Overzicht cyberaanvallen week 21-2022

Gepubliceerd op 30 mei 2022 om 15:00

Nederland betaalt op een na hoogste losgeld voor ransomware, Deadbolt-ransomware infecteert honderden QNAP NAS-apparaten en Cisco waarschuwt voor actief aangevallen zerodaylek in IOS XR. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes.


Update: 30-mei-2022 | Aantal slachtoffers: 5.565



Week overzicht

Slachtoffer Cybercriminelen Website Land
gpmlife.com LockBit gpmlife.com USA
An Technology Company Cheers Unknown Unknown
An Financial Company Cheers Unknown Unknown
An Belgium Hospital Cheers Unknown Belgium
An International Maritime Company Cheers Unknown Unknown
GREEN MOUNTAIN ELECTRIC SUPPLY BlackCat (ALPHV) gmes.com USA
koenigstahl.pl LockBit koenigstahl.pl Poland
foxconnbc.com LockBit foxconnbc.com Mexico
pauly.de LockBit pauly.de Germany
hospitalsanjose.es LockBit hospitalsanjose.es Spain
Travira Air Hive travira-air.com Indonesia
XEIAD Hive www.xeiad.com UK
BLAIR inc. Black Basta www.blairinc.com USA
PRICEDEX.COM CL0P pricedex.com Canada
FERRAN-SERVICES.COM CL0P ferran-services.com USA
LATOURNERIE-WOLFROM.COM CL0P latournerie-wolfrom.com France
ENSSECURITY.COM CL0P enssecurity.com USA
Florida Department of Veterans' Affairs Quantum www.floridavets.org USA
ATAPCOPROPERTIES.COM CL0P atapcoproperties.com USA
ils.theinnovatecompanies.com LockBit ils.theinnovatecompanies.com USA
SPERONI SpA Everest speronispa.com Italy
edm-stone.com LockBit edm-stone.com USA
Mebulbs Lorenz www.mebulbs.com USA
SOUCY Hive www.soucy-group.com Canada
Guardian Fueling Technologies Hive guardianfueltech.com USA
ChemStation International Hive www.chemstation.com USA
NUAIRE Hive nuaire.co.uk UK
Yachiyo Of America Hive yachiyo-of-america.com USA
XYTECH LV www.xytechsystems.com USA
AGCO Black Basta www.agcocorp.com USA
LCRD Conti www.co.linn.or.us USA
The Contact Company Conti thecontactcompany.co.uk UK
pointsbet.com LockBit pointsbet.com USA
Love, Barnes & McKew Insurance Adjusters Black Basta www.lbmadjusters.com USA
TRANSCONTRACT KelvinSecurity Unknown Unknown
Mansfield Energy KelvinSecurity mansfield.energy USA
vitalprev.com.br LockBit vitalprev.com.br Brazil
Central Restaurant Products Conti www.centralrestaurant.com USA
pet-link.com LockBit pet-link.com Hong Kong
Horwitz Law, Horwitz & Associates BlackCat (ALPHV) www.horwitzlaw.com USA
architectenbureaugofflo.be LockBit architectenbureaugofflo.be Belgium
erdwaerme-gruenwald.de LockBit erdwaerme-gruenwald.de Germany
kuwaitflourmills.com LockBit kuwaitflourmills.com Kuwait
Allports Group Black Basta www.allportsgroup.co.uk UK
Imagen Television BlackCat (ALPHV) www.imagentv.com Mexico
virtus-advocaten.be LockBit virtus-advocaten.be Belgium
www.intertabak.com LockBit www.intertabak.com Switzerland
RateGain Hive rategain.com USA
RateGain Conti rategain.com USA
detego.com Industrial Spy detego.com UK
AMETHYST LV amethyst-radiotherapy.com Netherlands
VMT-GmbH Ragnar_Locker vmt-gmbh.de Germany
Active Communications International Quantum www.wplgroup.com UK
Transsion Holdings Quantum www.transsion.com China
Eurocept Quantum www.eurocept.nl Netherlands
Omicron Consulting S.r.L Conti www.omicronconsulting.it Italy
Pianca Conti www.pianca.com Italy
Allcat Claims Service Conti www.allcatclaims.com USA
berschneider.de LockBit berschneider.de Germany

