Overzicht cyberaanvallen week 27-2022

Gepubliceerd op 11 juli 2022 om 15:00

Nieuwe RedAlert Ransomware richt zich op Windows, Linux VMware ESXi-servers, ransomware verzekeringspremie stijgt 74 procent en aanval op chipmaker Diodes vormt groot risico. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.


Meer dan 5.000 organisaties hebben schade geleden door het lekken van interne data op het Darkweb door ransomware bendes omdat ze weigerden te betalen. Als je betaald wordt er geen data gelekt en kom je niet op deze lijst.. ‘Zo'n 80% van de organisaties betaalt losgeld’ 🤔

Update: 11-juli-2022 | Aantal slachtoffers: 5.859


Week overzicht

Slachtoffer Cybercriminelen Website Land
Meritus Karakurt merituscommunities.com USA
vahanen.com RedAlert vahanen.com Finland
An International Shipping Company Cheers Unknown Unknown
Trade-Mark Industrial Inc. Black Basta trade-markind.com Canada
lapostemobile.fr LockBit lapostemobile.fr France
Rewash Karakurt rewash.com USA
John Moore Services Karakurt johnmooreservices.com USA
Stm.com.tw Cuba stm.com.tw Taiwan
carnbrea.com.au LockBit carnbrea.com.au Australia
The Wiener Zeitung media group Black Basta www.wienerzeitung.at Austria
LOKALTOG Black Basta lokaltog.dk Denmark
RENZEL Black Basta www.vkf-renzel.com Germany
Wagstaff Piling Black Basta www.wagstaffpiling.com.au Australia
Wipro HealthPlan Services Black Basta www.healthplan.com USA
Sierra Pacific Industries Black Basta www.spi-ind.com USA
Jinny Beauty Supply Black Basta www.jinny.com USA
LOSSEWERK Black Basta www.stadtreiniger.de Germany
BOERNER-GRUPPE Black Basta www.boerner-home.de Germany
Jakob Becker Black Basta www.jakob-becker.de Germany
RBBUSA Black Basta www.roche-bobois.com France
SCHMIDT Gruppe Service GmbH Black Basta www.schmidtgruppe.de Germany
INTERN_WW Black Basta www.wenzel-wenzel.com Germany
TMI Black Basta trade-markind.com Canada
DEKIMO Black Basta www.dekimo.com Belgium
BAUER Black Basta www.bauergruppe.de Germany
Young & Pratt Black Basta youngandpratt.com USA
Gatewayrehab BlackByte www.gatewayrehab.org USA
LYDECKERLAW Black Basta www.lydecker.com USA
OLYMPIATILE Black Basta www.olympiatile.com Canada
Dusit D2 Kenz Hotel Dubai BlackCat (ALPHV) www.dusit.com United Arab Emirates
Lamoille Health BlackByte www.lamoillehealthpartners.org USA
Assura Group Karakurt assuraplc.com UK
DPP Black Basta www.dpp-law.com UK
alpachem.com LockBit alpachem.com Italy
cabbageinc.com LockBit cabbageinc.com USA
idex.fr Industrial Spy idex.fr France
Sinclair Wilson BlackCat (ALPHV) www.sinclairwilson.com.au Australia
syredis.fr RedAlert syredis.fr France
Solví Group Karakurt www.solvi.com Brazil
Adler Display BlackCat (ALPHV) adlerdisplay.com USA
Pontal Engineering Constructions and Developments Everest pontalengenharia.com.br Brazil
V-Soft Consulting Karakurt www.vsoftconsulting.com USA
Wis-Pak, Inc Lorenz wis-pak.com USA
Vectalia group Vice Society www.alicante.vectalia.es Spain
Goodwill industries Karakurt www.goodwill.org USA
The Green Factory Karakurt green-factory.com Poland
The Janesville Gazette Karakurt www.gazettextra.com USA
A Lord Brasil é Karakurt lordbrazil.com Brazil
DIRECTFERRIES Hive www.directferries.co.uk UK
Hamlyns Limited Hive www.hamlyns.com UK
Sappi Karakurt www.sappi.com South Africa
Holland CPA BlackCat (ALPHV) www.hollandcpa.cc USA
NETWORK4CARS Hive www.network4cars.com Netherlands
WWSTEELE Hive www.steeleglobal.com USA
CAN.COM Hive www.cancapital.com USA
AUM Hive www.allenandunwin.com Australia
KDE Hive www.desma.biz Germany
Yurtiçi Kargo Hive yurticikargo.com Turkey
Massy Distribution Limited Hive massydistribution.com Jamaica
MHIRE Hive modernhire.com USA
Montrose Environmental Group, Inc Black Basta montrose-env.com USA
CAPSONIC Black Basta capsonic.com USA
V2 Logistics Corp Black Basta v2logistics.com USA
OLDPALMGOLFCLUB Black Basta www.oldpalmgolfclub.com USA

