ransomware; Extension: .PARKER; Ransom note: RESTORE_FILES_INFO.txthttps://t.co/c7WSAjVkK6@JakubKroustek @demonslay335 @Amigo_A_ @struppigel @LawrenceAbrams
β PCrisk (@pcrisk) April 25, 2022
Nft-platform AkuDreams kon tijdelijk niet bij 31,7 miljoen euro na cyberaanval
Nft-platform AkuDreams werd tijdens de opening getroffen door een cyberaanval waarbij grofweg 32 miljoen euro ogenschijnlijk permanent vastgezet werd. Ondertussen heeft de hacker het geld weer vrijgegeven. Toekomstige klanten konden bij de opening van AkuDreams geld bieden op Akutars, door astronauten geïnspireerde nft-kunstwerken gemaakt door kunstenaar en voormalig baseballer Micah Johnson. Tijdens het minten van de nft's op de Ethereum-blockchain werd het laagste bod geaccepteerd waarna al het geld dat overgeboden werd teruggestort zou worden. Een hacker merkte op dat de gebruikte code voor dit proces een exploit bevatte en bevroor het betreffende geld, zo merkte nft-ontwikkelaar Foobar op. In eerste instantie leek de exploit het geld permanent te kunnen vastzetten. De onbekende hacker schreef daarentegen al snel: "Nou, dit was leuk. Ik had niet de intentie om het probleem uit te buiten. Anders had ik mezelf wel anoniem gemaakt. Als jullie publiekelijk erkennen dat de exploit bestaat, verwijder ik de blokkade direct." AkuDreams erkende de programmeerfout in de code die verantwoordelijk is voor het opstellen van een aankoopcontract en heeft het probleem naar eigen zeggen verholpen. Het nft-platform verwacht maandag of dinsdag het geld terug te kunnen storten naar slachtoffers.
Deep dive into the @AkuDreams exploit:
β foobar (@0xfoobar) April 23, 2022
$45 million permanently locked, or is it? 𧡠pic.twitter.com/k5HAOorV87
Update:
β Aku :: Akutars (@AkuDreams) April 23, 2022
.5E Refunds for Pass Holders
- Will be honored
- ETA: Monday/Tuesday
- Why? Bank opens Monday. Money from Chapter treasury will be used.
Akutars
- Will be airdropped
- Auditing contract to ensure accuracy
- ETA: Sunday
- Wait for the official Akutar OpenSea link
Quantum ransomware ingezet bij snelle netwerkaanvallen
De Quantum-ransomware, een ransomware die voor het eerst werd ontdekt in augustus 2021, werd gezien bij het uitvoeren van snelle aanvallen die snel escaleren, waardoor verdedigers weinig tijd hebben om te reageren. De bedreigingsactoren gebruiken de IcedID-malware als een van hun eerste toegangsvectoren, die Cobalt Strike inzet voor externe toegang en leidt tot gegevensdiefstal en codering met behulp van Quantum Locker. De technische details van een Quantum ransomware-aanval werden geanalyseerd door beveiligingsonderzoekers van The DFIR Report, die zegt dat de aanval slechts 3 uur en 44 minuten duurde vanaf de eerste infectie tot de voltooiing van versleutelende apparaten.
Gemeente Buren weet nog niet hoe criminelen netwerk binnendrongen
De gemeente Buren weet nog niet hoe criminelen het netwerk konden binnendringen en er vervolgens met grote hoeveelheden persoonlijke gegevens vandoor gingen. Dat laat de gemeente in een update over het incident weten. Vorige week meldde de gemeente dat criminelen achter de SunCrypt-ransomware toegang tot de systemen hadden gekregen en daarbij gevoelige persoonsgegevens en vertrouwelijke informatie hadden buitgemaakt. De aanvallers claimen vijf terabyte aan data in handen te hebben, waarvan ze inmiddels honderddertig gigabyte hebben gepubliceerd. De gemeente onderzoekt nog om wat voor gegevens het precies gaat. Er wordt niet uitgesloten dat de aanvallers alle vijf terabyte aan gegevens online zullen zetten. De aanval vond al op 1 april plaats. Destijds was echter nog niet bekend dat er ook gegevens van inwoners waren gestolen. Hoe de criminelen toegang tot het netwerk konden krijgen is nog onbekend. "We hebben ons beveiligd op basis van de richtlijnen Baseline informatiebeveiliging Overheid. Wij testen onze beveiliging jaarlijks. Aandachtspunten pakken wij direct op. Ondanks dat hebben ze een weg gevonden om bij ons binnen te komen", aldus de gemeente (pdf). Die voegt toe dat het forensisch onderzoek nog loopt. Wel zijn er inmiddels aanvullende beveiligingsmaatregelen getroffen, maar wat die precies inhouden wordt niet vermeld. "Wij nemen onze verantwoordelijk door dit zeer serieus te nemen. We zijn met man en macht bezig om na te gaan welke gegevens er zijn gestolen door de criminelen. Dat doen we zodat we u daarover kunnen informeren", zo laat de gemeente verder weten. "Daarnaast doen we dit zodat we passende maatregelen kunnen treffen om de beveiliging van onze systemen te verbeteren."
Zayaz weet nog niet wanneer dienstverlening weer de lucht in gaat, nieuwe gegevens op darkweb gezet
Bijna één maand na de cyberaanval op de woningcorporatie Zayaz in Den Bosch is het nog niet duidelijk wanneer de dienstverlening weer op gang zal komen. De hackers blijven ondertussen nieuwe buitgemaakte informatie op het darkweb plaatsen. Zayaz is één van de acht woningcorporaties die slachtoffer is geworden van een digitale aanval. Onlangs werd bekend dat er gegevens van de huurders van Zayaz op het darkweb zijn gepubliceerd. Zayaz kan niet zeggen of het nu weer om gegevens van huurders gaat, het kan ook om andere informatie gaan. Volgens een woordvoerster plaatsen de hackers af en toe een nieuwe badge gegevens online, waarschijnlijk om de druk op te voeren aangezien er geen losgeld wordt betaald. De woningcoöperatie blijft erbij geen losgeld te zullen betalen. Zayaz zegt er heel druk mee bezig te zijn om ervoor te zorgen dat de dienstverlening weer op kan starten. “We werken ons drie slagen in de rondte en hebben ontzettend veel stappen gemaakt", aldus de woordvoerster. De woningcorporatie kan nog geen datum noemen waarop de dienstverlening weer opgestart zal worden. Wel is al duidelijk dat dit stap voor stap zal gebeuren. Dit om ervoor te zorgen dat Zayaz de drukte aankan. Volgens de coöperatie is er veel begrip van huurders. Vorige week hebben zij een brief gekregen waarin zij geïnformeerd zijn over de huidige stand van zaken. De huurders moeten extra alert zijn op bijvoorbeeld valse e-mails, sms-berichten of valse telefoongesprekken.
Bron: Diverse | Met speciale dank aan: Anonieme tipgevers
Meer weekoverzichten
Slachtofferanalyse en Trends van Week 48-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 47-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 46-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 45-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 44-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 43-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 42-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 41-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 40-2024
In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.
Slachtofferanalyse en Trends van Week 39-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 38-2024
Reading in π¬π§ or another language
Slachtofferanalyse en Trends van Week 37-2024
Reading in π¬π§ or another language