In samenwerking met DarkTracer


10.000 QNAP-eigenaren gewaarschuwd dat NAS vanaf internet toegankelijk is

Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft zo'n tienduizend eigenaren van een QNAP-NAS gewaarschuwd dat het apparaat vanaf internet toegankelijk is en zo risico loopt om te worden aangevallen. Aanleiding is een recente waarschuwing van QNAP voor een nieuwe variant van de Deadbolt-ransomware. De ransomware infecteert NAS-systemen die vanaf het internet toegankelijk zijn en QTS versie 4.3.6 of QTS versie 4.4.1 draaien. Eenmaal actief versleutelt de ransomware bestanden voor losgeld. Naast het updaten van de QTS-versie adviseerde QNAP ook om de NAS-apparaten niet direct vanaf internet toegankelijk te maken. Het DIVD doet onderzoek naar kwetsbaarheden in software en waarschuwt organisaties wanneer ze kwetsbare software draaien of systemen verkeerd hebben geconfigureerd. Naar aanleiding van de nieuwe aanvalscampagne tegen QNAP-gebruikers heeft het DIVD een online scan uitgevoerd naar online toegankelijk NAS-apparaten. Gisteren werd naar zo'n tienduizend hosts een bericht gestuurd dat hun NAS vanaf het internet bereikbaar is. Daarnaast wordt deze gebruikers geadviseerd om port forwarding uit te schakelen om zo het probleem te verhelpen.


Deadbolt-ransomware infecteert honderden QNAP NAS-apparaten

Zo'n vijfhonderd NAS-apparaten van fabrikant QNAP zijn vorige week versleuteld door de Deadbolt-ransomware. QNAP waarschuwde op 19 mei voor een nieuwe aanval door de Deadbolt-ransomware, waarvan begin dit jaar de eerste variant verscheen. De nieuwste versie richt zich op NAS-apparaten die een oudere versie van QNAPs QTS-besturingssysteem draaien. De NAS-fabrikant heeft niet laten weten via welk beveiligingslek de aanvallers toegang tot de apparaten weten te krijgen. Gebruikers wordt opgeroepen om naar de nieuwste QTS-versie te updaten en hun NAS niet vanaf het internet toegankelijk te maken. Analysebedrijf Censys voerde in de periode van 11 tot 18 mei een online scan uit en ontdekte bijna vijfhonderd besmette NAS-apparaten. De meeste besmette NAS-systemen bevinden zich in de Verenigde Staten, gevolgd door Duitsland en het Verenigd Koninkrijk. In plaats van het gehele systeem te versleutelen, waardoor het in principe offline gaat, richt de ransomware zich alleen op specifieke back-updirectories en voorziet de beheerdersinterface van een boodschap waarin staat dat slachtoffers losgeld moeten betalen als ze hun data terug willen. Op basis van de door de ransomware genoemde bitcoinwallets stelt Censys dat 132 slachtoffers bij elkaar een bedrag van 188.000 dollar hebben betaald, wat neerkomt op een gemiddeld losgeld van ruim 1400 euro per slachtoffer.


Hackers Twitter-account Beeple maken vier ton buit

Hackers hebben voor ruim 400 duizend euro mensen opgelicht nadat ze het Twitter-account van de bekende kunstenaar Beeple hadden gekaapt. De cybercriminelen tweetten een link naar een malafide site. De hackers plaatsten op het Twitter-account van Beeple een link naar een zogenaamde loting voor NFT-kunst die de kunstenaar samen met modemerk Louis Vuitton zou hebben opgezet. De bezoekers van die malafide site werden bedragen in cryptomunten afhandig gemaakt. In totaal maakten de cybercriminelen in nog geen vijf uur tijd omgerekend 410.000 euro buit, meldden experts. De hackers maakten misbruik van het feit dat Beeple vorig jaar een collectie NFT's heeft gemaakt voor een game rond het 200-jarig bestaan van Louis Vuitton. Beeple kreeg later op de dag zijn Twitter-account met 637 duizend volgers weer terug. "Alles wat te mooi lijkt om waar te zijn, is oplichting", schreef Beeple, die in het echt Mike Winkelmann heet. "Er zal nooit een verrassingsrelease zijn die ik maar op één platform aankondig." 