In samenwerking met DarkTracer


Disneyland's sociale media-accounts gehackt

De Facebook- en Instagram-accounts van Disneyland werden gehackt door een zelfbenoemde 'superhacker' die een reeks racistische en homofobe berichten plaatste. De bedreigingsacteur die opereerde onder de naam 'David Do', beweerde dat hij wraak wilde nemen op Disneyland-medewerkers nadat sommigen van hen hem zouden hebben beledigd. De hacker publiceerde ook berichten waarin hij beweerde COVID-19 te hebben "uitgevonden" en suggereerde dat hij aan een nieuw "COVID20" -virus werkte. In totaal plaatste de dader voor 5 uur 's ochtends vier berichten op het Instagram-account van Disneyland. Disneyland verklaarde dat de hacker ook verschillende andere Instagram-accounts heeft getagd, maar het is onbekend of ze vrienden zijn en zullen helpen de politie naar de hacker te leiden. Ook moedigde hij gebruikers van sociale media aan om zijn privé Instagram-account te volgen @chi11estpanda. De berichten ontvingen duizenden reacties van shock en verontwaardiging van de 8,4 miljoen volgers van Disney. De Disneyland Facebook- en Instagram-accounts werden tijdelijk verwijderd kort nadat de berichten live gingen en kwamen weer online nadat het team de berichten had verwijderd. De andere sociale media-pagina's van het park bleven onaangetast. In de Disneyland-blogpost werd gesteld dat het niet bekend is hoe deze persoon toegang heeft weten te krijgen tot het Disneyland Instagram-account. De beveiligingsteams van het bedrijf doen onderzoek naar het incident.


Windmolens Oude Maas gehackt, na 3 ruim maanden stilstand lijkt een oplossing in zicht

De vijf windturbines langs de Oude Maas, aan de ‘overkant’ voor inwoners van Barendrecht, gaan binnenkort mogelijk toch (proef)draaien. De windmolens hadden vanaf april 2022 moeten proefdraaien, maar een hack van het Duitse bedrijf Nordex voorkwam dit. Meer dan 1.000 windmolens die door het bedrijf werden aangestuurd kwamen stil te staan. De windmolens worden aangestuurd via servers/satellieten van het bedrijf Nordex. Dit bedrijf werd vlak na de Russische inval in Oekraïne gehackt, vermoedelijk door Russische cybercriminelen die het bedrijf onder druk hebben gezet om geld te betalen voor het weer vrijgeven van hun systemen (het gebruikte type gijzelsoftware is in het verleden vaker door deze zelfde groep cybercriminelen ingezet bij digitale afpersing van bedrijven). Windmolens Navraag bij Windpark Oude Maas initiatiefnemer ‘Renewable Factory’ leert dat de molens nog steeds niet (proef)draaien vanwege deze hack: “We zijn erg druk om het proces rondom de ICT en het vervolgproces van het windpark te managen. Het duurt langer dan verwacht om alle vertragingen bij de projecten, die door de hack zijn veroorzaakt, waarvan windpark Oude Maas er één is, binnen Nordex opgelost te krijgen.” Wel lijkt er op korte termijn een oplossing aan te komen, hierdoor zouden ze windturbines mogelijk al binnen 10 dagen kunnen beginnen met het proefdraaien: “Het ICT probleem is verholpen en we kunnen nu met de laatste voorbereidingsfase beginnen alvorens de windturbines in proefbedrijf kunnen. Normaal gesproken kunnen de eerste windturbines dan binnen 10 dagen hun eerste uren proefdraaien. Maar we houden nog een slag om de arm, omdat de laatste voorbereidingsfase nog loopt en waar eventueel nog problemen naar voren kunnen komen.”


Ransomware: verzekeringspremie stijgt 74 procent

Afgelopen jaar stegen de premies voor een cyberverzekering gemiddeld 74 procent ten opzichte van een jaar eerder. Doordat ook in 2022 en 2023 de polissen duurder worden, betaal je tegen die tijd waarschijnlijk tweemaal zoveel als in 2020. Belangrijkste oorzaak is ransomware, blijkt uit internationaal onderzoek van Dealroom.co en enkele verzekeraars waaronder de Nederlandse NN Group (Nationale Nederlanden). De stijging van de premies heeft volgens de onderzoekers vooral te maken met de toename van claims van verzekerden. In 2020 moesten verzekeraars 72 procent van alle opgehaalde cyberverzekeringpremies weer uitkeren. Een jaar eerder bedroeg deze zogeheten loss ratio nog 43 procent. De loss ratio is in de verzekeringswereld een indicator van de winstgevendheid. Grote boosdoener is de toename van ransomware, blijkt uit het onderzoek. Dergelijke gijzelsoftware zorgt namelijk voor een vicieuze cirkel. Bedrijven met een cyberverzekering betalen sneller losgeld aan cybercriminelen die hun systemen en data via ransomware in gijzeling nemen. Dit beloont het gedrag van de criminelen, die het als winstgevende business gaan zien en meer ransomware plaatsen. Doordat verzekeringen vaker moeten uitkeren, verhoogt de premie. De markt van cyberverzekeringen is zo uitdagend, innovatief en snel veranderend, dat veel verzekeringsbedrijven er in stappen, aldus Lluis Vinas. Hij is investment director bij investeringsmaatschappij Mundi Ventures en doet in het onderzoeksrapport van Dealroom.co zijn verhaal. Vooral in 2021 waren er veel meer investeringen in cyberverzekeringsbedrijven. Het leeuwendeel van de transacties had een waarde tussen de 100 en 250 miljoen dollar.

The State Of European Insurtech 2022 Dealroom Mundi MAPFRE NN Group Draft Pdf
PDF – 15,0 MB 235 downloads

Internationale financiële taskforce richt zich op bestrijding van ransomware

De Financial Action Task Force (FATF), waar ook Nederland deel van uitmaakt, gaat zich richten op de bestrijding van ransomware, zo blijkt uit een verslag van de laatste vergadering. Het gaat dan onder andere om het in beslag nemen van crimineel geld. De Financial Action Task Force (FATF) is opgericht door de G7 en houdt zich bezig met de bestrijding van witwassen en terrorismefinanciering. Ook Nederland neemt deel aan de Taskforce. Eerder dit jaar lieten de deelnemende landen aan de FATF weten dat de digitale transitie economieën en samenlevingen verandert, en dat dit nieuwe risico's met zich zal meebrengen, waarbij specifiek ransomware werd genoemd, alsmede andere vormen van cybercrime. Tijdens de laatste vergadering die een aantal weken geleden plaatsvond is besloten dat de Taskforce zich specifiek gaat richten op grensoverschrijdende criminaliteit, waarbij wederom ransomware apart werd genoemd"De FATF zal zich ook inspannen om het gebruik van data-analyse en publiek-private partnerschappen te versterken om het witwassen van geld en de financiering van terrorisme beter te bestrijden", zo laat het verslag van het ministerie van Financiën verder weten.

Verslag Plenaire Vergadering Financial Action Task Force Fatf Juni 2022
PDF – 104,1 KB 195 downloads
Bijlage Verslag Plenaire Vergadering Fatf Juni 2022
PDF – 253,2 KB 195 downloads

QNAP waarschuwt voor Checkmate-ransomware

QNAP adviseert klanten hun NAS-systemen goed te beveiligen, vanwege aanvallen met de nieuwe Checkmate-ransomware. Volgens de NAS-leverancier is het aantal aanvallen met de recente Checkmate-ransomware op de NAS-devices sterk aan het toenemen. Hackers hebben het vooral voorzien op QNAP NAS-devices die ook SMB hebben aanstaan en over accounts met zwakke wachtwoorden beschikken. Vooral zwakke wachtwoorden die eenvoudig met een brute force-aanval kunnen worden gekraakt. De Checkmate-ransomware is sinds 28 mei bekend en voegt een checkmate-appendix toe aan de door de ransomware versleutelde bestanden. Daarnaast installeert de ransomware op getroffen devices een bestand met de naam !CHECKMATE_DECRYPTION_README. In dit bestand vragen de hackers 14.853,52 euro (15.000 dollar) losgeld in bitcoins. Wanneer slachtoffers dit bedrag hebben betaald, ontvangen zij de een decryptor en de onsleutelingssleutel.


Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro

Microsoft heeft besloten om het standaard blokkeren van macro's in Office tijdelijk terug te draaien. Het techbedrijf had de maatregel genomen om gebruikers en organisaties tegen ransomware te beschermen, maar is daar vanwege "feedback" op teruggekomen. De maatregel, die al in de previewversie van het "Current Channel" van Office 365 was doorgevoerd, wordt nu teruggedraaid. Dat laat Microsoft via de eigen website weten. Veel grote ransomware-aanvallen, zoals die bij de Universiteit Maastricht, begonnen met een Office-document voorzien van een kwaadaardige macro. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's, maar gebruikers kunnen die met een enkele muisklik inschakelen. Vaak voegen aanvallers instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat dit nodig zou zijn om de inhoud van het document te bekijken. Om te voorkomen dat aanvallers op deze manier nog malware en ransomware kunnen verspreiden besloot Microsoft afgelopen april een aanpassing in Access, Excel, PowerPoint, Visio en Word door te voeren. Bij Office-documenten afkomstig van het internet worden macro's op zo'n manier geblokkeerd dat die niet meer eenvoudig zijn in te schakelen. Office laat in dit geval een waarschuwing zien dat er sprake is van een beveiligingsrisico met een link naar een pagina die uitlegt waarom de macro is geblokkeerd. Gebruikers die macro's alsnog in het betreffende document willen inschakelen zullen hiervoor via de bestandseigenschappen verschillende stappen moeten doorlopen. Op 12 april werd de feature in de previewversie van het current Microsoft 365 channel doorgevoerd. Andere versies zouden op een later moment volgen. In een update meldt Microsoft dat het vanwege feedback heeft besloten de aanpassing terug te draaien. Het bedrijf zegt de "experience" te willen verbeteren en zal die op een nog te bepalen moment weer uitbrengen. Verdere details zijn niet gegeven. Critici stellen dat de macro-blokkade in zijn huidige vorm met name binnen het mkb voor grote problemen zou zorgen. Microsoft wordt dan ook gevraagd de aanpassing te vereenvoudigen en hier duidelijker over te communiceren.


Incident rapportage ransomware-aanval Gemeente Buren

De gemeente Buren heeft een incident rapportage openbaar gemaakt over de ransomware-aanval waarbij cybercriminelen begin april gevoelige data buitmaakten. Daarin staan conclusies en aanbevelingen die relevant kunnen zijn voor alle gemeenten in Nederland. Securitybedrijf Hunt & Hackett, dat het rapport schreef, deelt ook de technische details van de aanvalsmethoden van de cybercriminelen.

20220701 Red Mudnester Report V 3 0 Publiek
PDF – 3,0 MB 210 downloads

Britse overheid vraagt advocaten om niet te betalen bij ransomware

De Britse overheid heeft advocaten in het land via een open brief gevraagd om het betalen van losgeld niet te adviseren aan klanten die door ransomware zijn getroffen. Volgens het Britse National Cyber Security Centre (NCSC) en de Britse privacytoezichthouder ICO is er de afgelopen maanden een toename van het aantal ransomware-aanvallen en gevallen waarbij getroffen organisaties losgeld betalen. Getroffen organisaties vragen vaak advies aan hun advocaten of er losgeld moet worden betaald. Het NCSC en ICO stellen dat er het geloof heerst dat het betalen van het losgeld de gestolen data beschermt en voor een lagere boete kan zorgen als de privacytoezichthouder een onderzoek instelt. "We willen duidelijk maken dat dit niet het geval is", aldus de Britse overheidsinstanties (pdf). Die stellen verder dat het betalen van losgeld niet het risico voor personen vermindert en ook geen verplichting onder de privacywetgeving is. Verder wordt het niet gezien als een redelijke maatregel om gegevens te beschermen. De ICO zal het betalen van losgeld dan ook niet als verzachtende maatregel beschouwen wanneer het besluiten om te handhaven. De overheidsdiensten merken op dat justitie het betalen van losgeld niet aanmoedigt of veroordeelt en dat betalingen over het algemeen niet onrechtmatig zijn. Organisaties die betalen moeten echter wel rekening met sancties houden, met name met betrekking tot Rusland, zo laat de brief verder weten. Daarin staat ook dat het betalen van losgeld criminelen aanmoedigt om door te gaan en er geen garantie is dat bestanden worden ontsleuteld en data teruggegeven. "Ransomware blijft de grootste dreiging voor het Verenigd Koninkrijk en we willen duidelijk maken dat organisaties geen losgeld zouden moeten betalen", zegt Lindy Cameron, directeur van het NCSC. "Helaas zien we een toename van het aantal betalingen aan ransomwarecriminelen en de juridische sector speelt een cruciale rol om deze trend terug te draaien."

Ico Ncsc Joint Letter Ransomware 202207
PDF – 171,1 KB 330 downloads

Datalek bij 650 zorginstellingen na ransomware-aanval op incassobureau VS

Een ransomware-aanval op een Amerikaans incassobureau heeft voor een datalek bij ruim 650 Amerikaanse zorginstellingen gezorgd. Professional Finance Company (PFC) verzorgt debiteurenbeheer voor zorginstellingen, overheidsinstanties, nutsbedrijven en winkels in de Verenigde Staten. Op 26 februari werd het bedrijf slachtoffer van een ransomware-aanval waarbij aanvallers meerdere systemen van het incassobureau wisten te versleutelen. Uit het onderzoek dat vervolgens werd uitgevoerd bleek dat de aanvallers bestanden hebben benaderd met persoonlijke informatie van personen die nog een rekening bij hun zorginstelling open hadden staan. Uit een overzicht van PFC blijkt dat het om 657 gezondheidszorgorganisaties gaat (657). Het incassobureau zegt dat het geen bewijs heeft dat er misbruik van de persoonsgegevens is gemaakt, maar kan het ook niet uitsluiten. De aanvallers zouden toegang hebben kunnen gehad tot namen, adresgegevens, informatie over betalingen en in sommige gevallen social-securitynummers, verzekeringsgegevens en informatie over medische behandelingen. PFC liet vorige week in een persbericht weten dat het alle getroffen individuen gaat waarschuwen (pdf). Tevens biedt het incassobureau gratis kredietmonitoring en een dienst die tegen identiteitsdiefstal moet beschermen. Hoeveel personen slachtoffer van het datalek zijn geworden is onbekend. Alleen in de staat Montana gaat het al om ruim zesduizend mensen.

Consumer Notification Letter 367
PDF – 2,9 MB 216 downloads

Amerikaanse overheid zet nieuwe doelen voor aanpak van ransomware

Het Amerikaanse ministerie van Justitie wil volgend jaar meer onderzoeken naar gemelde ransomware-aanvallen uitvoeren en vaker geld van ransomwaregroepen in beslag nemen. Dat blijkt uit het strategische plan dat het ministerie presenteerde (pdf). Daarin staat dat ransomware-aanvallen voor zowel financiële verliezen als andere schade bij overheden, vitale infrastructuur en industriële sectoren zorgen. Het ministerie van Justitie wil voor volgend jaar het percentage zaken dat het op basis van gemelde ransomware-aanvallen opent met 65 procent vergroten. Verder moet het aantal inbeslagnames en verbeurdverklaringen in ransomwarezaken met tien procent toenemen. Het ministerie zegt ook dat het de eigen technologische en onderzoeksmogelijkheden zal verbeteren en manieren gaat ontwikkelen om daders van cyberaanvallen aan te kunnen wijzen.

Strategic Plan 7 1 22 Final
PDF – 5,8 MB 274 downloads

Aanval op chipmaker Diodes vormt groot risico

Cybergroepering Lockbit heeft de Amerikaanse chipmaker Diodes gehackt en dreigt belangrijke beveiligingsinformatie van een chip die veel wordt gebruikt in laptops en in de auto-industrie openbaar te maken. Als die informatie op straat komt, zijn de gevolgen voor de auto-industrie en afnemers zoals Apple, Microsoft en Dell nauwelijks te overzien. Dat stelt beveiligingsexpert en Computable-expert Erik Westhovens. De oprichter van securityadviesbedrijf Ransomwared zag op hackersfora op het darkweb een deel van de buitgemaakte bestanden in. Het gaat om technische tekeningen van de printplaten van de chips. Experts kunnen daarin lezen wat de beveiligingsrisico’s van die chip zijn. Ook is data over klanten en personeel buitgemaakt. Diodes levert aan automerken als Ford, Scania en Audi. Die automerken hebben in de chip allerlei intellectueel eigendom verwerkt. 'Bijvoorbeeld om auto’s zuiniger te maken', licht Westhovens toe. ‘Hackers die die data in handen krijgen, kunnen deze analyseren en eventuele beveiligings-issues misbruiken. Omdat de chip zelf nu gecomprimeerd is kunnen ze ook ransomware op maat maken', schrijft Westhovens op zijn LinkedIn-pagina. Hij stelt dat het overgrote deel van de tpm-chips (trusted platform module) die in de huidige laptops wordt gebruikt afkomstig is van Diodes. ‘Omdat hackers nu toegang hebben tot de hele layout van de chip kunnen ze hun ransomware op maat schrijven en in de tpm-module verbergen waar antivirus en moderne xdr-platformen (extended detection and response) niet kunnen komen vanwege de veiligheidsrisico's.’ Hoewel er nog weinig ruchtbaarheid is gegeven aan de zaak, duikt de hack binnen de securitywereld wel op in de weekoverzichten. Verder meldt de website van Diodes niets over de ransomware-aanval, maar licht Diodes achter de schermen klanten en toeleveranciers wel in. De Amerikaanse chipmaker heeft nog vijftien dagen om op de losggeldeis in te gaan of een andere manier te vinden om openbaring van de informatie, of de schade daarvan te voorkomen. De criminelen eisen vijftien miljoen aan losgeld voor de buitgemaakte en versleutelde data. Westhovens kwam de aanval op het spoor in zogenoemde qtox-groepen. Dat is een versleutelde berichtendienst die gebruikt wordt op het darkweb. Daarin kan hij meekijken met het aanbod van buitgemaakte data door criminelen. Eerder vond Westhovens er informatie over een lek in de Exchange-servers van Ikea en informatie over een aanval op de Mediamarkt. Westhovens benadrukt dat consumentenleveranciers (b2c) vaak verplicht zijn een lek of kwetsbaarheid te melden terwijl zakelijke leveranciers (b2c) vaak proberen om de digitale aanvallen stil te houden. ‘Als één op de honderd zich meldt is het veel.’ De security-expert die naar eigen zeggen, anders dan veel grote securitybedrijven, toegang heeft tot de ‘underground’ en zelf een hackersverleden heeft, noemt de aanval op Diodes die vorige week plaatsvond: ‘een zwarte dag voor it- en automotive land’. Hij verwacht dat zaak over anderhalve week in de publiciteit komt als de cybercriminelen hun data publiceren of als Diodes naar buiten treedt.

Geschreven door: computable


IT-diensten gigant SHI getroffen door "professionele malware-aanval"

SHI International, een in New Jersey gevestigde leverancier van IT-producten en -diensten, heeft bevestigd dat een malware-aanval zijn netwerk in het weekend heeft getroffen. SHI beweert een van de grootste leveranciers van IT-oplossingen in Noord-Amerika te zijn, met een omzet van $ 12,3 miljard in 2021 en 5.000 werknemers over de hele wereld in operationele centra in de VS, het Verenigd Koninkrijk en Nederland. Het zegt ook dat het diensten verleent aan meer dan 15.000 bedrijfs-, bedrijfs-, publieke sector- en academische klantorganisaties over de hele wereld. "Tijdens het vakantieweekend van de vierde juli was SHI het doelwit van een gecoördineerde en professionele malware-aanval," melde SHI in een verklaring. "Dankzij de snelle reacties van de beveiligings- en IT-teams van SHI werd het incident snel geïdentificeerd en werden maatregelen genomen om de impact op de systemen en activiteiten van SHI te minimaliseren." Na de aanval voegde SHI een bericht toe aan zijn website om klanten en bezoekers te waarschuwen dat zijn informatiesystemen onderhoud ondergingen vanwege een "aanhoudende storing".  Dit bericht werd later vervangen door de malware-aanvalsverklaring die op de blog van het bedrijf werd gepubliceerd.


Ransomware, hackgroepen verplaatsen zich van Cobalt Strike naar Brute Ratel

Hackgroepen en ransomware-operaties verplaatsen zich van Cobalt Strike naar de nieuwere Brute Ratel post-exploitation toolkit om detectie door EDR- en antivirusoplossingen te omzeilen. Corporate cybersecurity-teams bestaan vaak uit werknemers die proberen bedrijfsnetwerken te doorbreken (red team) en degenen die zich actief tegen hen verdedigen (blue team). Beide teams delen vervolgens notities na afspraken om de cybersecurity-verdediging van een netwerk te versterken. Al jaren is een van de meest populaire tools in red team engagements Cobalt Strike, een toolkit waarmee aanvallers "beacons" kunnen inzetten op gecompromitteerde apparaten om externe netwerkbewaking uit te voeren of opdrachten uit te voeren. Hoewel Cobalt Strike legitieme software is, hebben bedreigingsactoren gekraakte versies online gedeeld, waardoor het een van de meest populaire tools is die door hackers en ransomware-operaties worden gebruikt om zich lateraal te verspreiden via geschonden bedrijfsnetwerken.

When Pentest Tools Go Brutal
PDF – 3,1 MB 189 downloads

Nieuwe malware nestelt zich op honderdduizenden Android-smartphones

Een viertal nieuwe malafide apps zijn ontdekt in de Google Play Store. De apps zijn op meer dan 100.000 Android-smartphones geïnstalleerd. Kwaadwillenden kunnen via de apps gebruikers oplichten, wachtwoorden onderscheppen en bijkomende gevaarlijke apps installeren. De malafide apps zijn ontdekt door onderzoekers van securityspecialist Pradeo. De boosdoeners in kwestie zijn Smart SMS Messages (versie 1.3.2), Blood Pressure Monitor (1.3.238), Voice Languages Translator (2.0) en Quick Text SMS (2.0). Alle vier de applicaties zijn intussen uit de Google Play Store gekegeld, maar voor tienduizenden gebruikers kwam die ingreep te laat. Wie onverhoopt een van de apps op zijn smartphone of tablet heeft geïnstalleerd, moet die volgens de onderzoekers van Pradeo direct verwijderen. De applicaties bevatten een mix van de malware-varianten Joker en Dropper. Ze zijn erin gespecialiseerd om gebruikers ongevraagd (en ongemerkt) te abonneren op betaalde diensten, zoals premium sms-services en telefoonnummers. De malware is zeer lastig te detecteren en vond de afgelopen drie jaar zijn weg naar duizenden apps. De toepassingen Smart SMS Messages en Blood Pressure Monitor gaan nog een stap verder, en kunnen op eigen houtje ook in-app-aankopen doen. Door eenmalige wachtwoorden te onderscheppen weten ze op slinkse wijze de zogeheten tweefactorauthenticatie (2FA) te omzeilen. Smart SMS Messages doet dat door ongemerkt sms'jes uit te lezen en screenshots te maken, de andere malafide app onderschept de inhoud van notificaties. Gebruikers merken doorgaans pas dat ze het slachtoffer van oplichting zijn geworden, wanneer ze enkele weken later een gepeperde telecomfactuur ontvangen.


QNAP-systemen via woordenboek aanval besmet met ransomware

NAS-systemen van QNAP zijn het doelwit van nieuwe ransomware-aanvallen waarbij gebruik wordt gemaakt van een woordenboek aanval, zo laat de fabrikant zelf in een waarschuwing weten. Uit voorlopig onderzoek blijkt dat de Checkmate-ransomware QNAP-systemen aanvalt waarvan de SMB-services toegankelijk zijn vanaf het internet. Om toegang tot accounts te krijgen maakt de ransomware gebruik van een woordenboek aanval. Volgens QNAP werkt de aanval alleen wanneer gebruikers voor hun accounts een zwak wachtwoord hebben gekozen. Zodra de aanvaller via de woordenboek aanval weet in te loggen wordt er data in gedeelde mappen op het NAS-systeem versleuteld en in elke directory een losgeld bericht achtergelaten. Het onderzoek naar de aanvallen is nog gaande. QNAP zegt snel met meer informatie te komen, maar adviseert in de tussentijd om SMB-services niet vanaf het internet toegankelijk te maken, SMBv1 uit te schakelen, te controleren dat voor elk account een sterk wachtwoord wordt gebruikt en periodiek back-ups te maken.


Quantum ransomware-aanval treft 657 organisaties in de gezondheidszorg

Professional Finance Company Inc. (PFC), een full-service debiteuren beheerbedrijf, zegt dat een ransomware-aanval eind februari heeft geleid tot een datalek dat meer dan 600 zorgorganisaties treft. PFC is opgericht in 1904 en helpt duizenden zorg-, overheids- en nutsorganisaties in de VS ervoor te zorgen dat klanten hun facturen op tijd betalen. Het bedrijf begon op 5 mei met het informeren van de getroffen patiënten van zorgverleners en zei dat een lopend onderzoek ontdekte dat de aanvallers toegang hadden tot bestanden met hun persoonlijke informatie voordat ze enkele van de systemen van PFC versleutelden. Gevoelige informatie die tijdens de aanval wordt blootgesteld, omvat de voor- en achternaam van patiënten, adressen, debiteurensaldo en informatie over betalingen aan rekeningen. In sommige gevallen bevatten de bestanden ook geboortedata, burgerservicenummers en informatie over ziektekostenverzekering en medische behandeling. Hoewel PFC het exacte aantal getroffen zorgverleners niet deelde, linkte het naar een PDF-bestand met alle getroffen organisaties met de namen van 657 zorge instellingen. "PFC stuurt vandaag brieven naar mogelijk betrokken personen met details over het incident en biedt middelen die ze kunnen gebruiken om hun informatie te beschermen", aldus het bedrijf. "PFC biedt potentieel betrokken personen ook toegang tot gratis kredietbewaking en bescherming tegen identiteitsdiefstal via Cyberscout, een toonaangevend bedrijf voor identiteitsbescherming."

Pfc Bc Covered Entities Client List 62 C 46 C 76593 Dd
PDF – 127,1 KB 277 downloads

Hackers stelen 20 GB aan data van Marriott Hotel

Het Marriott Hotel is opnieuw het doelwit van hackers. De hotelketen is het slachtoffer van datadiefstal. De aanvallers hebben in totaal 20 GB aan persoonlijke informatie van bezoekers weten buit te maken. Het is onbekend wie er verantwoordelijk is voor het datalek. Een woordvoerder van Marriott Hotel bevestigt tegenover DataBreaches.net dat het om een nieuw datalek gaat. De hackers zouden de IT-systemen van de BWI Airport Marriott in Maryland afgelopen maand al zijn binnengedrongen. Ze stalen toen zo’n 20 GB aan gegevens. Het gaat niet alleen om een groot aantal interne documenten, maar ook persoons- en creditcardgegevens van 300 tot 400 bezoekers en medewerkers van de hotelketen. Dan moet je denken aan voor- en achternamen, maar ook vluchtnummers, functies van de bemanningsleden en kamers die ze kregen toegewezen.


Cryptoboeven gaan met miljarden aan de haal

Cryptodieven hebben een goed eerste half jaar gedraaid. Ze wisten in de eerste maanden al bijna twee miljard dollar buit te maken bij 175 verschillende cryptoprojecten, zo heeft Atals VPN geanalyseerd. Vooral het ethereum-systeem was de dupe van de hackers. Daar wisten de boefjes op 32 verschillende momenten ruim een miljard dollar te bemachtigen. De grootste hack was gepleegd bij Ronin, dat verbonden is aan de blockchain van ethereum en gebruikt wordt voor het NFT-spel Acie Infinity. Daar wisten de cryptoboeven maar liefst 600 miljoen dollar te stelen.


VS beschuldigt Noord-Korea van ransomware-aanvallen op ziekenhuizen

De Amerikaanse overheid heeft Noord-Korea vandaag beschuldigd van het uitvoeren van ransomware-aanvallen tegen ziekenhuizen en andere zorginstellingen, waarbij onder andere elektronische patiëntendossiers, diagnostische diensten, scansystemen en intranetten werden versleuteld. De aanvallen met de "Maui-ransomware" zouden sinds mei vorig jaar plaatsvinden. Getroffen organisaties wordt ontraden om het losgeld te betalen, aangezien dit mogelijk in strijd met de sanctieregels van de Verenigde Staten is. Hoe de aanvallers precies toegang tot de systemen van organisaties krijgen kunnen de FBI, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security en het ministerie van Financiën niet zeggen. Om organisaties tegen mogelijke aanvallen te beschermen hebben de Amerikaanse overheidsdiensten verschillende Indicators of Compromise (IOC's) en adviezen gedeeld. Volgens de diensten is het namelijk de verwachting dat de aanvallers met hun aanvallen tegen zorginstellingen blijven doorgaan. "De door Noord-Korea gesponsorde cyberactoren gaan er waarschijnlijk vanuit dat zorginstellingen bereid zijn het losgeld te betalen, omdat deze organisaties diensten bieden die cruciaal zijn voor mensenlevens en gezondheid. Vanwege deze aanname verwachten de FBI, CISA en Financiën dat door Noord-Korea gesponsorde actoren waarschijnlijk gezondheidsorganisaties blijven aanvallen."

North Korean State Sponsored Cyber Actors Use Maui Ransomware To Target The Healthcare And Public Health Sector
PDF – 274,7 KB 188 downloads

Nieuwe RedAlert Ransomware richt zich op Windows, Linux VMware ESXi-servers

Een nieuwe ransomware-operatie genaamd RedAlert, of N13V, versleutelt zowel Windows- als Linux VMWare ESXi-servers bij aanvallen op bedrijfsnetwerken. De nieuwe operatie werd vandaag ontdekt door MalwareHunterTeam, die verschillende afbeeldingen van de dataleksite van de bende tweette.

New Red Alert Ransomware Targets Windows
PDF – 4,7 MB 193 downloads

AstraLocker ransomware sluit operaties

De cybercriminelen achter de AstraLocker-ransomware hebben aangekondigd dat ze gaan stoppen met ransomware aanvallen maar van plan zijn om over te schakelen op cryptojacking. De ontwikkelaar van de ransomware heeft een ZIP-archief met AstraLocker-decryptors ingediend bij het VirusTotal-malware-analyseplatform. De decryptors bleken legitiem te zijn en te werken na het testen. Er werd slechts één decryptor getest die met succes bestanden heeft gedecodeerd die in één campagne zijn vergrendeld. De andere decryptors in het archief zijn waarschijnlijk ook ontworpen om bestanden te decoderen die in eerdere campagnes zijn gebruikt. De ontwikkelaar onthulde niet de reden achter de sluiting van AstraLocker, maar het is waarschijnlijk te wijten aan de plotselinge publiciteit die werd veroorzaakt door recente rapporten die de operatie in het vizier van de wetshandhaving zouden brengen. Emsisoft, een softwarebedrijf dat ransomware-slachtoffers helpt met gegevensontsleuteling, werkt aan een universele decryptor voor AstraLocker-ransomware die in de toekomst kan worden vrijgegeven. Volgens cybersecurity bedrijf ReversingLabs gebruikte AstraLocker een onorthodoxe methode om de apparaten van zijn slachtoffers te versleutelen in vergelijking met andere ransomware-bendes. In plaats van eerst het apparaat in gevaar te brengen (door het te hacken of toegang te kopen van andere cybercriminelen), zou de operator van AstraLocker de payloads van e-mailbijlagen rechtstreeks inzetten met behulp van kwaadaardige Microsoft Word-documenten. De lokmiddelen die worden gebruikt bij AstroLocker-aanvallen zijn documenten die een OLE-object verbergen met de ransomware-payload die wordt geïmplementeerd nadat het slachtoffer op uitvoeren klikt in het waarschuwingsvenster dat wordt weergegeven bij het openen van het document. Voordat bestanden op het nu gecompromitteerde apparaat worden versleuteld, controleert de ransomware of deze op een virtuele machine wordt uitgevoerd, vervolgens stopt het uw processen, back-up- en AV-services die het coderingsproces zouden belemmeren. AstraLocker wordt verondersteld te zijn gebaseerd op de gelekte Babuk Locker ransomware broncode.


OpenSSL waarschuwt voor ernstige bug die aanvaller code laat uitvoeren

Het OpenSSL-team heeft vandaag een beveiligingsupdate uitgebracht voor een "ernstige bug" die remote code execution mogelijk maakt, waardoor een aanvaller op afstand code op kwetsbare servers kan uitvoeren. Het probleem doet zich alleen voor in de 3.0-versie van OpenSSL. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben, zoals het Heartbleed-lek in het verleden heeft aangetoond. De kwetsbaarheid (CVE-2022-2274) waarvoor nu wordt gewaarschuwd werd geïntroduceerd met de 3.0.4 release van OpenSSL en bevindt zich in de RSA-implementatie voor processors die de Intel's Advanced Vector Extensions 512 (AVX512) ondersteunen. Verschillende algoritmes gebruiken deze instructieset voor het uitvoeren van berekeningen. Wanneer deze systemen van een RSA-implementatie met 2048-bit private keys gebruikmaken, zorgt de bug ervoor dat er tijdens het opzetten van een beveiligde verbinding waarbij gebruik wordt gemaakt van RSA private keys heap memory corruption ontstaat en een aanvaller code op de server kan uitvoeren. Het probleem speelt bij SSL/TLS-servers en andere servers die van 2048-bit RSA private keys gebruikmaken op een processor die AVX512-IFMA-instructies ondersteunt. Het gaat om processoren die de afgelopen jaren uitkwamen. Intel heeft echter besloten om AVX512-support op Alder Lake-processoren uit te schakelen. De kwetsbaarheid werd op 22 juni door beveiligingsonderzoeker Xi Ruoyao gevonden, die tevens de oplossing ontwikkelde. Volgens beveiligingsonderzoeker Guido Vranken is het triviaal voor een aanvaller om misbruik van het beveiligingslek te maken. De impact van het lek is echter beperkt doordat de meeste servers OpenSSL versie 1.1.1 draaien, niet de nieuwere 3-versie. Beheerders die versie 3.0.4 op hun servers draaien krijgen het advies om te updaten naar OpenSSL 3.0.5.

Meer ernstige kwetsbaarheden? Kijk dan hier »


Hackers stelen 23 TB aan data van Chinese politie

Onbekende hackers zeggen privégegevens van ten minste één miljard Chinezen te hebben gestolen. De data zijn afkomstig uit een database van de politie van Shanghai. De daders zeggen ruim 23 TB aan gegevens te hebben buitgemaakt. Beveiligings- en privacyexperts zeggen dat het mogelijk om de grootste datadiefstal gaat in de geschiedenis van het land. Dat schrijft persbureau Bloomberg.


"Microsoft detecteert usb-worm op netwerk van honderden organisaties"

Microsoft heeft op het netwerk van honderden organisaties een computerworm ontdekt die zich via usb-sticks verspreidt en waarvan het doel onbekend is. De malware wordt Raspberry Robin genoemd en werd afgelopen mei genoemd in een rapport van securitybedrijf Red Canary. Onlangs verstuurde Microsoft een advisory naar klanten van de zakelijke beveiligingssoftware Defender for Endpoint waarin het waarschuwde dat de worm op de netwerken van honderden organisaties is aangetroffen, zo meldt Bleeping Computer. Het gaat hier niet om een openbaar rapport, maar de infecties zouden in allerlei sectoren zijn aangetroffen. De malware maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Of Raspberry Robin schone usb-sticks besmet om zich verder te verspreiden, en hoe dit precies plaatsvindt, is onbekend. Ook zijn de doelen van de aanvallers onduidelijk, aldus Red Canary. Wel kunnen de aanvallers via de malware op besmette systemen aanvullende aanvallen uitvoeren en verdere malware installeren. Volgens Microsoft zou de worm al sinds 2019 actief zijn.


Hackers beweren gegevens van miljard Chinezen te hebben gestolen

Hackers beweren de gegevens van een miljard Chinezen te hebben gestolen bij een inbraak in een databank van de politie van Shanghai. Het zou om de grootste gegevensdiefstal ooit in China gaan. De persoon of groep die achter de diefstal zit, biedt de gegevens te koop aan voor tien bitcoins, momenteel goed voor zowat 200.000 dollar. De gegevens zouden volgens een anonieme post op een forum over cybersecurity namen, adressen, geboortedata, nationale identificatienummers, telefoonnummers en gegevens over criminele feiten omvatten. De omvang van de vermeende hack zorgt heel wat voor ophef in de Chinese cybersecuritysector. Er wordt getwijfeld  aan de geloofwaardigheid van de bewering en er is speculatie hoe het datalek is kunnen ontstaan. Een van de theorieën is dat de hackers via een derde partij die cloud-diensten aanbiedt, is kunnen binnendringen in de databank. De autoriteiten van Shanghai en de lokale politie hebben niet gereageerd op de beweringen. Ook de Chinese regulator reageerde niet. China wordt vaak met de vinger gewezen als een van de belangrijkste  thuisbasissen voor cybercriminelen, maar er is weinig bekend over binnenlandse cyberaanvallen.


YouTube- en Twitter-accounts Britse landmacht tijdelijk gehackt

Het Britse leger is afgelopen weekend getroffen door een cyberaanval. Criminelen wisten de controle over te nemen van de Twitter- en YouTube-accounts van de Britse landmacht. Via de accounts maakten zij reclame voor frauduleuze cryptotransacties. Het Britse ministerie van Defensie bevestigt de aanval. De aanvallers veranderde onder meer de profielfoto's en -teksten van de gehackte accounts. Op Twitter deelden zij daarnaast berichten over NFT's. Op YouTube verspreidden de aanvallers filmpjes over cryptovaluta. De gehackte accounts zijn inmiddels weer onder controle van de landmacht. Via Twitter biedt het leger zijn excuses aan voor de tijdelijke verstoring van haar feeds. Ook meldt het leger de zaak te onderzoeken en hieruit lering te zullen trekken.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten


Slachtofferanalyse en Trends van Week 40-2024

In deze podcast bespreken we een reeks cyberaanvallen die plaatsvonden in week 40 van 2024, gericht op verschillende sectoren zoals de overheid, gezondheidszorg, financiële sector en technologische sector. We onderzoeken de achtergrond van de aanvallers, hun gehanteerde methoden en de impact die deze aanvallen hebben gehad op de getroffen organisaties. Ook gaan we in op de mogelijke motieven achter de aanvallen en de gevolgen voor de veiligheid en veerkracht van deze sectoren.

Lees meer »