Franse overheid hielp vierhonderd door ransomware getroffen organisaties

De Franse overheid heeft de afgelopen twee jaar vierhonderd organisaties geholpen die het slachtoffer van ransomware waren geworden. Het ging met name om bedrijven en lokale autoriteiten, zoals gemeenten en provincies. In 2020 was het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) bij 192 incidenten betrokken, vorig jaar waren dat er 203. Volgens het ANSSI maakten het mkb en lokale overheden in 2020 nog 58 procent van de slachtoffers uit. Dat was vorig jaar 71 procent. Met name bij het mkb was er een stijging van het aantal getroffen ondernemingen te zien. De Franse overheidsdienst monitorde vorig jaar veertig verschillende ransomwareprogramma's. In de meeste gevallen gaan aanvallers opportunistisch te werk en zoeken doelwitten met weinig security, veel geld en die zich geen verstoring van de bedrijfsactiviteiten kunnen veroorloven. Vorig jaar juni, mede vanwege een aantal grote ransomware-aanvallen, besloten opsporingsdiensten wereldwijd achter ransomwaregroepen aan te gaan. Daarbij werden botnets ontmanteld en personen aangehouden. Het ANSSI denkt dat alleen de ransomwaregroepen die buiten bereik van opsporingsdiensten weten te blijven, soms met behulp van de staat, door blijven gaan met hun aanvallen. Andere ransomwaregroepen zullen mogelijk voor een ander businessmodel kiezen, waarbij ze geen data meer versleutelen, maar alleen stelen en dreigen te publiceren wanneer er geen losgeld wordt betaald.

20220309 NP WHITE ANSSI Panorama Menace ANSSI
PDF – 1,3 MB 226 downloads

Nederland betaalt op een na hoogste losgeld voor ransomware

Bedrijven en organisaties betalen de hoogste sommen aan losgeld voor ransomware en moet alleen Japan voor zich laten. Dat blijkt uit een onderzoek van AtlasVPN. De gemiddelde som die Nederlandse organisaties betalen bedraagt 2 miljoen US dollar. Japanse bedrijven betalen maar liefst gemiddeld 4,3 miljoen US dollar. De top vijf wordt verder gecompleteerd door Filipijnen (1,6 miljoen US dollar), Israël (1,3 miljoen) en India (1,2 miljoen). Volgens het onderzoek focussen criminelen zich steeds meer op media en entertainmentbedrijven. 79% van de ondervraagde bedrijven in die sector hadden te maken met ransomware in 2021. Ook de retail heeft meer dan gemiddeld last van aanvallen (77%) gevolgd door de energiesector (75%) en de transportsector (74%).

Japan And Netherlands
PDF – 255,8 KB 310 downloads

Van Huffelen kan nieuwe ransomware-aanval op gemeente niet uitsluiten

Staatssecretaris van Huffelen van Digitalisering kan niet uitsluiten dat een Nederlandse gemeente opnieuw het slachtoffer van een ransomware-aanval wordt. Nieuwe maatregelen om gemeenten tegen dergelijke aanvallen te beschermen worden niet uitgesloten. Dat laat de bewindsvrouw weten naar aanleiding van de aanval op de gemeente Buren. Bij deze gemeente wisten aanvallers gigabytes aan vertrouwelijke data buit te maken, waaronder de identiteitsbewijzen van driehonderd burgers. Naar aanleiding van de aanval vroeg VVD-Kamerlid Rajkowski de staatssecretaris om opheldering. Zo wilde ze onder andere weten welke andere Nederlandse gemeente het slachtoffer van ransomware geworden. Daarbij noemt Van Huffelen de gemeente Lochem in 2019 en de gemeente Hof van Twente in 2020. "Daarbij was geen sprake van datadiefstal. Deze gemeenten hebben hier transparant over gecommuniceerd en lessen gedeeld", voegt de staatssecretaris toe. "Hoe groot acht u de kans dat soortgelijke aanvallen bij andere gemeentes plaatsvinden? Welke stappen worden vanuit de Rijksoverheid genomen om gemeentes cyberweerbaar te maken tegen ransomware-aanvallen en andere digitale aanvallen?", vroeg Rajkowski verder. Van Huffelen merkt op dat het niet is te voorspellen of en wanneer soortgelijke aanvallen plaatsvinden. "Ik kan in elk geval niet uitsluiten dat een dergelijke aanval opnieuw zal plaatsvinden, noch bij een gemeente, noch bij een andere organisatie in een geheel andere sector." De gemeente Buren zal naar aanleiding van de aanval de onderzoeksrapportage en evaluatie openbaar maken. Beide zijn er echter nog niet. "Het is daarom nu nog te vroeg om aan te geven welke concrete lessen uit de aanpak van de gemeente Buren kunnen worden getrokken", stelt Van Huffelen. Afsluitend meldt de staatssecretaris dat de gemeente Buren voldoet aan de Baseline Informatiebeveiliging Overheid (BIO) en het onderzoek moet aantonen hoe het incident heeft kunnen gebeuren. "Ik hecht eraan te vermelden dat de gemeente nu midden in een grote crisis verwikkeld is en dat het belangrijk is de uitkomsten van het lopend onderzoek en evaluatie af te wachten." Afhankelijk van het onderzoek en de evaluatie moet volgens Van Huffelen blijken hoe dergelijke aanvallen in de toekomst zijn te voorkomen en of het nodig is om aanvullende maatregelen te treffen.

Antwoord Op Vragen Van Het Lid Rajkowski Over Het Bericht Datalek Gemeente Buren
Word – 35,0 KB 216 downloads

Gemeente Buren gaat bij ransomware-aanval gestolen id-bewijzen vervangen

De gemeente Buren gaat driehonderd identiteitsbewijzen die bij een ransomware-aanval op 1 april werden gestolen kosteloos vervangen. Getroffen inwoners en oud-inwoners hebben een brief ontvangen voor het aanvragen van een nieuw identiteitsbewijs. "De komende tijd blijven we onze bestanden nalopen. Als er tijdens dit onderzoek meer identiteitsbewijzen worden aangetroffen, die op het darkweb staan, dan krijgen betrokkenen hierover een persoonlijk bericht", aldus de gemeente. Criminelen achter de SunCrypt-ransomware wisten toegang te krijgen tot systemen van de gemeente Buren en daar naar eigen zeggen vijf terabyte aan data buit te maken. Het gaat onder andere om gevoelige persoonsgegevens en vertrouwelijke informatie van inwoners. Honderddertig gigabyte aan gestolen data is inmiddels online gezet. Hoe de aanvallers binnen wisten te dringen is nog altijd niet bekendgemaakt. Het digitaal forensisch onderzoek naar de exacte oorzaak loopt nog. Wel heeft de gemeente naar eigen zeggen extra maatregelen getroffen. Wat die precies inhouden wordt niet gemeld. "De hacker zit niet meer in ons systeem en kan hier ook niet meer opnieuw binnenkomen. Anders waren we niet opnieuw opengegaan", zo laat de gemeente verder weten, die tevens opmerkt dat inwoners niet hun telefoonnummer, e-mailadres of IBAN hoeven aan te laten passen.


Cisco waarschuwt voor actief aangevallen zerodaylek in IOS XR

Cisco waarschuwt organisaties en netwerkbeheerders voor een actief aangevallen zerodaylek in IOS XR waardoor een ongeauthenticeerde aanvaller toegang tot de Redis-database kan krijgen die binnen een container van het systeem draait. Een aanvaller kan zo informatie binnen de Redis-database aanpassen, willekeurige bestanden naar het container bestandssysteem schrijven en informatie over de Redis-database achterhalen. Vanwege de configuratie van de container waarin de Redis-database draait kan een aanvaller geen willekeurige code uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2022-20821, is op een schaal van 1 tot en met 10 beoordeeld met een 6.5. Volgens Cisco wordt het probleem veroorzaakt doordat op systemen waar het health check package is geïnstalleerd standaard tcp-poort 6379 wordt geopend. Om misbruik van de kwetsbaarheid te voorkomen kan de health check worden uitgeschakeld of tcp-poort 6379 via een Infrastructure Access Control List (iACL) worden geblokkeerd. Daarnaast zijn er beveiligingsupdates uitgebracht. Cisco ontdekte de kwetsbaarheid bij het onderzoeken van een supportcase. Vanwege het waargenomen misbruik adviseert de netwerkgigant om de genoemde workarounds toe te passen of de update te installeren.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiΓ«le sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »